درس امنیت و حفظ حریم خصوصی از جریمه های اخیر GDPR

ما بیش از یک سال از دوره تنظیم مقررات حفاظت از داده های عمومی (GDPR) می گذریم ، و اکنون به عنوان نقاط داده ، چند اجرای اجرای زیر هم داریم. در اوایل سال 2019 ، 56 میلیون دلار جریمه ناخواسته توسط تنظیم کننده های فرانسوی علیه گوگل جریمه شد. اخیراً ، سازمان حفاظت از داده های انگلیس ، ICO ، قصد خود را برای جریمه بیش از 200 میلیون دلار بریتانیا ایرویز – تقریباً 1٪ از درآمد جهانی آن – و بین المللی ماریوت 120 میلیون دلار برای نقض GDPR اعلام کرد.

در بین این بوک های عظیم ، در آنجا. جریمه های کمتری اما هنوز هم قابل توجه علیه سایر شرکت ها هستند. من به طرز جسورانه می گویم که ما موارد اجرایی GDPR را به اندازه کافی داریم تا درک کنیم که واقعاً چه چیزی اعمال می شود و این که ما بتوانیم برخی از درس های امنیت و حفظ حریم خصوصی را بکشیم.

سیستم ریز دو لایه GDPR

قبل از اینکه کمی دقیق تر به نقض ها نگاه کنیم. از گوگل ، بریتیش ایرویز و بقیه ، دانش بنیادی وجود دارد که ابتدا باید به آن بپردازیم.

طبق ماده 83 GDPR ، جریمه ها به به دو دسته تقسیم می شوند. اولین مورد ، که حداکثر 2 درصد از درآمد جهانی را به خود اختصاص می دهد ، با نقض امنیت همراه است (در زیر مراجعه کنید). این تخلفات از ماده 25 شروع می شود ("محافظت از داده ها با طراحی و پیش فرض") و از طریق مقالاتی مربوط به امنیت پردازنده ها ، کنترل های امنیتی ، ارزیابی تأثیر داده ها ، اطلاع رسانی تخلف و مأمورین حفاظت از داده ها ادامه می یابد. به عبارت دیگر ، قلب و روح از جنبه های امنیتی GDPR. [جریمه2٪GDPRشاملنیازهایاصلیامنیتGDPRاست

دسته دوم جریمه شدیدتر را با 4٪ مجاز دارد. درآمد جهانی (در زیر) همه ما در مورد جریمه های 4٪ برای GDPR صحبت می کنم – من به اندازه هر کسی گناهکار هستم ، اما این جریمه بالاتر به طور خاص به نقض حریم خصوصی مربوط می شود.

بگذارید تکرار کنم: تنظیم کننده ها می توانند حداکثر 4٪ GDPR را برای [نقض نقض کنند. نیازهای حریم خصوصی .

شما می توانید به الزامات خاص GDPR برای خودتان نگاه کنید ، اما مواد 5 ، 6 و 7 مربوط به محدود کردن پردازش برای داده های شخصی ، کسب رضایت و پردازش قانونی به صورت قانونی است.

بقیه موارد حفظ حریم خصوصی شامل اساسی حقوق داده های شخصی اتحادیه اروپا است. من می خواهم این موارد نقض 4٪ را ذکر کنم:

• حق مصرف کنندگان ، یا افراد داده شده در GDPR-ese ، به دسترسی دسترسی به به اطلاعات شخصی آنها (ماده 15)
• حق اشخاص به [ داده های شخصی خود را تصحیح کنید (ماده 16)
• حق اشخاص از شرکتها یا کنترل کننده ها بخواهید اطلاعات را پاک کنند داده های خود را پاک کنند (مقاله 17 ، با عنوان "حق فراموش شدن")

درسته! عدم انجام درخواست های دسترسی به سوژه داده ها (DSAR) یا درخواست حذف راست ، شرکت ها را در ردیف 4٪ شدیدتر قرار می دهد.

شما می توانید این تجزیه و تحلیل قانونی را بررسی کنید و ملاحظات مربوط به تصمیم گیری در مورد جدی بودن نقض های GDPR را بررسی کنید – این شامل تعداد افراد تحت تأثیر ، مدت زمان تخلف ، آسیب دیدن افراد به داده ها و سطح کنترل های فنی و اداری انجام شده است.

خلاصه اینکه ، یک شکست DSAR به طور واضح جریمه 4٪ را تضمین نمی کند ، اما اگر وجود داشته باشد [درسال19659002] با توجه به این زمینه ، اجازه دهید نگاهی به برخی از جریمه های مهمتر در سال جاری بیندازیم.

تصمیمات مهم اجرای GDPR 2019 [19659020] Google

جای تعجب نیست که بزرگترین جریمه ای که تاکنون در سال جاری به دلیل نقض حریم شخصی از موتور جستجوی مورد علاقه همه بود. شکایات گروههای مصرف کننده درباره روند راه اندازی Android ، باعث شد CNIL ، مرجع حفاظت از داده های فرانسه (DPA) ، روند روند شخصی سازی آگهی Google را بررسی کند. در تصمیم خود ، CNIL به دو عامل مهم که منجر به این جریمه عظیم شده

استناد کرد [اول] ، CNIL گفت که گوگل دسترسی آسان به اطلاعات مربوط به پردازش داده های موضوع را ندارد. آنها خاطرنشان كردند كه جزئیات مربوط به پردازش شخصی سازی تبلیغات فقط به "پنج عمل سوژه داده ها" نیاز دارد تا فقط بدانند كه Google با داده های خود چه كرده است. سهولت دسترسی در ماده 12 از GDPR پوشانده شده است ، و گوگل به وضوح آن را نقض کرده است.

دوم ، کنترلر داده ها – در این مورد گوگل – باید در مورد آنچه انجام می دهد با اطلاعات شخصی موضوع روشن باشد. CNIL متوجه شد كه Google نیز در اینجا كوتاه می شود ، و سوابق داده را به اندازه كافی برای رضایت آگاهانه ارائه نمی دهد.

به طور خلاصه: گوگل یافتن اطلاعات مربوط به پردازش داده های شخصی را آسان نكرد ، و آنها بودند. "شفاف" در تولید ناخالص داخلی در مورد آنچه انجام می داد با داده ها هنگامی كه مصرف كننده سرانجام این جزئیات را کشف كرد ، نبود!

و این منجر به نقض ماده 6 شد: گوگل مبنای قانونی برای پردازش نداشت. اطلاعات شخصی جمع آوری شده در Android. به طور خلاصه ، CNIL متوجه شد که گوگل به طور غیرقانونی اطلاعات شخصی را جمع می کند!

در اینجا تجزیه و تحلیل حقوقی بیشتری وجود دارد مبنی بر اینکه چرا گوگل جریمه های بالاتر و جریمه های بالاتری دریافت کرده است – این مربوط به مقیاس و جزئیات شخصی است که توسط Google جمع آوری شده است. نکته اصلی این است که این موارد نقض نه مربوط به نقض امنیت و یا نقض اطلاعات بیشتر در مورد این است که در پایان چیست.

تضمین فعال ، Sergic و روسو

چندین مورد نقض GDPR وجود داشت. اخبار جدیدی را ایجاد می کنید ، اما مطمئناً باید در فهمیدن توجه DPA به توجه داشته باشید.

Sergic ، یک شرکت توسعه املاک فرانسه حدود 450،000 دلار جریمه شد و یک شرکت فرانسوی دیگر ، Active Assurance ، بیش از 200،000 دلار جریمه شد. ایتالیا ، پلتفرم بازی و پردازنده داده معروف به روسو جریمه 50،000 دلاری از Garante ، DPA ملی دریافت کرد.

همه آنها یک چیز مشترک دارند: هر کدام به دلیل نقض الزامات اصلی امنیت GDPR موجود در ماده 32 (امنیت پردازش). دو نفر از آنها ، Sergic و Active ، در نه درگیر نقض امنیت بودند. در عوض ، اقدامات اجرایی توسط تعدادی از كاربران كه متوجه شدند قادر به دسترسی [سایر اطلاعات شخصی کاربران] بودند – فقط با تغییر یك آدرس اینترنتی!

پلتفرم روسو ، هرچند ، هدف نقض قبلی بود ، و باعث شد كه تنظیم كنندگان به اقدامات امنیتی بهبود یافته را بخواهید. در بررسی های بعدی در سال 2019 ، تنظیم کننده ها تصمیم گرفتند که اجرای امنیتی فاقد آن باشد ، و روسو به طور خاص برای ارزیابی آسیب پذیری ناکافی ، اقدامات رمزنگاری ضعیف و محدود [ورودبهسیستم محدود فعالیتهای کاربر فراخوانده شده است.

تصویر: رویه های امنیتی ضعیف که هرگز پس از اخطار قبلی به طور کامل مورد توجه قرار نگرفتند ، بسیار جریمه می شوند.

بریتیش ایرویز و ماریوت

این به خوبی به بزرگترین عناوین GDPR سال ، شامل British Airways ، و Marriot International منجر می شود. . دفتر کمیساریای اطلاعات انگلیس (ICO) اعلام کرد که آنها قصد دارند را پس از کشف نقض های گسترده ، در مورد هر دو شرکت تحقیق کنند. جریمه ها در این مرحله نتایج خوبی دارند و سرانجام در مورد نقض های خاص و مبلغ جریمه نهایی جزئیات بیشتری کسب خواهیم کرد.

با این حال ، ما می توانیم براساس موارد فوق بگوییم که آنها ماده 32 را نقض می کنند و احتمالاً ماده 25 را نقض می کنند. ("محافظت از داده ها با طرح و پیش فرض"). ICO تعداد زیادی از پرونده های درگیر شده – 30 میلیون برای ماریوت و 500،000 برای British Airways – را در مجازاتهای پیشنهادی در نظر گرفت. گرچه نقض ماریوت رکورد بیشتری نسبت به بریتیش ایرویز داشت ، اما این جریمه کوچکتر بود. به نظر می رسید ICO این واقعیت را امکان پذیر می کند که زنجیره هتل واقعی متعلق به متعلق به ماریوت در زمان نقض نبود – بعداً خریداری شد. ICO بیش از پیش به دنبال تلاش های ماریوت در حین خرید است.

سه درس آموخته و یک کلمه از اخطار

من می خواهم به آنچه که به نظر من سه مهم هستند اشاره کنم. درسهایی از این موارد.

1. کاربران یا مشتریان یا گروههای مصرف کننده می توانند مستقیماً از DPA در مورد اقدامات امنیتی یک شرکت شکایت کنند. بنابراین تحقیقات DPA لازم نیست با نقض داده ها آغاز شود. بدیهی است ، نقض های بزرگ توجه تنظیم کننده ها را به خود جلب می کند ، اما این تنها منبع اطلاعاتی برای آنها نیست.

درس: شما نمی توانید از امنیت تحت نظارت GDPR غفلت کنید ، هنگامی که عموم مردم تمام وقت رویه های امنیتی شما را رعایت می کنند!

2. روشهای حفظ حریم خصوصی را فراموش نکنید: این نیمی از GDPR است! و در حالی که نوشتن اطلاعیه های مربوط به حریم خصوصی و اخذ رضایت حقوقی مهم است ، آنها تنها الزامات حفظ حریم خصوصی GDPR نیستند. شما می توانید به دلیل حذف نکردن داده ها در سطح 4٪ جریمه شوید ، یا به درستی اجازه نمی دهید مصرف کنندگان بتوانند به داده های حفظ حریم شخصی خود دسترسی پیدا کنند و تصحیح کنند یا اجازه دسترسی به اطلاعات شخصی را بدون گرفتن رضایت مناسب دریافت نکنند.

درس: حفظ حریم خصوصی اتحادیه اساسی اتحادیه اروپا است درست – در منشور اتحادیه اروپا است! – و به همین دلیل توسط تنظیم کننده ها بسیار جدی گرفته شده اند.

3. DPA فقط صدور جریمه و نوشتن نظرات در مورد اقدامات امنیتی و حریم خصوصی نیستند. آنها را پیگیری می کنند و بررسی می کنند که نقض کننده نقص ها را اصلاح کرده است یا خیر. DPA ها می توانند و تخلفات مربوط به گذشته و تاریخ کلی را در تعیین جریمه برای نقض اطلاعات بعدی یا از بین رفتن امنیت بررسی کنند. ماده 83 می گوید DPA ها می توانند "شخصیت عمدی یا سهل انگاری از نقض" را در نظر بگیرند.

درس: اگر به دلیل نقض حریم خصوصی و امنیتی فراخوانی شوید ، تنظیم کننده های GDPR می توانند آن را به عنوان علامت خرابی کلی در رویه ها و جریمه ها بر این اساس افزایش می یابد.

همه اینها چیست؟ علائم هشدار دهنده روشن بر اساس این جریمه های اخیر ، به ویژه برای سرفه ، به طور خاص در یک شرکت رسانه های اجتماعی ایالات متحده ، اما سایر شرکت های چند ملیتی ایالات متحده وجود دارد: اگر امنیت و حریم خصوصی داده ها را در اولویت اصلی شرکت ها قرار ندهند ، جریمه های جدی وجود خواهد داشت که باعث می شود چهره عالی بریتیش ایرویز به نظر برسد تغییراتی را به وجود آورد.