W okresie poprzedzającym wejście w życie ogólnego rozporządzenia o ochronie danych (RODO) w 2018 r. Podwyższony poziom kar w połączeniu z szeregiem nowych i ulepszonych obowiązki w zakresie ochrony danych wywołało duże poruszenie.
Niektóre organizacje zaczęły działać, mapując przepływy danych, dopracowując zasady, przeprowadzając szkolenia i tak dalej. Inni przyjęli znacznie bardziej zrelaksowane podejście – w końcu udało im się latać pod radarem kontroli regulacyjnej, więc dlaczego RODO miałoby to zmienić?
Po wprowadzeniu rozporządzenia od ponad dwóch lat teraz organy regulacyjne zajmujące się ochroną danych miały czas, aby zająć się egzekwowaniem RODO. Jak wygląda egzekwowanie przepisów przez organy regulacyjne? Czy to rzeczywiście przewidywane duże ryzyko – czy też istnieje większe ryzyko dla wyniku finansowego?
Jednak patrząc na trendy w egzekwowaniu przepisów nałożono kilka ogromnych grzywienwiększość z nich była stosunkowo skromna. Nie jest ich też aż tak wiele, biorąc pod uwagę dużą liczbę powiadomień o naruszeniu bezpieczeństwa i skarg od osób fizycznych, z którymi mają do czynienia organy ochrony danych w całej Europie.
Rzeczywistość jest taka, że kary nałożone przez DPA nie są największym zagrożeniem dla wyników finansowych. Większym zagrożeniem dla wielu firm jest utrata zaufania do organizacji, gdy naruszenie RODO, często związane z cyberbezpieczeństwem, stanie się publicznie dostępne. Może to i regularnie wpływa na ceny akcji i odsuwa biznes.
Uważaj na roszczenia przedstawiciela
Kolejnym zagrożeniem, które staje się coraz bardziej widoczne i może w końcu przyćmić ryzyko egzekwowania prawa przez organy ochrony danych, jest „roszczenie przedstawicielskie”. Powodem, dla którego należy to potraktować poważnie, jest fakt, że roszczenie przedstawiciela nie wymaga od powodów „wyrażenia zgody”. Tego typu roszczenie może zostać wniesione przez osobę lub organizację w imieniu „pokrzywdzonej” klasy osób bez ich zgody. Nie ma potrzeby, aby się „zapisali” – są automatycznie „włączani”, o ile mają wspólną przyczynę działania.
Reklama
Różni się to od innych, bardziej tradycyjnych, pozwów zbiorowych, takich jak pozew wniesiony przez pracowników Morrisons w następstwie kradzieży i publikacji ich danych przez mściwego pracownika. Twierdzenie, w którym na szczęście zwyciężył zdrowy rozsądek w Sądzie Najwyższym, gdzie uznano, że Morrisons nie może być pociągnięty do odpowiedzialności zastępczej za działania tego nieuczciwego pracownika.
„Powodem, dla którego roszczenia przedstawiciela należy traktować poważnie, jest fakt, że nie wymagają one od powodów wyrażenia zgody”
Kirsten Whitfield, Fieldfisher
Precedens dla roszczenia pełnomocnika został ustanowiony przez sprawa Lloyd przeciwko Google, znany również jako przypadek „obejścia problemu w Safari”, który skupiał się na przejrzystości gromadzenia danych. Było to skuteczne roszczenie pełnomocnika rzecznika praw konsumentów Richard Lloyd w imieniu ponad czterech milionów użytkowników Apple iPhone, których łączy wspólna utrata kontroli nad swoimi danymi.
W tym przypadku uznano również, że osoby fizyczne nie musiały ponieść żadnej szkody finansowej, aby mieć roszczenie. Poza tym, że nie ma potrzeby, aby osoby fizyczne decydowały się na roszczenie przedstawiciela, fakt, że nie ma również potrzeby wykazywania jakichkolwiek strat finansowych, sprawia, że jest to bardzo atrakcyjne dla powodów z tytułu naruszenia bezpieczeństwa. Dzieje się tak, ponieważ wykazanie, że poniosłeś straty finansowe lub inne szkody w wyniku konkretnego naruszenia bezpieczeństwa, może być bardzo trudne.
Nie jest to duży skok, aby zobaczyć, jak można to zastosować do naruszeń bezpieczeństwa na dużą skalę, i dokładnie to stało się w niedawno ogłoszonym roszczeniu przeciwko Marriott International, który został wniesiony przez dziennikarza w związku z kompromitacją zgłoszonych 339 milionów rekordów gości podczas infiltracji systemów hotelowych Starwood w 2014 roku.
Marriott nieświadomie odziedziczył naruszenie, kupując Starwood w 2016 r. Po wykryciu naruszenia w 2018 r. Marriott zgłosił to do Information Commissioner’s Office (ICO), brytyjskiego organu nadzorującego ochronę danych. Przy liczbach sięgających tysięcy i milionów zaledwie niewielka suma szkód na osobę może wkrótce dać astronomiczne sumy.
Za jakie organizacje mogą zostać nałożone kary na mocy RODO?
Sądząc po prawie codziennych nagłówkach o naruszeniach danych, wybaczono by ci myślenie, że europejskie organy ochrony danych były zajęte od czasu wprowadzenia RODO, nakładając kary za naruszenia bezpieczeństwa RODO. Kiedy jednak przyjrzymy się egzekwowaniu prawa w całej Europie – na ile to możliwe, biorąc pod uwagę, że nie wszystkie organy ochrony danych w Europie upubliczniają swoje działania w zakresie egzekwowania prawa – widzimy inny obraz.
Podane do publicznej wiadomości kary dotyczące RODO nakładane przez organy ochrony danych w całej Europie przekroczyły próg 200 mln euro. Niektóre organy ochrony danych nałożyły wysokie grzywny w milionach euro, na przykład francuskie i włoskie organy ochrony danych, podczas gdy inne nałożyły skromniejsze grzywny w tysiącach euro, na przykład hiszpański organ ochrony danych, który był zajęty nakładaniem wielu mniejszych grzywien .
Większość tych kar dotyczy nieprzestrzegania praw osób fizycznych, takich jak prawo do informacji o tym, co dzieje się z ich danymi lub prawo dostępu do nich. Kary za naruszenia bezpieczeństwa są w mniejszości. Patrząc na roczny raport ICO, zaskakujące jest to, że przynajmniej w Wielkiej Brytanii zdecydowana większość zgłoszonych naruszeń danych nie jest w rzeczywistości cyberprzestępczością, ale incydentami niezwiązanymi z cyberprzestrzenią – na przykład przypadkowe ujawnienie danych osobowych lub brak ustalenia prawa kontrola dostępu.
Czy mniejsze organizacje naprawdę potrafią latać pod radarem?
To błędne przekonanie, że jeśli Twoja organizacja nie jest znaną firmą, nie musisz się zbytnio martwić, że zostaniesz ukarany grzywną przez organ ochrony danych. Tak, organy ochrony danych uważnie przyglądają się niektórym dużym firmom z dużymi zbiorami danych i testują ich ochronę prywatności, ale nie są jedynymi, które przyciągają uwagę organów ochrony danych w Europie. Jednak wiele mniejszych organizacji, o których większość z nas prawdopodobnie nigdy nie słyszała, znalazło się w gorącej wodzie dzięki organom ochrony danych.
Zaskakujące jest również, jak często brak współpracy z dochodzeniem organu ochrony danych jest cytowany w opisie podjętych działań egzekucyjnych. Gdyby organizacje były bardziej skłonne do współpracy, czy ich kary byłyby niższe, czy w ogóle ich nie było?
Jakie są największe zagrożenia cybernetyczne?
Zaskoczeniem może być, że IBM Security / Ponemon Institute 2020 Koszt zgłoszenia naruszenia danych ujawnia, że przynajmniej w Wielkiej Brytanii ataki ransomware, które często cieszą się dużym rozgłosem (w tym niektóre z nich od samych bohaterów), stanowiły tylko 8% tych naruszeń w przypadku firm i 10% w przypadku organizacji charytatywnych. Niestety, w wyniku pandemii wymuszającej zmiany wzorców pracy i dużego uzależnienia od technologii pracy zdalnej, spowodowało to, że pracownicy byli bardziej niż kiedykolwiek narażeni na złośliwe ataki.
„Badanie przeprowadzone przez IBM Security / Ponemon Institute wykazało, że powszechna praca zdalna w wyniku pandemii powinna wydłużyć nie tylko czas potrzebny do zidentyfikowania i powstrzymania potencjalnego naruszenia, ale także koszt takiego naruszenia”
Kirsten Whitfield, Fieldfisher
Zgodnie z wynikami badania duża część ankietowanych uważała, że powszechna praca zdalna zwiększy nie tylko czas potrzebny do zidentyfikowania i powstrzymania potencjalnego naruszenia, ale także koszt takiego naruszenia. Ta korelacja ma sens, ponieważ szybka i skuteczna reakcja na naruszenie pomaga obniżyć koszty naruszenia. Podkreśla to badanie, które podkreśla, jak dobrze przygotowany zespół reagowania na incydenty może mieć dramatyczny wpływ na koszt obsługi naruszenia.
Na poziomie brytyjskim Departament ds. Cyfrowych, Kultury, Mediów i Sportu (DCMS) ujawnił w swoim Ankieta dotycząca cyberprzestępczości 2020 że średnio prawie połowa firm (46%) i jedna czwarta organizacji charytatywnych (26%) zgłosiła, że w ciągu ostatnich 12 miesięcy miała jakiś rodzaj naruszenia bezpieczeństwa cybernetycznego lub ataku.
Biorąc pod uwagę wielkość organizacji, najwyższy odsetek ataków dotyczył dużych firm (75%) w ciągu ostatnich 12 miesięcy. Zdecydowanie największy odsetek tych naruszeń lub ataków był wynikiem oszukańczych wiadomości e-mail lub kierowania na oszukańcze strony internetowe (86% dla firm i 85% dla organizacji charytatywnych).
Jaki wpływ miała pandemia na egzekwowanie prawa?
Z danych dotyczących egzekwowania prawa w całej Europie wynika również, że pandemia ta nie tylko wpłynęła na ryzyko naruszenia bezpieczeństwa cybernetycznego, ale także na sposób egzekwowania przez organy ochrony danych w tym czasie.
Na początku szereg organów regulacyjnych publicznie oświadczyło że wezmą pod uwagę pandemię rozważając działania egzekucyjne, choć niektórzy z wyraźnym zastrzeżeniem, że pandemia nie byłaby wymówką dla złego przestrzegania przepisów.
Równolegle z tym, patrząc na kary nakładane w całej Europie, zauważalne jest spowolnienie ich nakładania od marca do maja tego roku. Tempo grzywien zaczęło ponownie rosnąć od czerwca, a organy ochrony danych najwyraźniej wracały do normalnych działań, przynajmniej jeśli chodzi o nakładanie grzywien.
Które organy ochrony danych nakładają największe kary?
Pięć krajów z największą liczbą mandatów wynikających z RODO według łącznej wartości, w tej kolejności, to Włochy, Francja, Niemcy, Austria i Szwecja.
Wielka Brytania zajmuje bardzo niskie pozycje w rankingach i obecnie nie znajduje się w pierwszej piątce. W rzeczywistości, na podstawie najnowszego raportu rocznego ICO za rok 2019/2020, widzimy, że jeśli chodzi o obsługiwane naruszenia bezpieczeństwa, 95% naruszeń w Wielkiej Brytanii zakończyło się brakiem dalszych działań, a tylko 0,03% skutkowało grzywną.
ICO wydało kilka oświadczeń prasowych o „zamiarze nałożenia grzywny” w lipcu 2019 r., Odnoszących się do Incydenty bezpieczeństwa British Airways i Marriott. Żadne nie zostały jeszcze wydane. Proponowane kwoty odpowiednio 183 390 000 i 99 200 396 funtów postawiłyby Wielką Brytanię na szczycie tabeli liderów pod względem wysokości grzywien RODO. W międzyczasie świat ogarnęła pandemia, a sytuacja w branży turystycznej i hotelarskiej wygląda teraz diametralnie inaczej niż rok temu.
Rzut oka na półroczne wyniki IAG ujawnia, że British Airways zarezerwowały 22 miliony euro na naruszenie danych. Drastyczne obniżenie pierwotnie przewidywanej kary. Chociaż są to zwykłe spekulacje, zmieniony los obu organizacji może spowodować dramatycznie spadek grzywny od ICO.
Który sektor znajduje się na szczycie tabeli liderów pod względem grzywien?
Szczególnie zauważalna jest liczba grzywien, które organy ochrony danych w całej Europie nałożyły w sektorze zdrowia – na świadczeniodawców. Opublikowane dane ICO w sprawie działań wykonawczych w 2020 r, ankieta DCMS 2020 i wyniki ankiety IBM Security / Ponemon dotyczące kosztów naruszenia wskazują, że sektor opieki zdrowotnej jest szczególnie narażony.
Łatwo jest dostrzec, jak małe organizacje w tym sektorze, z ograniczonymi zasobami na bezpieczeństwo i szkolenia, ale z odpowiedzialnością za niektóre dość wrażliwe dane zdrowotne, mogą być nie tylko bardziej podatne na uderzenie w bezpieczeństwo, ale także na egzekwowanie przepisów przez DPA, kiedy tak się dzieje . Co więcej, IBM Security / Ponemon informuje również, że średni koszt naruszeń w 524 organizacjach w 17 krajach badanych w ramach corocznego badania w 2020 r. Był dziesiąty rok z rzędu średnio najwyższy w sektorze zdrowia.
Czy nałożono jakieś kary za niezgłoszenie naruszeń w ramach czasowych wymaganych przez RODO?
Organy ochrony danych nałożyły kilka grzywien, w których wspomniały o terminie powiadomienia. Generalnie jednak albo w ogóle nie było powiadomienia, albo było bardzo późno. Kilka dni opóźnienia nie wydaje się być dużym problemem dla organów ochrony danych.
Jakie są częste błędy w cyberbezpieczeństwie prowadzące do nałożenia kar?
Ogólnie rzecz biorąc, organy ochrony danych nie są zainteresowane karaniem organizacji, które usilnie starały się nadążyć za duchem czasu i zabezpieczyć swoje systemy, ale mimo to im się to nie udało. Zespół Fieldfisher ds. Prywatności regularnie widzi, że klienci otrzymują od organów ochrony danych informację o braku dalszych działań, gdy byli w stanie wykazać, że naprawdę zrobili to, co mogli. W końcu, nawet mając najgłębsze kieszenie, czy jakakolwiek organizacja naprawdę może powiedzieć, że jej dane są w 100% bezpieczne?
To, nad czym tak naprawdę pracują organy ochrony danych niedociągnięcia, które są często niedrogie, a czasem dość podstawowe ale z jakiegokolwiek powodu nie zostały wdrożone. Na przykład ustanowienie i utrzymywanie odpowiednich wewnętrznych kontroli dostępu, wdrażanie uwierzytelniania dwuskładnikowego w celu zmniejszenia ryzyka złośliwej infiltracji, przechowywanie danych długo po ich wygaśnięciu oraz brak przeprowadzenia wystarczająco szczegółowej analizy due diligence dostawców, którzy mają dostęp do danych osobowych. .
Microsoft poinformował o zbliżającej się dostępności nowego sztuczna inteligencja (AI) w ramach swojej oferty cyberbezpieczeństwa, która twierdzi, że „dramatycznie...
Lenovo ogłosiła swój pierwszy telefon do gier, Legion Pro i Legion Duel, w 2020 roku. Pierwsze urządzenia wyróżniały się wysokiej klasy specyfikacjami, estetyką...
