17 Декабря, 2018

Каковы первые штрафы за нарушения GDPR?

Panda Security в России и СНГ
2018 год стал преимущественно годом защиты данных, когда во многих СМИ мелькали заголовки об утечках данных, кражах данных и злоупотребления ими. И на фоне всеобщего роста осведомленности о тех проблемах, с которыми можно столкнуться при работе с конфиденциальными данными, на первый план выходит тема применения нового общеевропейского законодательства о защите данных - GDPR (General Data Protection Regulation), соответствие которому стало обязательно с 25 мая этого года, причем не только на территории Евросоюза, но и для всех организаций в других странах, которые обрабатывают персональные данные граждан Евросоюза.

Нарушение этого законодательства может повлечь за собой наложение штрафа в размере до 4% от общего годового оборота компании или до 20 миллионов евро. Поэтому неудивительно, что сейчас компании проводят комплексы работ по проверке данных и повышению их уровня защиты, чтобы соответствовать всем требованиям нового закона. Впрочем, несмотря на эту неотложную работу, на сегодняшний день только 29% организаций внедрили все меры, необходимые для соответствия GDPR.

Первые жалобы на нарушение стали поступать уже 25 мая, сразу же после вступления в силу нового закона, когда некоммерческая организация noyb.eu отправила четыре жалобы против Facebook, Instagram, WhatsApp и Android. Noyb утверждает, что эти компании заставляют своих пользователей принимать их новые условия обслуживания, что нарушает требование GDPR о том, что данное согласие должно предоставляться добровольно. Тем не менее, рассмотрение этих дел продолжается, а потому потребуется подождать определенное время, чтобы увидеть результат проверки.

В октябре Джованни Буттарелли, Европейский инспектор по защите данных, сказал, что он ожидает увидеть первые санкции до конца этого года. И, конечно, ему не пришлось долго ждать.

Санкции начали появляться
Первый штраф был выписан в Австрии в начале октября, и хотя он не связан строго с обработкой персональных данных, это хороший пример того, какие последствия могут иметь несоблюдение требований закона. Букмекерская контора получила штраф в размере 4800 евро за камеру безопасности, которая записывала часть тротуара на улице, а в соответствии с GDPR не допускается масштабный мониторинг общественных пространств.

В конце того же месяца, мы видели первый штраф, связанный с обработкой и хранением персональных данных. Национальная комиссия по защите данных в Португалии наложила три штрафа на больницу Hospital do Barreiro : два штрафа по 150 000 евро каждый  и один на 100 000 евро. Таким образом, общий размер штрафа для больницы составил колоссальную сумму в размере 400 000 евро.  Первые два штрафа по 150 000 евро каждый были выписаны за нарушение принципов целостности и конфиденциальности данных, а также за нарушение принципа минимизации данных, который теоретически препятствует неизбирательному доступу к данным. 985 человек имели активные учетные записи в системе, которые предоставляли им доступ к файлам больницы, в то время как больница имела всего лишь 296 активных докторов на момент проверки.

Третий штраф был связан с невозможностью больницы как контроллера данных обеспечивать конфиденциальность и целостность данных его клиентов и пациентов.
Самый последний штраф был выписан в Германии в середине ноября. Немецкая социальная сеть Knuddels . de, получила штраф в размере 20 000 евро после взлома, в результате которого были похищены 808 000 адресов электронной почты вместе с более чем 1,8 миллионов имен пользователей и паролей. Данная информация впоследствии была опубликована в Интернете в незашифрованном виде.

Социальная сеть моментально отреагировала, сказав, что как только утечка данных была обнаружена, моментально были улучшены их меры безопасности. После инцидента было обнаружено, что сайт вообще не имел никакой защиты для своей конфиденциальной информации.

По данным от немецкого агентства по защите данных LfDI Baden-Württemberg, ответственного за рассмотрение данного дела, одной из причин наложения на соцсеть такого «относительно небольшого» штрафа стало то, что соцсеть действовала прозрачно и очень быстро улучшила свои системы безопасности.


2019 принесет новые цифры
Экономические санкции, которые мы видели до сих пор, были относительно скромными на фоне максимально возможных штрафов, но недавно был всплеск громких случаев с утечками данных ( Marriott , British Airways , Quora ), а потому мы уверены, что скоро услышим о более крупных штрафах.

Что вы можете сделать, чтобы избежать штрафа, будь то миллионы евро или меньше? Самое важное, что необходимо иметь в виду, это то, что профилактика лучше лечения, а потому наличие соответствующей защиты для персональных данных, которыми управляет ваша компания, поможет вам избежать крупных неприятностей. Начните с того, чтобы точно знать, где хранятся эти данные и кто имеет к ним доступ. Для этого крайне важно иметь современные решения информационной безопасности с опциями расширенной защиты.

Panda Data Control – это модуль для решения Panda Adaptive Defense , который специально разработан для того, чтобы помогать компаниям соответствовать требованиям по защите данных. С его помощью вы можете проводить обнаружение, аудит и мониторинг всех неструктурированных персональных данных в корпоративной сети вашей компании. Только таким образом вы узнаете, где хранятся данные вашей компании, кто их обрабатывает и какие действия они предпринимают по отношению к этим данным.


Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com