Кто уже заплатил штрафы GDPR?
GDPR (General Data Protection Regulation) – это новые общеевропейские правила о защите персональных данных, которые вступили в силу 25 мая 2018 года и затрагивают не только Евросоюз, но и все страны, в которых обрабатываются персональные данные граждан Евросоюза. Если такие организации не обновили свои пользовательские соглашения и рабочие процессы в соответствии с новым регламентом, то за нарушение требований GDPR на компанию может быть наложен штраф в размере 20 000 000 евро либо 4% от годовой выручки фирмы. Но, несмотря на столь крупные суммы, не все компании осуществили обновления в соответствии с требованиями GDPR.

Первые штрафники по GDPR

Так как, согласно исследованию Ponemon Institute, больше половины как европейских, так и американских компаний не успели изменить свои регламенты к крайнему сроку GDPR, многие крупные организации предположили, что у закона будет так называемый «мягкий запуск». А именно, что финансовые наказания будут использованы в последнюю очередь. Но через несколько месяцев после вступления закона в силу, регуляторы ужесточили свой подход, и в ноябре 2018 года был выписан штраф, ставший первым наказанием по GDPR.
Официально наказанным нарушителем стал немецкий чат-сервис для знакомств Knuddels. В сентябре в работе приложения была обнаружена «брешь», через которую в сеть попали логины и пароли более чем 300 тысяч пользователей. Выяснилось, что их персональные данные хранились как незашифрованные текстовые файлы, что является несоблюдением требований GDPR. Как следствие, регуляторный орган немецкого региона Баден выписал компании Knuddels штраф в размере 20 тысяч евро. Эта довольно небольшая сумма объясняется тем, что организация сама оперативно сообщила об утечке.

В том же сентябре 2018 года еще один штраф GDPR был назначен в Португалии – одной из больниц. Дело в том, что в ее системе хранения медицинских записей была обнаружена уязвимость, из-за которой доступ к ним можно было получить за счет фейковых профилей сотрудников. В больнице работало около 300 врачей, а аккаунтов было зарегистрировано более 900, и организации по итогу пришлось заплатить достаточно крупный штраф в размере 400 тысяч евро.

Также был зафиксирован первый максимальный штраф GDPR – те самые 20 000 000 евро. Он был выписан британским регулятором канадской консалтинговой компании AggregateIQ за незаконный сбор и обработку данных пользователей социальных сетей с целью проведения таргетированных агитационных кампаний. Пока что AggregateIQ пытаются оспорить данный штраф, но навряд ли их попытки смогут увенчаться успехом.
Кто в зоне риска?

Так как утечки данных пользователей происходят практически каждый день, вероятнее всего требования GDPR будут последовательно ужесточаться, и это касается не только количества компаний, которым будут выписаны штрафы, но и размеров этих штрафов. Пока что регуляторы «помогали» многим компаниям исправить ошибки в их системах безопасности, но в 2019 году практика подобного "мягкого" подхода закончится – так считает большинство экспертов по данной теме.

Скорее всего, одним из первых крупных нарушителей признают IT-гиганта Microsoft – его обвиняют в нарушении условий хранения IP-адресов и заголовков отправляемых е-мейлов. Причем часть данных пользователей попала на серверы в США, а не в Европе, чего требуют правила GDPR, и пользователи не были предупреждены о сборе какой-либо телеметрии.

Также под большой штраф скорее всего подпадет социальная сеть Facebook: в сентябре 2018 года был зафиксирован взлом, в ходе которого оказались похищены персональные данные почти 50 миллионов пользователей. Регуляторы пытаются определить, привела ли к этому халатность Facebook и насколько пострадали граждане ЕС. Но уже предполагается, что в конечном итоге социальная сеть может оказаться обязанной выплатить штраф в размере 4 миллиарда евро.

Помимо прочего, ожидается, что в 2019 году вступит в силу обновленный EU ePrivacy Regulation, именуемый некоторыми экспертами как "GDPR 2.0". Суть правил ePrivacy заключается в более детальном регулировании cookies, онлайн-трекинга, интернет-рекламы и маркетинга в секторе электронных средств связи.

#GDPR #первыештрафы #ePrivacy

© DLC LLC

01 ФЕВРАЛЯ 2019
По всем вопросам свяжитесь с нами любым удобным способом:

E-mail: info@dlc-llc.ru
Телефон: 8 (495) 142 95 62
Made on
Tilda