Витік даних у США та ЄС: хто кручє штрафує?

Америка. Вона така лагідна до захисту персональних даних. Це вам не ЄС із їх Директивою та GDPR. То це тому Uber в США заплатить 148 мільйонів доларів США за витік персональних даних, а не якісь жалюгідні 20 мільйонів Євро? Не зовсім так.

У 2016 році хакери викрали персональні дані 57 мільйонів користувачів Uber та 7 мільйонів водіїв. Вони отримали  доступ до закритого репозиторію GitHub та використали облікові дані для автентифікації в клауд-сервіс на Амазоні. Директор із безпеки даних Uber Джо Салліван вирішив, що простіше із власного гаманця заплатити хакерам за мовчання, ніж повідомити про це державні органи або хоча б керівництво.

Законодавство Штатів, подібно до правил GDPR, вимагає повідомляти органи про витік даних. А не домовлятися із хакерами.

«А дарма» — подумав Джо Салліван і заплатив викрадачам за мовчання 100 тисяч доларів США. Так скандал міг би і завершитися, а тимчасовий витік імен, адрес електронної пошти, телефонів, номерних знаків — залишитися у секреті.

Але секрет прожив недовго. В Uber про все дізналися, Джо Саллівана звільнили. І навіть це не врятувало від штрафу у 148 мільйонів доларів США в рамках угоди, досягнутої із 50 генпрокурорами кожного штату та округу Колумбії.

А як там за GDPR? Якщо контроллер або процесор не повідомить контролюючі органи про витік даних протягом 72 годин, відколи дізнався про порушення, він повинен заплатити штраф до 10 мільйонів євро або 2% річного світового обороту за минулий фінансовий рік (що більше). А якщо там ще й базові принципи порушено — то може бути ще плюс 20 мільйонів євро або 4% річного обороту.

То це GDPR, виходить, лагідний?

Не зовсім. Для великих компаній як Uber 2–4% обороту — це багато (в Uber оборот за 2016 рік складав 20 мільярдів доларів США, отже, штраф міг би становити максимум 800 мільйонів доларів США).

Врятувати контролерів та процесорів за GDPR можуть ряд факторів, як-от:

• нетривале порушення (коли оцінюється серйозність та тривалість порушення з урахуванням мети та обсягів розробки),
• невелика кількість постраждалих (коли оцінюється кількість суб’єктів персональних даних, щодо яких стався витік даних),
• активні дії контролера чи процесора на зменшення негативного впливу,
• самостійне повідомлення органу, а не інформація зі ЗМІ (коли оцінюється спосіб, за якого контролюючий орган дізнався про витік).

Виглядає, що навіть якби Uber жонглював доступом до ключів, за якими ховаються мільйони персональних даних, у ЄС фактори все одно би свідчили не на користь Uber. Звісно, штраф міг би бути і меншим, ніж погоджена сума угоди в США (але це не точно).

Якщо скандал щодо Uber — вже майже не новина, то тижневої давності інформація про витік даних у Facebook — ще і яка новина. Внаслідок атаки хакерів на Facebook і його чутливі місця близько 50 мільйонів облікових записів опинилися під ризиком неправомірного доступу до їх даних. Хакерів цікавили імена, стать та рідне місто користувачів. Приватні повідомлення та дані банківських карток не постраждали (поки що). Якщо когось із вас тиждень тому викинуло із вашого облікового запису без причини — знайте: це були превентивні заходи Facebook, щоб хакери не отримали доступ ще й до вас. Бо Facebook каже, що розібрався із проблемою 27 вересня. Але скільки існувала проблема до цього — хто зна, хто зна.

Допомогти розібратися із ситуацією люб’язно погодилося ФБР. І, що сумніше для Facebook, — органи з захисту персональних даних.

А так як постраждали і дані користувачів з ЄС (близько 10% з уражених облікових записів), комусь світить штраф.

Якщо Uber нарвався на штраф за сам факт неповідомлення, то Facebook швиденько повідомив громадськість в рамках 72 годин. Але швидше за все, Facebook таки отримає штраф за неналежні практики захисту персональних даних. Тримаємо руку на пульсі (Марка Цукерберга).