Рекордните GDPR глоби за BT и Marriot са само аларма за Google и Facebook

British Airways и Marriott получиха най-големите досега глоби за нарушения на Общия регламент защита на личните данни (GDPR), който влезе в сила преди малко повече от година. На хоризонта обаче може би се задават дори по-големи предвид, че технологичните компании Facebook, Google и Apple се разследват от ирландския регулатор, пише CNBC в свой анализ. 

Офисът на британския информационен секретар (ICO) глоби British Airways с 230 млн. долара заради изтичането на данни за кредитните карти на 500 000 клиенти. Предложената финансова санкция за Marriot е в размер на 123 млн. долара, а причината е пробив в системата за резервации на нейния бранд Starwood, довел до компрометирането на информацията за 339 млн. гости. И двете компании вече обявиха, че ще обжалват решенията на ICO, каквото право имат по закон.  

Значението на глобите по GDPR обаче надхвърля далеч финансовия размер. Регламентът е много широк с малко детайли, а в добавка на това компаниите все още не са наясно как регулаторите в Европейския съюз (ЕС) тълкуват закона. Една ключовите неясноти е свързана с това какво представляват „адекватните“ мерки за сигурност. 

По презумпция пробиви сами по себе си не са причина за санкция. Ролята на регулатора е да проучи дали преди случването му засегнатата компания е взела необходимите мерки за защита на събираните от нея лични данни, така че да осигури сигурност. 

Максималната глоба по GDPR е в размер на 4% от глобалния годишен оборот на фирмата. Санкциите и на British Airways, и на Marriot представляват 1.5% от приходите им за 2018 г. Комисията заяви, че и двете компании са оказали пълно съдействие при разследванията. 

Случилото се с тях обаче вдига залозите за съдбата на технологичните компании, като Google и Facebook, които понастоящем са обект на разследване в ЕС. До голяма степен законодателството бе направено именно за тях. Google може да бъде санкционирана с до 5 млнрд. долара, а Facebook – с до 2.2 млрд. долара, съдейки по годишните приходи на двата гиганта за 2018 г.

По-рано тази година ICO посочи, че ще разследва Google за изтичане на данни за клиенти от нейната рекламна платформа. Компанията вече бе санкционирана по GDPR от френския регулатор – той я наказа с 57 млн. долара през януари заради „липса на прозрачност“ и валидни контролери за съгласие на потребителите 

Facebook също се нагърби със санкции покрай скандала с Cambridge Analytica, при който бе установено, че потребителите не са били надлежно уведомени, че данните има се използват за политически изследвания и реклама. За този инцидент социалната мрежа понесе скромна глоба от 644 000 долара. В момента обаче компанията се разследва за нарушения, свързани с потребителските имена и пароли на платформите на Facebook и Instagram. Очаква се, че те може да струват много по-скъпо. 

Наказателния език в ЕС е различен и значително по-рестриктивен от този в САЩ. Отвъд океана компаниите се третират по-скоро като жертви на киберпрестъпления, а не като виновни за загуба на данни. Тази гледна точка бе отразена и в изявлението изпълнителния директор на Marriot Арне Соренсон. Разочарован от новината, той подчертава, че управляваната от него компания е сътрудничила на ICO по време на разследването. 

В случая на Marriot регулаторът поставя въпроса колко добре компанията е проучила и защитила данните, когато е придобила бранда Starwood в сделката за 13.6 млрд. долара, която бе финализирана през 2016 г. 

„GDPR ясно казва, че организациите трябва да носят отговорност за личните данни, които притежават“, изтъкват ICO и обяснява, че това включва и надлежната проверка при извършване на корпоративно придобиване и въвеждане на подходящи мерки за отчетност, за да се оцени не само каква информация е събрана, но и как се защитава. 

Все още е рано да се каже как ще се развият нещата след обжалванията на глобите. Компаниите обаче се съсредоточават внимателно върху ранната формулировка на решенията на комисията, обяснява Пол Феррило, партньор с практика в сферата на киберсигурността в адвокатската кантора Greenberg Traurig.  

„Предложената глоба срещу Marriott трябва да послужи като известие за други компании, които са под разследване“, казва той, подчертавайки, че така става ясно, че GDPR е съвсем истински и реален. „Без съмнение ще имаме повече глоби и наказания от страна на регулаторните органи на ЕС“, смята още Феррило. 

С действията си ICO показва, че ще се концентрира върху компаниите, за които смята, че са „небрежни в своите отговорности“, а не просто върху всяка голяма и малка корпорация с нарушения на данните, казва пък Чет Вишневски, главен научен сътрудник в компанията Sophos.

Той обяснява, че регулаторът ще налага солидни наказания в случаите, когато види продължително отлагане на поправката на системата, особено след предоставени много такива шансове. Конкретно случаят на Marriot ще привлече вниманието на всички към сливанията и придобиванията и това как компаниите анализират заварените системи за събиране и обработване на лична информация.