2020 legnagyobb GDPR bírságai – második rész

Előző cikkünkben az öt eddigi legnagyobb GDPR bírságot, azok okait soroltuk fel cikkünkben. A utolsó öt helyezett között is vannak szép számmal milliós tételek.

A GDPR 2018 májusa óta védi a személyes adatainkat, azóta több adatvédelmi hatóság aktivizálta magát és szabott ki bírságokat. Az egyik módja a GDPR bírság elkerülésének, ha megfelelő szabályzattal és adatvédelmi előírásokkal fegyverkezünk fel. Ha rendszeresen átnézzük és töröljük a nem szükséges adatokat, azzal megelőzzük, hogy ezek az adatok a vállalaton kívülre kerüljenek – vagyis GDPR szempontból jelentésköteles esemény történjen.

6. Wind – 17 millió euró

Az olasz adatvédelmi hatóság bírságolt újból, most a Wind távközlési vállalat marketing gyakorlatát tartotta GDPR ellenesnek. A büntetés összege 16 729 600, vagyis kevéssel marad el a címben szereplő 17 milliótól, 2020. július 13-án szabták ki.

Az adatvédelmi hatóságok azután kezdték el vizsgálni a távközlési céget, hogy panaszok érkeztek a vállalat marketing kommunikációs gyakorlata ellen. A szolgáltató rendszeresen kéretlen reklámokkal bombázta az olaszokat. A spam emailekről történő leiratkozást nem megfelelő címek megadásával lehetetlenítette el.

A vállalat visszatetsző tevékenysége itt még nem ért véget: a mobil alkalmazás felhasználókat arra kényszerítették, hogy a direkt marketing tevékenységet és a felhasználó helyzetének követését engedélyezzék, ugyanakkor a cég üzleti partnerei illegálisan gyűjtöttek adatokat a felhasználókról.

7. Google – 7 millió euró

A svéd adatvédelmi hatóság egy 2017 óta tartó ügy miatt döntött a 7 millió eurós bírság mellett., melyet 2020 márciusában szabtak ki. A középpontban a felejtéshez való jog volt: a GDPR szerint a magánszemélyek kérhetik a keresési találatok törlését a Google találatai közül, ha azok a találatok elévült, számukra negatív információt tartalmaznak.

Ezt a Google úgy hajtotta végre, hogy minden esetben értesítette az adott weboldal üzemeltetőjét, hogy az adott címen lévő tartalmat ezentúl nem jeleníti meg a keresési találatok között. Erre válaszul a weboldalok üzemeltetői egy másik címre tették át általában a tartalmat, ami újból megjelent a keresési találatok között. A svéd adathatóság szerint így sohasem felejtődnek el a lejárt szavatosságú információk. A Google-nak változtatnia kell ezen a gyakorlaton.

8. BBVA – 5 millió euró

A spanyol adatvédelmi hatóságról van ebben az esetben szó, a pénzügyi szolgáltató BBVA vagyis Banco Bilbao Vizcaya Argentaria kapta a magas bírságot, 2020. december 11-én.

A hatóságok szerint a pénzügyi szervezet a felhasználók beleegyezése nélkül küldött SMS üzenetekben reklámokat. Emiatt 3 millió eurós büntetést szabott ki. A fennmaradó 2 millió euró bírságot azért kapta a bank, mert nem tudták pontosan elmagyarázni, hogyan gyűjtötték és használták fel az ügyfelek személyes adatait.

9. AOK 1,24 millió euró

A német adatvédelmi hatóságok munkájának eredménye ez a bírság, 2020. június 30-án szabták ki. Az ok: az egészségügyi biztosító, Allgemeine Ortskrankenkasse (AOK) az ügyfelek személyes adatait, közöttük az egészségügyi biztosítás információit felhasználva versenyeket és sorsolásokat indított. Az AOK igyekezett megszerezni a felhasználók hozzájárulását, de nem minden esetben sikerült. És azok is részt vettek a marketing akciókban, akiknek a hozzájárulása hiányzott.

10. BKR – 830 ezer euró

Az utolsó helyezett már egymillió euró alatti bírság, de így is tetemes. A holland hatóságok szabták ki, a BKR a nemzeti hitelinformációs adatbázis. Amit a hatóságok kifogásoltak, hogy a BKR csupán évente egyszer és papíralapon engedélyeztek hozzáférést adataikhoz, más esetekben ezért fizetni kellett. Az intézmény fellebbezése a bírság ellen még folyamatban.

 

Lehetséges adatveszteségre figyelmeztet az új Windows funkció

Egyelőre csak a tesztelik, de egy új Windows frissítés figyelmeztet az SSD merevlemezek esetleges meghibásodására.

Ha minden normálisan működik a számítógépünkben, akkor sohasem fogunk találkozni azzal a Windows üzenettel, mely az SSD esetleges meghibásodására figyelmeztet. Az SSD-k méltán népszerűek, hiszen a régebbi gépekbe téve meggyorsítja azokat, ideális esetben nagyobb tárhelyet biztosít a hagyományos merevlemeznél.

Azonban, mint minden ember gyártotta informatikai eszköz, ez is elromolhat, meghibásodhat. A hibás SSD meghajtókról ugyan vissza lehet nyerni az adatokat, de az elég sok pénzbe kerülhet és többnyire szakosodott vállalat képes rá.

Még csak tesztelik

Az újdonság a Windows 10 operációs rendszer 20226. verziójában jelen meg és a frissítéseket tesztelő Insider Preview program tesztelői próbálhatták ki először. Abban az esetben, ha a rendszer figyelmeztető jeleket észlel az SSD egészségével kapcsolatosan, egy üzenetet kapnak a felhasználók, mely szerint a tárolóeszköz meghibásodhat.

Abban az esetben, ha az SSD tartalmát rendszeresen lementjük, van backup, akkor nem kell aggódnunk. Viszont, ha erről a tevékenységről rendszeresen megfeledkezünk, akkor a figyelmeztető üzenet felbukkanása után érdemes egy külső adathordozóra vagy felhős tárhelyszolgáltatásra lementeni adatainkat, és lehetőleg azonnal.

Az angol nyelvű változatban ez az üzenet vár minket:

Ha rákattintunk vagy a meghajtó tulajdonságait nézzük meg részletesebben (Storage Settings (Settings -> System -> Storage -> Manage disks and volumes -> Properties)), akkor egy ehhez hasonló információs ablak bukkan fel:

A Windows nem tudja megjavítani az SSD tárolót és nem menti el helyettünk az adatokat, mindkét esetben a felhasználónak kell cselekednie. Mi szóltunk!

Ennyibe került az elveszett adat

Az IBM és a Ponemon Intézet immár 15. alkalommal állították össze azt a tanulmányt, melyből kiderül, hogy mennyibe is kerül egy vállalatnak, ha elveszti, ellopják, netán kiszivárog az adata.

Röviden, nagyon sokba.

A 2020-as tanulmányban a Ponemon Intézet az IBM Security-vel közösen 524 adatszivárgást vizsgáltak, melyek 2019 augusztusa és 2020 áprilisa között történtek. Azt kutatták, milyen pénzügyi hatása volt az adatszivárgásoknak. Összesen 17 ország, 17 különböző iparágban tevékenykedő vállalatait nézték meg.

A tavalyi felméréssel szinkronban, melyről a DATA D blogjában is írtunk, a vizsgálat kiderítette, hogy 1,5 százalékkal, 3,86 millió dollárra csökkent az adatszivárgások ára. Ahhoz, hogy egy támadást azonosítsanak és elhárítsák a vállalatoknak átlagosan 280 napra volt szükségük, ami szinte megegyezik a 2019-ben mért 279 nappal. A legmagasabb veszteséget elszenvedő iparág az az egészségügy volt, ott egy átlagos támadás 7,13 millió dolláros veszteséget okozott. A vizsgált országok közül dobogós az Amerikai Egyesült Államok lett, 8,64 millió dolláros költséggel.

A home office újabb kockázat

Mivel 2020-ról és járványról beszélünk, a kutatásban annak hatását is megvizsgálták. A válaszadók 70 százaléka azt várja, hogy az otthoni munkavégzés megnöveli az adatszivárgások költségét, illetve 71 százalékuk szerint a home office miatt megnő az az idő, amíg az adatszivárgás feltárják és elhárítják.

Ha a vállalatoknak sikerül kevesebb mint 200 nap alatt felfedezni az adatszivárgást, akkor átlagosan 1 millió dollárt tudnak spórolni, illetve, ha több mint egy év elteltével fedezik fel az incidenst, akkor az 39 százalékkal megnöveli a költségeket. Ha a cégnél nincs képzett biztonsági szakember, akkor az adatszivárgási költségek szinte a felével nőnek.

Az adatszivárgások 52 százalékát hacker támadások okozták, 19 százalékuk a félrekonfigurált rendszerek vagy az ellopott azonosítók miatt következtek be és 13 százalékukat állami rendelésre követtek el.

Sok személyes adat szivárog ki

Ez az első alkalom, amikor a kiszivárgott adatok jellegét vizsgálták meg a kutatásban. Kiderült, hogy átlagosan 150 dollár veszteséget okoz egy személyes adat elvesztése (például ügyfelek azonosítására alkalmas adat), második helyezett 147 dollárral a vállalatok szellemi tulajdonát képző adat és harmadik az anonimizált ügyféladat 140 dollárral. Az alkalmazottakról szóló személyes adatok elvesztése 141 dollár kárt okoztak. Az esetek 80 százalékában személyes ügyféladatot is veszítettek el a vállalatok.

Ijesztő mértékű az adatszivárgás!

Ijesztő mértékű az adatszivárgás!

A Blancco saját kutatása ijesztő adatokat mutat ezen a téren. Az adattörlés piacán vezető cég szakértői online piacterekről vásároltak 120 használt merevlemezt és mobil eszközt. A használt merevlemezek 48 százalékán találtak felhasználható adatot. A mobileszközök 40 százaléka pedig több ezer email üzenetet, SMS-t, azonnali üzenetet, híváslistát, fotókat és videókat tartalmazott. Az uniós döntéshozók megalkották az egységes európai adatvédelmi törvényt, amely kezeli a tarthatatlan helyzetet. (tovább…)