26 ноября 2018

Немецкий сервис знакомств получил первый прецедент штрафа по GDPR

Сервис для знакомств knuddels.de нарушила пункт «а» статьи 32 GDPR, который требует шифровать персональные данные пользователей, что и стало прецедентом первого штрафа по GDPR.

В недавнее время сервис knuddels.de был взломан. В результате чего были похищены 808 тыс. электронных адресов и более 1,8 млн имен пользователей. Данный инцидент не остался без внимания со стороны регулятора, в результате чего был создан первого прецедента первого штрафа по GDPR (General Data Protection Regulation). Размер штрафа составил 23 0000 евро.

О кибератаке

Неизвестные похитили данные с серверов соцсети и опубликовали их в открытом виде на Pastebin и Mega. По словам сотрудников компании, инцидент затронул всех пользователей, имевших учетную запись в сервисе или зарегистрированных в чате по состоянию на 20 июля 2018 года.

Как оказалось позднее, соцсеть хранила конфиденциальные данные пользователей, в том числе пароли, без какой-либо защиты. В связи с этим, власти обязали сайт nuddels.de заплатить штраф за нарушение требований GDPR. Данный случай является первым в Германии, когда компанию привлекли к ответственности за нарушение GDPR, вступившего в силу в Евросоюзе в мае нынешнего года.

В зависимости от ущерба и количества пострадавших, GDPR предусматривает наказание в виде штрафа до 20 млн евро или 4% от годовой выручки компании. Соцсеть nuddels.de выполнила практически все требования регламента, за исключением одного – пункта «а» статьи 32, требующего шифровать персональные данные пользователей.

О GDPR

В мае 2018 года Европа переключится на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR – General Data Protection Regulation). Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Важным нюансом GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, поэтому российским компаниям следует внимательно отнестись к ним, если услуги ориентированы на европейский или международный рынок.

Новый регламент предоставляет резидентам ЕС инструменты для полного контроля над своими персональными данными. С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают 20 миллионов евро (около 1,5 млрд руб.) или 4% годового глобального дохода компании. В настоящей статье мы проанализировали новые правила обработки персональных данных в ЕС и сформулировали рекомендации для российских компаний по методам реагирования на GDPR.

gdpr