Согласно исследованию аналитиков из Ponemon Institute, более половины европейских и американских организаций не успели выполнить все требования GDPR к моменту запуска GDPR, 25 мая 2018 года.
Как многие и предполагали, европейские регуляторы какое-то время не будут штрафовать нарушителей, ограничиваясь предупреждением. В целом так и произошло. Не понесли наказание даже такие крупные компании, как Facebook и Google, хотя жалобы на эти компании были подали сразу 25 мая 2018 года.
Первые штрафы
Однако через несколько месяцев подход европейских регуляторов немного ужесточился. На текущий момент известно о трех штрафах за нарушение GDPR:
- Больница в Португалии, 400 тысяч евро. Штраф был выписан за то, что в системе хранения медицинских записей обнаружилась уязвимость, которая позволяла получить доступ к данным пациентов с помощью фальшивых профилей сотрудников. В системе было зарегистрировано 985 учетных записи при том, что в больнице работало 296 сотрудников.
- Консалтинговую компания AggregateIQ, 20 млн евро. траф был выписан за незаконный сбор и обработку данных пользователей социальных сетей с целью проведения таргетированных агитационных кампаний.
- Knuddels, 20 тысяч евро. Штраф получило герменское чат-приложение для знакомств Knuddels. Пострадали 330 тысяч пользователей, у которых были украдены логины и пароли. Во время расследования выяснилось, что персональные данные хранились в открытом виде в виде незашифрованных текстовых файлов. Что само по себе является серьезным нарушением GDPR. Тем не менее штраф был вынесен относительно небольшой, так как Knuddels оперативно прищзнали проблему и сообщили о ней, а также согласились внедрить дополнительные меры безопасности.
Пока что штрафы, назначаемые за нарушение требований GDPR, остаются относительно небольшими (ситуация с AggregateIQ, пока, скорее исключение). Однако, учитывая колоссальный объем взломов и утечек, скорее всего закон себя еще покажет.
Одними из первых крупных компаний, получивших серьезные штрафы, могут стать Microsoft и Facebook. Microsoft подозревается в
нарушениях при хранении данных пользователей, а Facebook может получить штраф в размере до четырех миллиардов долларов за допущение утечки персональных данных 50 миллионов пользователей соцсети.
Не-GDPR штрафы
Власти Великобритании и Голландии оштрафовали Uber на $1.2 млн. за утечку персональных данных 7 миллионов водителей и 57 миллионов пассажиров. В том числе была похищена информация о 2.7 млн. пассажиров и 82 тыс. водителях из Великобритании и 174 тыс. граждан Голландии.
Следует отметить, что данный штраф былл наложены еще до вступления в силу General Data Protection Regulation (GDPR).
Об этом инциденте стало известно общественности в 2017 году, когда новый глава Uber Дара Хосровшахи сделал публичное заявление. Хотя сама утечка произхошла еще в 2016 году.