Нарушение по GDPR

Facebook може да бъде съден в Европа, заради скорошното изтичане на потребителски данни от над 533 млн. акаунта. Информационната база беше публикувана за безплатно изтегляне в хакерски форум.

Digital Rights Ireland (DRI), посветена на защитата на гражданските, човешките и законните права в дигиталната ера, обяви, че започва „масова акция“ за завеждане на дело срещу Facebook. Организацията се позовава на правото на парично обезщетение при нарушение на лични данни, посочено в Общия регламент за защита на данните (GDPR) на Европейския съюз.

Акцията стартира от Ирландия, защото там е седалището на Европейската централа на социалната мрежа.

DRI призовава потребителите на Facebook, които живеят в ЕС или в Европейското икономическо пространство, да проверят дали техните данни са били нарушени и да се присъединят към делото, ако това е така.

Последен ъпдейт на 8 април 2020 в 10:58 ч.

Средно 247 оплаквания на ден или общо над 160 000 жалби са постъпили в европейските регулатори за защита на личните данни за първите 18 месеца след влизането в сила на GDPR. Общата сума на санкциите по регламента до момента е 114 млн EUR.

Повече по темата: Над 6 млн. лв. глоби по GDPR в България за 24 часа

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

 

Затишие пред буря. Така може да се определи ситуацията с регламента за защита на личните данни GDPR малко повече от 9 месеца след влизането на санкциите по него в сила през март 2018 г. Уроците, които научихме през това време са:

• Регулаторите не бързат да налагат санкции, но не се колебаят да го правят (най-голямата наложена е глоба е 50 млн. EUR на Google във Франция)
• Потребителите не се свенят да подават сигнали – само във Великобритания има над 206 хил. подадени жалби, от които 64 хил. са уведомения за източване на лични данни
• Не малка част от наложените глоби касаят не толкова самите пробиви, колкото очевадната липса на политики за реагиране при инциденти от страна на разследваните организации

Глобеният си е глобен

Общият обем наложени глоби в ЕС по статистика на британския регулатор за защита на личните данни е 55 млн. EUR. Да, цифрата не е толкова стряскаща, особено на фона на факта, че 50 млн. EUR от тях са за Google във Франция. Но е факт, че според различни публикации не малка част от регулаторите са задали „гратисен“ период, в който държат санкциите на възможно най-ниските им нива.

Така, например, първата наложена в Унгария глоба по GDPR, е за „скромните“ 3 100 EUR – или 6.5% от годишния оборот на санкционираната компания. Причината за санкцията: организацията не е успяла да предостави адекватна информация за причините за събирането на лични данни от клиенти.

Първата глоба в Германия (и по GDPR изобщо) пък е била за германска социална медия, която е допуснала източването на лични данни за 330 000 свои потребителя. За този си пропуск, тя е санкционирана с 20 000 EUR. Ниската глоба се дължи и на факта, че всъщност организацията е демонстрирала значими усилия да уведоми навреме властите и засегнатите потребители – и го е направила в сроковете, предвидени по регламента. Общо, до момента, в Германия са наложени 41 санкции.

Защо ги няма масивните глоби

Факт е, че до момента санкциите изглеждат някак рехави на фона на гръмките до 4% от годишния оборот или 20 млн. EUR – което от двете е по-високо. Но е факт и, че не липсват и оплаквания, и санкции. А според различни коментари на специалисти, и регулаторите в момента набират скорост.

Така например, само 52% от споменатите 206 хил. сигнала във Великобритания са обработени до момента, а за година местният регулатор е удвоил персонала си – от 380 на 700 служителя. Факт е, че и дори и да е имало „гратисен“ период, той рано или късно би трябвало да свърши. И е факт, че регулацията е лице, което означава, че или организациите са си свършили много добре работата – и са добре подготвени да покрият изискванията на регламента, или сме на прага на буря от санкции.

Около 59% от организациите изпълняват всички или почти изисквания по евродирективата GDPR. Това показват резултатите от проучване на Cisco сред 3200 експерти по информационна сигурност от цял свят.

Подготвените за GDPR организации отчитат по-малък риск от пробив на данни и по-кратки забавяния в продажбите, показват още резултатите от проучването.

Една трета ще са готови с GDPR след година

Анкетата е направена с респонденти от 18 страни, включително и няколко европейски. Данните показват, че в ЕС за най-подготвени се считат респондентите в Испания (76%) и Италия (72%). Данни за България няма.

29% от анкетираните очакват организацията им да покрива изискванията на GDPR, а други 9% казват, че ще им трябва повече от година.

Какво показва практиката досега

Проучването е установило, че компаниите, които са инвестирали в подготовка за GDPR, вече извличат ползи от това. Така например 74% от тях са регистрирали пробив на данни, но този дял е по-малък в сравнение на дела от компаниите(89%), които нямат готовност за GDPR.

Компаниите, които покриват изискванията на директивата, отчитат забавяне от средно 3.4 седмици при реализацията на продуктите им на пазара. Това забавяне се дължи на факта, че клиентите им се притесняват за защитата на данните.

При компаниите, които не покриват изискванията на директивата, този период е средно с две седмици по-дълъг: 5.4 седмици.

„Тези резултати показват, че спазването на стандарти за поверителност и защита на данните вече е конкурентно предимство за много компании. Организациите следва да оптимизират ползите от своите инвестиции в защита на данните. Тези инвестиции може да надхвърлят задълженията, които трябва да се спазват съгласно една или друга регулация“, коментират от Cisco.

Френският регулатор CNIL (Commission nationale de l’informatique et des libertés) глоби с 50 млн. евро интернет гиганта Google. Наказанието е за неспазване на евродирективата за защита на личните данни GDPR. Според CNIL американската компания не предоставя адекватна информация за начините, по които обработва лични данни при пласиране на онлайн реклами.

Рекордна глоба

Това е най-голямата глоба по GDPR, откакто евродирективата влезе в сила на 25 май 2018 г. Тя предвижда финансови наказания за компаниите, които оперират на територията на Европейския съюз и не могат да спазват правилата за защита на личните данни.

„Това е първият случай, в който CNIL налага санкция съгласно GDPR. Размерът на глобата е съобразен със степента на неспазване на основните принципи на директивата. А те са прозрачност, информираност и съгласие“, коментира френския регулатор.

Липса на прозрачност

Google не е успяла да информира потребителите за начините, по които събира данните им и ги използва за пласиране на онлайн реклама, се казва в решението. Въпреки че самата компания твърди, че получава информирано съгласие от страна на потребителите, преди да започне да използва данните им, според регулатора това не е така.

„Информацията за обработката на данни и персонализирането на рекламите е разводнена в няколко документа и не позволява на потребителя да добие представа за мащаба на процесите. Например в секция „Персонализиране на реклами“ няма как да се разбере ясно кои услуги, сайтове и приложения участват в обработката на данни (Google Search, Youtube, Google Home, Google Maps, Play Store, Google Pictures…)“, се казва в решението на френската комисия.

Предварително зададено съгласие

CNIL отчита факта, че потребителите могат да избират какви персонализирани реклами да виждат, когато си създават нов акаунт. „Това обаче не означава, че GDPR се спазва. Потребителят не само трябва да избере More Options, за да промени настройките, но и опцията за персонализация на реклами е избрана по подразбиране. Според GDPR обаче съгласието на потребителя е недвусмислено само ако той го е заявил с ясно изразено действие“, посочва френският регулатор.

GDPR предвижда глоби до 20 млн. евро или до 4% от годишния оборот на компаниите (избира се по-голямото от двете), които не спазват директивата.

През 2017 г. Google има приходи от 109.6 млрд. долара. Те формират 99% от консолидирания оборот на Alphabet, компанията-собственик на търсачката.