Denda pertama untuk GDPR: siapa yang sudah dihukum

GDRP mulai berlaku lebih dari enam bulan lalu, tetapi regulator mulai menulis "surat kebahagiaan" pertama baru-baru ini. Materinya tentang perusahaan-perusahaan yang sudah menerimanya.


/ foto Kiefer CC BY-SA

Soft Start GDPR

GDPR mulai berlaku pada 25 Mei 2018 . Pada saat itu, semua organisasi yang menyimpan dan memproses data pribadi penduduk Uni Eropa harus memperbarui perjanjian pengguna dan membawa semua proses kerja sesuai dengan persyaratan peraturan. Untuk ketidakpatuhan dengan persyaratan, denda dijatuhkan dalam jumlah dua puluh juta euro atau empat persen dari pendapatan tahunan perusahaan yang melanggar.

Tetapi tidak semua perusahaan memperlakukan peraturan dengan baik. Menurut sebuah studi oleh analis di Ponemon Institute, lebih dari setengah organisasi Eropa dan Amerika gagal memenuhi semua persyaratan tenggat waktu GDPR. Oleh karena itu, banyak publikasi besar, termasuk The Verge , menyarankan agar regulator Eropa akan melakukan "peluncuran lunak" undang-undang baru. Artinya, untuk beberapa waktu mereka tidak akan mendenda pelanggar, mengingat hukuman keuangan sebagai upaya terakhir.

Secara keseluruhan, ini terjadi, bahkan perusahaan besar seperti Facebook dan Google tidak dihukum. Keluhan diajukan pada hari pertama aturan. Kemudian gugatan diajukan oleh pengacara dan pejuang Australia untuk perlindungan data Max Schrems (Max Schrems). Shrems mengklaim bahwa perusahaan memaksa pengguna untuk menyetujui pemrosesan data pribadi di bawah ancaman pembatasan akses ke layanan. Dan meskipun kasus ini masih dipertimbangkan , ada kemungkinan bahwa pada akhirnya dakwaan akan dicabut.

Namun demikian yang menerima denda

Beberapa bulan setelah berlakunya GDPR, regulator Eropa memperketat pendekatan mereka kepada perusahaan. Pada bulan November, regulator wilayah Jerman Baden-Württemberg (LfDI) mengenakan denda pada aplikasi Obrolan untuk berkencan dengan Knuddels. Kasus ini adalah hukuman pertama bagi GDPR di Jerman.

Pada bulan September, layanan menemukan "celah" di mana login dan kata sandi 330 ribu pengguna bocor ke jaringan . Ternyata semua data pribadi disimpan dalam bentuk file teks yang tidak terenkripsi. Regulator Jerman mengenakan denda 20 ribu euro pada perusahaan. Jumlahnya relatif kecil , karena Knuddles segera melaporkan kebocoran dan setuju untuk memperkenalkan langkah-langkah keamanan tambahan.


/ foto Katalog Saham CC BY

Hukuman lain pada GDPR, yang kemudian dikenal pada bulan September, dijatuhkan oleh Komisi Perlindungan Data Portugal (CNPD). Dia menerima salah satu rumah sakit di Portugal. Kerentanan ditemukan dalam sistem penyimpanan rekam medis yang memungkinkannya untuk mengakses data pasien menggunakan profil karyawan palsu. 985 akun terdaftar ditemukan dalam sistem, meskipun hanya 296 dokter yang bekerja di rumah sakit. Lembaga medis harus membayar 400 ribu euro.

Denda maksimum pertama dikenakan karena melanggar persyaratan GDPR. Regulator Inggris memerintahkan perusahaan konsultan Kanada AggregateIQ untuk membayar dua puluh juta euro untuk pengumpulan ilegal dan pemrosesan data dari pengguna jejaring sosial untuk kampanye kampanye yang ditargetkan. Sekarang AggregateIQ mencoba untuk menantang denda, tetapi mungkin perusahaan masih harus berpisah dengan uangnya.

Siapa lagi yang bisa mendapatkan denda

Sejauh ini, denda yang dikenakan karena melanggar persyaratan GDPR tetap sangat kecil (dengan pengecualian situasi dengan AggregateIQ), dibandingkan dengan hukuman maksimum karena tidak mematuhi persyaratan GDPR. Namun, pakar perlindungan data dan penulis buku tentang keamanan informasi, Guy Bunker percaya bahwa undang-undang itu "akan tetap menunjukkan giginya." Kebocoran data terjadi hampir setiap hari, sehingga Bunker percaya bahwa denda akan meningkat secara signifikan dalam waktu dekat.

Benjamin Ellis, seorang konsultan keamanan informasi, setuju dengannya. Menurut dia, sementara regulator bersedia membantu perusahaan "menutup celah" dalam keamanan dan praktis tidak menerapkan hukuman. Namun Ellis percaya bahwa pada 2019, pelanggar aturan akan diperlakukan lebih berat.

Salah satu "korban GDPR" besar pertama tahun ini adalah Microsoft . Raksasa IT itu dituduh melanggar penyimpanan data pengguna - alamat IP dan header email yang diteruskan - aplikasi Office. Pada saat yang sama, beberapa data ini jatuh pada server yang berlokasi di AS (dan bukan di Eropa, seperti yang dipersyaratkan oleh GDPR), dan pengguna tidak diperingatkan tentang pengumpulan telemetri apa pun.

Denda besar lain dalam waktu dekat mengancam Facebook. Pada bulan September, jejaring sosial diretas - penyerang mencuri data pribadi 50 juta pengguna. Sekarang regulator Eropa sedang menyelidiki dan mencoba untuk menentukan apakah kelalaian Facebook menyebabkan kebocoran dan berapa banyak warga Uni Eropa yang terkena dampak pencurian data. Facebook mungkin diharuskan membayar hingga empat miliar dolar.

Dapat diasumsikan bahwa tahun depan akan ada semakin banyak denda atas pelanggaran dalam pemrosesan data pribadi pengguna di Eropa. "Minyak dalam api" akan menambah Regulasi ePrivacy, yang seharusnya mulai beroperasi pada 2019.

Lebih lanjut akan memperketat aturan untuk bekerja dengan cookie dan menambah sakit kepala ke perusahaan IT. Dan denda karena ketidakpatuhan terhadap persyaratannya juga tinggi: dari dua hingga empat persen dari pendapatan tahunan perusahaan pelakunya atau sepuluh juta euro.

---

Konten Terkait PS dari Blog IaaS Perusahaan Pertama:

• Efek GDPR: bagaimana peraturan baru telah mempengaruhi ekosistem IT
• Peraturan kerja dengan data pribadi di Rusia dan Eropa
• PD di cloud: area tanggung jawab pelanggan dan penyedia cloud

PPS Saluran Telegram kami tentang teknologi IaaS:

• Cara menangani PD di Rusia dan Eropa
• Mengapa penyedia IaaS yang baik tidak membangun pusat datanya
• Di mana superkomputer sudah digunakan