CyberArk. 59 χιλιάδες αναφορές για περιστατικά παραβίασης δεδομένων τον πρώτο χρόνο ισχύος του κανονισμού GDPR
Τον Μάιο, θα έχει περάσει ένας χρόνος από τότε που τέθηκε σε ισχύ ο Γενικός Ευρωπαϊκός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης.
Εν μέσω της συνεχιζόμενης και διαρκώς αυξανόμενης σύγχυσης εντός της Ευρωπαϊκής Ένωσης που προκλήθηκε από τη διαδικασία του Brexit, μια πρόσφατη έκθεση γύρω από ένα άλλο Ευρωπαϊκό ζήτημα επίσης πολύ μεγάλης σημασίας φαίνεται να έχει περάσει απαρατήρητο. Η DLA Piper δημοσίευσε πρόσφατα μία έκθεση που εξετάζει τα περιστατικά που αναφέρθηκαν – τόσο κοινοποιήσεις παραβιάσεων της νομοθεσίας GDPR όσο και άλλα είδη κοινοποίησης – τα πρόστιμα που επιβλήθηκαν και τον τρόπο κατανομής των εκθέσεων και των προστίμων στις χώρες-μέλη της Ευρωπαϊκής Ένωσης.
Από το χρονικό σημείο που ξεκίνησε να εφαρμόζεται ο κανονισμός GDPR μέχρι την ώρα που κυκλοφόρησε η έκθεση, αναφέρθηκαν 59 χιλιάδες περιστατικά σε διάφορους περιφερειακούς «Επιτρόπους Δεδομένων», όπως στην ρυθμιστική αρχή στην Γαλλία (CNIL). Οι αριθμοί βασίστηκαν σε στοιχεία που αναφέρθηκαν από τις χώρες-μέλη της ΕΕ (τα οποία εξακολουθούν να περιλαμβάνουν το Ηνωμένο Βασίλειο, όπως επισημαίνεται) και συλλέχθηκαν από την DLA Piper, αλλά είναι σημαντικό να σημειωθεί ότι δεν ανακοινώνουν όλες οι χώρες τέτοιου είδους πληροφορίες.
Πρώτον, πριν συζητήσουμε τους αριθμούς, πρέπει να είμαστε σαφείς ότι τα περιστατικά αυτά δεν συνεπάγονται και 59 χιλιάδες παραβιάσεις δεδομένων. Επειδή η νομοθεσία δεν αφορά μόνο σε παραβιάσεις δεδομένων αλλά και σε ακατάλληλη διαχείριση ή και επεξεργασία δεδομένων, οι χώρες της ΕΕ υποχρεούνται να προβαίνουν σε περισσότερες ειδοποιήσεις από αυτές της παραβίασης δεδομένων GDPR. Ο αναφερόμενος αριθμός περιστατικών, επομένως, καλύπτει την κατάχρηση δεδομένων καθώς και την απώλεια δεδομένων, είτε τυχαίως, είτε από κάποια επίθεση ή άλλη κακόβουλη ενέργεια. Μια ξεχωριστή πηγή, που προέρχεται απευθείας από την Ευρωπαϊκή Επιτροπή, αναφέρει ότι τα περιστατικά που σχετίζονται με παραβιάσεις δεδομένων, τυχαία ή μη (κακόβουλες επιθέσεις, χάκερς κ.λπ) ξεπερνούν τα 41 χιλιάδες (41.500 για την ακρίβεια).
Οι συνέπειες και τα νομικά ζητήματα που έφερε ο κανονισμός GDPR εξακολουθούν να απασχολούν τις υπηρεσίες επεξεργασίας δεδομένων. Ένα πρόσφατο παράδειγμα είναι ότι οι εκπρόσωποι ομάδων συμφερόντων από διάφορες χώρες υπέβαλαν μια αναφορά στις αντίστοιχες περιφερειακές αρχές προστασίας δεδομένων σχετικά με τον τρόπο με τον οποίο χρησιμοποιούνται τα προσωπικά δεδομένα της ΕΕ στον ταχέως αναπτυσσόμενο χώρο του «Real-Time Bidding», που είναι ουσιαστικά η διαδικασία που καθορίζει ποιες online διαφημίσεις σας εμφανίζονται. Το «Real-Time Bidding» καθοδηγείται από τις διαφημιστικές εταιρείες με βάση τα δεδομένα που έχουν για εσάς, αφού αυτό είναι που τους επιτρέπει να λάβουν την πιο τεκμηριωμένη απόφαση σχετικά με το ποια διαφήμιση θα βρείτε πιο ελκυστική. Η απόφαση τα ποια διαφήμιση θα εμφανιστεί σε εσάς λαμβάνεται σε δέκατα του δευτερολέπτου και, επομένως, είναι σαφές ότι δεν υπάρχει κανένας τρόπος για τον χρήστη να επιλέξει τον τρόπο επεξεργασίας των δεδομένων του. Κάτι άλλο είναι το πρόστιμο των €50 εκατομμυρίων στην Google από την Γαλλική ρυθμιστική αρχή στις αρχές της χρονιάς.
Ένα πολύ ενδιαφέρον στοιχείο της έκθεσης της DLA Piper είναι η κατανομή ανά χώρα του αριθμού των καταγεγραμμένων περιστατικών. Η Ολλανδία βρίσκεται στην κορυφή της λίστας με τα περιστατικά που αναφέρθηκαν να φτάνουν τα 15400 σε αριθμό. Παραδόξως, παρόλο που έχει πληθυσμό σχεδόν τριπλάσιο της Ολλανδίας και παρόμοιο ΑΕΠ, η Γαλλία ανέφερε μόνο 1300 περιστατικά – δηλαδή 14000 λιγότερα περιστατικά από την Ολλανδία! Αυτό ενδεχομένως να υπογραμμίζει μια ασυνέπεια μεταξύ των μελών της ΕΕ ως προς το τι έχουν υποχρέωση να αναφέρουν. Για παράδειγμα, στα αναφερθέντα περιστατικά περιλαμβάνονται και απλές ειδοποιήσεις όπως ότι ένα μήνυμα ηλεκτρονικού ταχυδρομείου αποστάλθηκε κατά λάθος σε λάθος παραλήπτη. Ενδεχομένως αυτό να οφείλεται, αν και δεν επιβεβαιώνεται, στο ότι οι Ολλανδοί είναι περισσότερο προσεκτικοί, αναφέροντας όλες τις παραβιάσεις, ενώ οι Γάλλοι και οι Ιταλοί (με 610 περιστατικά που αναφέρθηκαν στην Ιταλία) ερμηνεύουν διαφορετικά τις παραβιάσεις ή τα περιστατικά δεδομένων.
Ενδεχομένως, oi αναφορές ακόμα και για ήπιες παραβιάσεις θα μπορούσαν να αποτελούν μία εξήγηση για τον μικρό αριθμό των προστίμων (μόλις 91) σε σχέση με τα 59 χιλιάδες περιστατικά που αναφέρθηκαν. Ωστόσο, στην έκθεση της DLA Piper γίνεται κατανοητό ότι ενδέχεται να έχει υπάρξει καθυστέρηση στην επεξεργασία των κοινοποιήσεων παραβιάσεων του GDPR και άλλων τύπων περιστατικών από την Ευρωπαϊκή Επιτροπή, κάτι που ίσως να σημαίνει ότι θα υπάρξουν και άλλα πρόστιμα. Η καθυστέρηση ενδέχεται να αποτελεί επίσης μία ένδειξη ότι η Ευρωπαϊκή Επιτροπή υποτίμησε τον αρχικό όγκο των κοινοποιήσεων των περιστατικών.
Αυτό πάντως που είναι προφανές από την έκθεση είναι ότι οι συνέπειες ή η επίδραση του Ευρωπαϊκού Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR) δεν είναι ακόμα πλήρως κατανοητες. Αυτό αντικατοπτρίζεται από τη μεγάλη διακύμανση των αναφερόμενων περιστατικών ανά χώρα και τα συνεχιζόμενα επιχειρήματα σχετικά με την ερμηνεία της νομικής επεξεργασίας των δεδομένων. Οι συνέπειες και οι ερμηνείες θα συνεχίσουν πάντως να υπάρχουν στο κοντινό μέλλον.
Ένα πράγμα είναι πάντως σαφές, ότι οι οργανώσεις που είναι υπεύθυνοι επεξεργασίας ή διαχείρισης δεδομένων Ευρωπαίων πολιτών πρέπει να προστατεύουν τόσο τα ίδια όσο και την χρήση της έχοντας το ίδιο σκεπτικό. Ότι τα δεδομένα δεν είναι δικά τους. Ότι ανήκουν στα άτομα με τα οποία συνδέονται. Οι οργανισμοί και οι εταιρείες πρέπει να αντιμετωπίζουν τα δεδομένα ως κάτι που δανείζονται ή φροντίζουν, και όχι ως κάτι που κατέχουν ή που είναι ιδιοκτησίας τους. Πρέπει να «κλειδώνονται» με την κατάλληλη τεχνολογία προστασίας για να εξασφαλιστεί ότι μόνο εκείνοι που πρέπει να τα χρησιμοποιούν ή να τα βλέπουν είναι σε θέση να το κάνουν. Μπορεί να μοιάζει σαν μια προφανής μετατόπιση της αντίληψης, αλλά είναι ζωτικής σημασίας για μία επιχείρηση η προστασία των δεδομένων που σχετίζονται με τους Ευρωπαίους πολίτες.