Apa yang terjadi sejak diperkenalkannya GDPR?

Pada ^tanggal 25 Mei 2018, hampir sepuluh bulan yang lalu, General Eropa data Peraturan Perlindungan diberlakukan. Setelah hype besar yang disebabkan oleh pengenalan, Anda mungkin bertanya-tanya apakah peraturan baru itu memiliki efek sama sekali. Faktanya, banyak yang telah terjadi, denda dan peringatan telah dijatuhkan dan banyak tuntutan hukum telah diajukan.

Untuk memberi Anda gambaran tentang di mana masalah perlindungan data dilanggar, kami telah mengumpulkan denda, peringatan, dan tuntutan hukum yang tertunda berdasarkan GDPR.

Denda yang dikenakan berdasarkan GDPR

Kasus 1: Pencurian data pengguna – Jerman

Platform obrolan "Knuddels" diretas dan kata sandi, nama samaran, dan alamat email dicuri karena informasi ini disimpan tanpa enkripsi. Penyimpanan data yang tidak terenkripsi merupakan perlindungan yang tidak memadai terhadap data pribadi. Ini melanggar prinsip privasi secara default dan privasi berdasarkan desain yang diwajibkan oleh GDPR.

Denda yang dikenakan dalam kasus ini berjumlah 20.000 euro.
Sumber: Pencurian data pengguna – Jerman (Jerman)

Kasus 2: Publikasi data kesehatan – Jerman

Mungkin karena kesalahan yang tidak disengaja, data kesehatan pribadi dapat diakses secara online. (Tidak ada rincian lebih lanjut yang diungkapkan tentang kasus ini.) Dalam kasus ini juga, prinsip privasi secara default dan privasi berdasarkan desain dilanggar karena tindakan perlindungan yang tidak memadai telah diambil.

Denda di sini berjumlah 80.000 euro.
Sumber: Publikasi data kesehatan – Jerman ( Jerman )

Kasus 3: Persetujuan pengguna Google hilang/salah – Prancis

Denda tertinggi hingga saat ini dikenakan pada Google. Gugatan ini diajukan pada hari GDPR mulai berlaku. Dalam hal ini, denda didasarkan pada pelanggaran kewajiban untuk memberikan informasi dan transparansi serta tidak adanya dasar hukum untuk menggunakan iklan yang dipersonalisasi.

Dalam hal ini, denda yang dikenakan berjumlah 50.000.000 euro.
Quelle: Kurangnya persetujuan pengguna dari Google
Komunikasi Resmi CNIL (Otoritas Perlindungan Data Prancis)

Secara total, 41 denda dengan jumlah mulai dari 15.000 hingga 100.000 Euro telah dikenakan di Jerman sejak GDPR mulai berlaku. Denda dibenarkan oleh sejumlah faktor:

• langkah - langkah teknis dan organisasi yang tidak memadai diambil oleh hotel yang tidak dapat mengesampingkan kemungkinan bahwa kartu kredit atau data pelanggan lainnya dari sistem pemesanannya mungkin telah diungkapkan jika terjadi serangan peretas yang berlebihan,
• publikasi data kesehatan di Internet karena mekanisme kontrol internal yang tidak memadai,
• human error: pengungkapan data kesehatan kepada pasien yang salah oleh rumah sakit,
• rekaman semua panggilan keluar dan masuk ke pemadam kebakaran Negara Bagian Bremen,
• pengungkapan laporan rekening kepada orang yang tidak berwenang menggunakan perbankan online,
• email iklan yang tidak dapat diterima ,
• salinan data pelanggan yang tidak sah selama serangan peretas di toko web,
• penggunaan Dashcam yang tidak sah,
• daftar distribusi email terbuka ,
• pengawasan video yang tidak sah terhadap pelanggan dan karyawan.

Di Eropa, total 91 denda telah dikenakan sejak GDPR mulai berlaku.

Perhatian dan penilaian sejak GDPR mulai berlaku

Kasus 1: Situs web tanpa enkripsi

Pengadilan distrik Wurzburg melarang seorang pengacara menggunakan situs webnya tanpa enkripsi dan tanpa deklarasi perlindungan data yang memadai di bawah ancaman denda 250.000 Euro.
Sumber: Situs web tanpa enkripsi (Jerman)

Kasus 2: Menggunakan Pemirsa Khusus Facebook

Kantor Perlindungan Data Negara Bagian Bavaria melarang toko online menggunakan "Pemirsa Khusus Facebook". Putusan itu dikonfirmasi oleh "Verwaltungsgericht" dan "Verwaltungsgerichtshof". Alasan yang diberikan di sini adalah penggunaan data pribadi tanpa persetujuan dari pengunjung.

Sumber: Penggunaan Pemirsa Khusus Facebook (Jerman)

Tuntutan hukum yang tertunda karena GDPR

• Instagram (Belgia): Alasan: Informasi tidak cukup dan persetujuan paksa, hilang atau tidak memadai.
• WhatsApp (Hamburg): Alasan: Informasi tidak cukup dan persetujuan paksa, hilang atau tidak memadai.
• Facebook (Austria): Alasan: Informasi tidak cukup dan persetujuan paksa, hilang atau tidak memadai.
• Austria: Bank Austria mengenakan biaya EUR 30 untuk mengambil data pribadi pelanggan yang disimpan untuk pelanggan tersebut. Pengadilan memutuskan untuk mendukung penggugat, di mana bank mengajukan banding atas keputusan tersebut ke pengadilan yang lebih tinggi, Pengadilan Administratif Federal. Alasan keputusan pengadilan di sini adalah penolakan untuk memberikan hak pengungkapan gratis atas data pribadi yang disimpan.
• Pengadilan Eropa: Tindakan terhadap penggunaan US-EU Privacy Shield (contoh Facebook), karena transfer ke AS dapat dicegat oleh NSA menurut hukum AS.
• Inggris dan Irlandia: Google dan IAB digugat karena Penawaran Waktu Nyata (RTB) dalam iklan. Menurut penggugat, sistem RTB berbagi ratusan miliar poin data pribadi setiap hari dengan sistem lain tanpa persetujuan pengguna. Bahkan data sensitif seperti “penyalahgunaan, inses atau status HIV” dibagikan. Menurut penggugat, IAB mengetahui sebelumnya bahwa sistemnya tidak sesuai dengan GDPR. Google, di sisi lain, mencoba untuk memberikan kewajiban kepada situs web yang menampilkan iklan untuk mendapatkan persetujuan pengguna.

Sumber:
https://noyb.eu/
https://mashable.com/article/gdpr-google-iab-complaint-evidence-update/?europe=true

Sejak GDPR mulai berlaku, lebih dari 59.000 kebocoran data telah dilaporkan ke otoritas perlindungan data Eropa. Negara-negara dengan jumlah kebocoran data tertinggi yang dilaporkan adalah Belanda dengan 15.400 kebocoran data, Jerman dengan 12.600 dan Inggris Raya dengan 10.600. Siprus dengan 35 laporan, Islandia dengan 25 dan Liechtenstein dengan 15 adalah negara dengan kebocoran data paling sedikit.

Kantor Negara Bagian Bavaria untuk Pengawasan Perlindungan Data (BayLDA) telah memeriksa 40 situs web perusahaan jangkauan tinggi untuk memeriksa apakah mereka mematuhi GDPR terkait persetujuan dan dokumentasi pengguna . Tidak satu pun dari 40 situs web perusahaan yang menerapkan proses mendapatkan persetujuan pengguna dan informasi pengguna yang benar dengan benar. Di sini juga, ada ancaman tuntutan hukum dan peringatan.

Seperti yang Anda lihat, banyak yang telah terjadi di bidang perlindungan data selama sepuluh bulan terakhir. Peraturan perlindungan data yang baru memberikan dasar hukum yang penting bagi pengguna untuk melindungi data pribadi mereka. Oleh karena itu, perusahaan diminta dan disarankan untuk mematuhi persyaratan perlindungan data yang baru .

Harap diingat bahwa GDPR dan persyaratan baru juga berlaku untuk perusahaan Swiss yang menyediakan layanan dan produk mereka kepada warga negara UE.