/写真キーファー CC BY-SA
ソフトスタートGDPR
GDPR は2018年5月25日に発効しました 。 その時までに、欧州連合の居住者の個人データを保存および処理するすべての組織は、ユーザー契約を更新し、規制の要件に従ってすべての作業プロセスを導入する必要がありました。 要件に違反した場合、罰金が2,000万ユーロ、または違反企業の年間収益の4%の金額で科せられました。
しかし、すべての企業が適切な注意を払って規制を扱ったわけではありません。 Ponemon Instituteのアナリストによる調査によると、ヨーロッパおよびアメリカの組織の半数以上がGDPRのすべての期限要件を満たしていませんでした 。 そのため、 The Vergeを含む多くの主要な出版物は、欧州の規制当局が新しい法律の「ソフトローンチ」を実施することを提案しました。 つまり、最後の手段として罰金を考慮して、しばらくの間、彼らは違反者に罰金を科しません。
全体として、これは起こりました; FacebookやGoogleのような大企業でさえ罰せられませんでした。 規制の初日に苦情が提出されました。 その後、データ保護のためにオーストラリアの弁護士と戦闘機が訴訟を起こした Max Schrems(Max Schrems)。 シュレムスは、企業がサービスへのアクセスを制限するという脅威の下で個人データの処理に同意することをユーザーに強制していると主張しました。 ケースはまだ検討中ですが 、最終的には請求が取り消される可能性があります。
それでも誰が罰金を受け取ったのか
GDPRの発効から数か月後、欧州の規制当局は企業へのアプローチを強化しました。 11月、バーデンヴュルテンベルグ州(LfDI)のドイツ地域の規制当局は、クヌーデルとデートするためにチャットアプリに罰金を科しました。 この事件は、ドイツのGDPRに対する最初の刑罰でした。
9月に、サービスは33万人のユーザーのログインとパスワードがネットワークに漏洩する「ギャップ」を発見しました 。 すべての個人データは暗号化されていないテキストファイルの形式で保存されていました。 ドイツの規制当局は、会社に2万ユーロの罰金を科しました。 Knuddlesは直ちにリークを報告し、追加のセキュリティ対策を導入することに同意したため、金額は比較的少なかった 。
/写真ストックカタログ CC BY
9月に知られるようになったGDPRに対するもう1つのペナルティは、ポルトガルデータ保護委員会(CNPD) によって課せられました 。 彼はポルトガルの病院の一つを受け取りました。 彼女の医療記録保管システムに脆弱性が発見され、偽の従業員プロファイルを使用して患者データにアクセスできるようになりました。 病院で働いていた医師はわずか296人でしたが、システムには985個の登録アカウントが見つかりました。 医療機関は40万ユーロを支払わなければなりませんでした。
GDPRの要件に違反した場合、最初の最大罰金が科されました。 英国の規制当局は、カナダのコンサルティング会社AggregateIQに、ターゲットを絞ったキャンペーンを実施するためのソーシャルネットワークのユーザーからのデータの違法な収集と処理に対して2000万ユーロを支払うよう命じました 。 現在、AggregateIQは罰金に異議を唱えようとしていますが、おそらく会社はまだそのお金を手放さなければならないでしょう。
誰が罰金を得ることができますか
これまでのところ、GDPR要件への違反に対する最大のペナルティと比較して、GDPR要件に違反した場合に課される罰金は非常に小さいままです(AggregateIQの状況を除く)。 しかし、データ保護の専門家であり、情報セキュリティに関する本の著者であるGuy Bunkerは、法律は「まだ歯を見せている」と考えています。 データ漏洩はほぼ毎日発生するため、バンカーは近い将来罰金が大幅に増加すると考えています。
情報セキュリティコンサルタントのベンジャミンエリスは彼に同意します。 彼によると、規制当局は企業がセキュリティの「ギャップにパッチ」を適用するのを喜んで支援し、実際には罰則を適用しなかった。 しかしエリスは、2019年に規則違反者がより厳しく扱われると信じています。
来年の最初の主要な「GDPRの犠牲者」の1人はマイクロソフトかもしれません 。 ITの巨人は、ユーザーデータ(IPアドレスと転送された電子メールのヘッダー)の保存に違反しているとして非難されました。 同時に、このデータの一部は米国(GDPRで要求されているヨーロッパではなく)にあるサーバーに落ち、ユーザーはテレメトリの収集について警告されませんでした。
近い将来、別の大きな罰金がFacebookを脅かす 。 9月にソーシャルネットワークがハッキングされ、攻撃者は5,000万人のユーザーの個人データを盗みました。 現在、欧州の規制当局は、Facebookの過失がリークにつながっているかどうか、およびEU市民がデータ盗難の影響を受けているかどうかを調査して決定しようとしています。 Facebookは最大40億ドルを支払う必要があります。
来年、ヨーロッパのユーザーの個人データの処理における違反に対する罰金はますます増えると想定されます。 「オイル・イン・ザ・ファイアー」は、ePrivacy規制を追加し 、2019年に運用を開始する予定です。
Cookieを使用するためのルールをさらに強化し、IT企業に頭痛の種を追加します。 また、彼の要件を順守しなかった場合の罰金も高くなります。犯人会社の年間収益の2〜4%または1,000万ユーロです。
最初の企業IaaSブログのPS関連コンテンツ:
PPS IaaSテクノロジーに関するテレグラムチャネル: