Соблюдение требований нового европейского законодательства о защите персональных данных (GDPR) является обязательным условием при работе с гражданами Евросоюза уже более года. Закон был разработан для стандартизации правил в странах Евросоюза, а также с целью предоставления пользователям более широкого контроля за их персональными данными.
В течение первого года действия GDPR, государства-члены Евросоюза суммарно получили 144 376 запросов и жалоб, связанных с данным законом, и суммарно сообщили о 89 271 нарушений данных. В общей сложности штрафы составили 56 миллионов евро. Однако стоит отметить, что из этих 56 миллионов 50 миллионов евро приходится на штраф, который французские власти выписали Google в январе этого года, и который по сей день являлся самым крупным штрафом в рамках действиях данного закона.
Нарушение данных в British Airways
В сентябре прошлого года британская авиакомпания British Airways объявила о том, что стала жертвой нарушения данных. Злоумышленники сумели украсть персональные данные порядка 380 000 клиентов авиакомпании. Среди украденных данных были имена, номера банковских карт и их CVV-коды, а также адреса электронной почты. Кибер-преступники сумели украсть эту информацию, изменив скрипт на сайте British Airways в рамках атаки на цепочку поставок.
Теперь Управление комиссара по информации (ICO) в Великобритании оштрафовало авиакомпанию на 183 миллиона фунтов стерлингов (порядка 204 110 000 евро) за данное нарушение. По информации от ICO, этот штраф стал крупнейшим штрафом среди тех, что Управление выписывало за время своего существования, а также это самый крупный штраф в рамках действия закона GDPR. Его размер соответствует 1,5% годового глобального оборота авиакомпании British Airways в 2017 году, что соответствует Уровню 1 данного закона. Хотя размер штрафа очень велик, GDPR допускает наложение штрафа в размере до 4% годового глобального оборота компании, что в случае с авиакомпанией British Airways составлял бы 488 миллионов фунтов стерлингов (порядка 544 миллионов евро).
Реакция авиакомпании
Теперь у авиакомпании British Airways есть 28 дней на обжалование штрафа. Уилли Уолш, Руководитель (CEO) IAG, владеющей авиакомпанией British Airways, заявил, что компания сделает представления в адрес ICO.
«Мы намерены предпринять все необходимые шаги для активной защиты позиции авиакомпании, включая и подачи любых требуемых обжалований», - сказал он.
Алекс Круз, Руководитель (CEO) авиакомпании British Airways, сказал, что он был «удивлен и разочарован» штрафом со стороны ICO. Он заявил, что «British Airways быстро отреагировала на это преступление по краже данных клиентов. Мы не обнаружили каких-либо доказательств мошеннической деятельности на аккаунтах, связанных с кражей».
Избегайте штрафов в адрес вашей компании
Штрафы, которые могут быть выписаны в рамках GDPR, могут быть слишком огромными: до 20 миллионов евро или до 4% глобального годового оборота компании. Но также крайне важно учитывать и возможные репутационные издержки. Ни одна компания не хочет прославиться тем, что получила рекордный штраф за недостаточный уровень защиты своих персональных данных компании и/или ее клиентов.
Чтобы избежать негативных последствий, которые могут возникнуть при несоблюдении положений GDPR, крайне важно правильно защищать те персональные данные, которые хранятся в вашей компании. Panda Security может помочь вам: Panda Data Control* – это модуль решения Panda Adaptive Defense, который специально разработан для того, чтобы помочь соответствовать требованиям GDPR.
Panda Data Control обнаруживает, осуществляет аудит и мониторинг всех неструктурированных персональных данных в корпоративной сети вашей компании. Таким образом, вы сможете точно знать, где хранятся данные вашей компании, кто их обрабатывает и какие действия по отношению к ним предпринимаются.
Полная видимость файлов, пользователей, устройств и серверов, которые получают доступ к данной информации, что позволяет вам контролировать любые действия по отношению к хранящимся у вас персональным данным.
Более того, данный модуль помогает вам соответствовать ряду статей GDPR. Сюда относится право на удаление, оценку влияния на защиту данных, безопасность обработки и уведомление контролирующих органов власти об инциденте с нарушениями персональных данных.
В наши дни крупные компании управляют огромным объемом персональных данных. Единственный способ защитить их – это точно знать в любое время, где они находятся и кто получает к ним доступ.
* Данный модуль пока недоступен для продажи на территории стран бывшего СССР.