01 октября 2018, 14:26
Регулятор ЕС по защите персональных данных может оштрафовать Facebook Inc. на сумму до 1,63 млрд долларов в связи со взломом данных, о котором стало известно в пятницу. Хакеры поставили под угрозу аккаунты более 50 млн пользователей сети. Штраф может быть наложен, если регуляторы решат, что компания нарушила новый жесткий закон блока о частной информации.
Ирландская Комиссия по защите данных (Data Protection Commission, DPC), которая для Facebook является в Европе лидирующим регулятором по защите данных, в субботу сообщила, что запросила у компании больше информации о природе и масштабе взлома, в том числе о том, какие европейские граждане пострадали.
В заявлении регулятор указал, что «обеспокоен тем фактом, что взлом был выявлен во вторник и затронул много миллионов аккаунтов, но Facebook на момент заявления так и не смогла прояснить природу взлома и риски для пользователей».
Представитель Facebook в воскресенье сказала, что компания ответит на последовавшие от ирландской DPC вопросы и будет уведомлять регуляторов о дальнейшем развитии ситуации. Гендиректор Facebook Марк Цукерберг в пятницу заявил, что социальная сеть серьезно относится ко взлому и до сих пор пытается выяснить множество подробностей насчет масштаба и влияния случившегося.
Для Facebook взлом данных является сильным ударом по ее усилиям, направленным на восстановление доверия после серии проблем с защитой частной информации и безопасностью, которые вызвали негодование и у пользователей, и у законодателей.
Случившееся является одной из первых серьезных проверок того, как регуляторы будут применять требования касательно уведомлений о взломе и защите данных в рамках нового европейского закона, получившего название Общий регламент ЕС о защите персональных данных (GDPR) и вступившего в силу ранее в этом году. Кроме того, это может стать знаком, что угроза крупных штрафов, предусмотренных в рамках закона, уже меняет отношение фирм к крупным взломам, вынуждая их быстрее и более открыто, чем ранее, информировать об инцидентах.
«Когда дело касается такого бизнеса, как Facebook, который обладает крупными ресурсами и большой базой пользователей, речь неизменно зайдет о более высокой планке», — говорит Эндрю Дайсон, партнер DLA Piper. «Предполагается, что они должны задействовать очень большой объем ресурсов» на обеспечение безопасности, добавил он.
По новому закону, компании которые делают недостаточно для защиты данных своих пользователей, рискуют быть оштрафованы либо на 20 млн евро, либо на сумму, равную 4% мировой годовой выручки фирмы за предыдущий год, в зависимости от того, какая цифра окажется выше. Максимальный штраф для Facebook может составить 1,63 млрд долларов.
Кроме того, закон требует, чтобы компании уведомляли регуляторов о взломах данных в течение 72 часов после них, в противном случае им грозит штраф, который максимально составит 2% их мировой выручки.
Согласно ирландской DPC, Facebook уведомила ее о взломе вечером в четверг, то есть, похоже, уложилась в отведенные законом 72 часа. Регулятор пожаловался, что в уведомлении «мало подробностей», но юристы, работающие в сфере защиты данных, в воскресенье сказали, что для компании привычно сначала уведомлять регуляторов, а потом отправлять им свежую информацию по мере выяснения подробностей взлома. Представитель DPC отказался предоставить больше информации до тех пор, пока Facebook не ответит на вопросы регулятора.
Любые расследования ЕС в отношении взлома, вероятно, сосредоточатся на том, приняла ли Facebook соответствующие меры для защиты данных своих пользователей перед хакерской атакой. Но учитывая новизну закона GDPR, суду только предстоит определить, что следует понимать под соответствующими мерами.