GDPR в действии: как ЕС штрафует компании, которые не управляют паролями надлежащим образом

Общее положение о защите данных Европейского союза (GDPR) вступило в силу почти два года назад, и следует сказать, что сейчас оно вызывает столько же споров, сколько и в 2018 году. Есть люди, которые продолжают отклонять его как бесполезное часть регулирования, которая привела к появлению не более чем всплывающей волны, которую граждане ЕС должны закрывать всякий раз, когда они посещают новый веб-сайт. Другие считают, что это правильный ответ на растущее число онлайн-угроз, которые ставят под угрозу нашу конфиденциальность. Однако, чтобы по-настоящему оценить успех GDPR, вы должны уметь точно определить, что это такое. Давайте начнем с более видимых эффектов GDPR.

GDPR и пользователи

Многие из вас могут знать, что всплывающие окна согласия не начинались с GDPR. ЕС довольно твердо убежден в том, что веб-сайты должны получить разрешение пользователя, прежде чем хранить куки на своих компьютерах в течение достаточно долгого времени. Многие веб-сайты отображали информацию об использовании файлов cookie еще до 2018 года, и тогда люди тоже жаловались на них.

Работа куки-файлов заключается не только в том, чтобы отслеживать вас или нарушать вашу конфиденциальность. Они часто необходимы для правильной работы веб-сайтов и онлайн-сервисов. Новое всплывающее окно с согласием GDPR дало вам возможность полностью использовать потенциал веб-сайта, а также убедиться, что рекламодатели не слишком агрессивны в своей деятельности по отслеживанию. Это сработало, хотя?

Ну, в том-то и дело, что многие люди либо закрывают всплывающие окна, либо нажимают кнопку «Я согласен», даже не прочитав предупреждение, которое показывает, что в некоторой степени мера не особенно эффективна. В то же время, однако, есть пользователи, которые понимают, что их конфиденциальность важнее, чем задержка в несколько секунд, поэтому всплывающие окна не являются абсолютно бесполезными.

Для поставщиков услуг это была одна из самых простых мер для реализации, и вам было бы сложно найти веб-сайт, который не пытался бы сказать вам, какие компании могут посмотреть на ваши данные, поэтому с этой точки зрения регулирование работает. Проблема здесь больше связана с пользователями и их нежеланием обучаться.

GDPR и поставщики онлайн-услуг

Некоторые люди могут не понимать, что всплывающие окна с файлами cookie были далеко не единственными изменениями, которые принес ВВПР. Чтобы соответствовать правилам, многим компаниям пришлось пересмотреть свою оценку рисков, свои механизмы защиты данных, свои планы реагирования на инциденты и процедуры раскрытия информации. Некоторые из них знали, что они не могут этого сделать, и они выручили, решив прекратить предлагать свои услуги в ЕС. Другие также не смогли этого сделать, но они решили продолжить работу и надеются, что киберпреступники не будут пойманы или, что еще хуже, станут жертвами.

Это очевидно не сработало для всех. Согласно данным отслеживания ВВПR от CoreView, власти ЕС наложили значительные штрафы на более чем 28 компаний и собрали более 428 миллионов евро (около 465 миллионов долларов).

Большинство основных нарушений заключается либо в неспособности защитить информацию пользователей, раскрытии личных данных через другие каналы, либо в чрезмерном сборе личных данных. Большое количество нарушений можно интерпретировать двумя совершенно разными способами. С одной стороны, вы можете принять их как знак того, что правила и нормы работают, и компании, которые не соблюдают их, платят цену. Однако, с другой стороны, быстрый взгляд на причины штрафов показывает, что довольно много бизнес-организаций допустили некоторые довольно простые ошибки безопасности, и можно с уверенностью сказать, что есть много других, которые виновны в том же, но еще предстоит открыть.

В целом GDPR потребуется гораздо больше времени, чтобы оказать существенное влияние на то, как пользователи и поставщики услуг обрабатывают личные данные. И даже когда это происходит, это не должно рассматриваться как панацея. Цель GDPR не состоит в том, чтобы полностью устранить многочисленные угрозы нашей конфиденциальности в Интернете, и это, конечно, не может положить конец взлому данных. Однако он может (и, будем надеяться, будет) сделать так, чтобы слова «мы очень серьезно относились к безопасности» были чем-то большим, чем просто шаблонное заявление, выпущенное после кибератаки.