نقض داده و قوانین مربوط به آن

نقض داده (data breach) هر حادثه امنیتی است که در آن اشخاص غیرمجاز به داده‌های حساس یا اطلاعات محرمانه، از جمله داده‌های شخصی (شماره بیمه، شماره حساب بانکی و…) یا داده‌های شرکتی (سوابق داده‌های مشتری، مالکیت معنوی، اطلاعات مالی و…) دسترسی پیدا می‌کنند.

اصطلاحات «نقض داده» و «نقض» اغلب به جای «حمله سایبری» استفاده می‌شوند. اما همه حملات سایبری نقض داده نیستند و همه نقض‌های داده‌ نیز حملات سایبری محسوب نمی‌شوند. نقض داده‌ها فقط شامل آن دسته از نقض‌های امنیتی است که در آنها محرمانه بودن داده‌ها به خطر می‌افتد. بنابراین، مثلاً یک حمله انکار سرویس توزیع شده (DDoS) که یک وب سایت را تحت تأثیر قرار می‌دهد، نقض داده نیست، اما حمله باج‌افزاری که داده‌های مشتریان شرکت را قفل می‌کند و در صورت عدم پرداخت باج، تهدید به فروش آن می‌کند، نقض داده است. سرقت فیزیکی هارد دیسک‌ها، درایوها یا حتی فایل‌های کاغذی حاوی اطلاعات حساس نیز همینطور است.

نقض داده، یک مسئله جدی

طبق گزارش IBM Cost of a Data Breach، متوسط هزینه جهانی نقض داده‌ها در سال 2023، مبلغ 4.45 میلیون دلار بود که افزایش 15 درصدی را در طول 3 سال نشان می‌دهد. سازمان‌ها در هر نوع و اندازه‌ای از جمله مشاغل بزرگ و کوچک، شرکت‌های دولتی و خصوصی، دولت‌های فدرال، ایالتی و محلی، سازمان‌های غیر انتفاعی در برابر نقض آسیب پذیر هستند، اما پیامدهای نقض داده به ویژه برای سازمان‌هایی که در زمینه‌های مالی و بخش عمومی فعالیت می‌کنند، شدیدتر است.

قانون گزارش‌دهی رویدادهای سایبری ایالات متحده برای زیرساخت‌های حیاتی  (CIRCIA) سازمان‌های امنیت ملی، امور مالی و سایر صنایع تعیین‌شده را ملزم می‌کند تا حوادث امنیت سایبری را که بر داده‌های شخصی یا عملیات تجاری تأثیر می‌گذارد، ظرف مدت 72 ساعت به وزارت امنیت داخلی گزارش دهند.

همچنین مقررات حفاظت از داده‌های عمومی (GDPR) شرکت‌هایی را که با شهروندان اتحادیه اروپا تجارت می‌کنند ملزم می‌کند که ظرف 72 ساعت به مقامات از نقض‌ها اطلاع دهند. طبق برآورد این گزارش‌دهی و سایر مسئولیت‌های پس از نقض مانند پرداخت جریمه‌ها، تسویه حساب‌ها و هزینه‌های قانونی تا ارائه نظارت رایگان برای مشتریان آسیب‌دیده به طور متوسط برای قربانی نقض داده‌ها 1.49 میلیون دلار هزینه دارد.

چرا نقض داده‌ها اتفاق می‌افتد؟

نقض داده‌ها می‌تواند ناشی از موارد زیر باشد:

-اشتباهات: به عنوان مثال، یک کارمند اطلاعات محرمانه را برای شخص اشتباهی ایمیل می‌کند.

-بدخواهی: کارمندان عصبانی یا اخراجی یا یک کارمند حریص که مستعد رشوه و انجام اعمال ضد سازمان است، ممکن است نسبت به انتشار داده‌ها اقدام کند.

-هکرها: افراد مخرب خارجی مرتکب جرایم سایبری عمدی برای سرقت داده‌ها می‌شوند.

بیشتر حملات مخرب با انگیزه سود مالی انجام می‌شود. هکرها ممکن است شماره کارت اعتباری، حساب‌های بانکی یا سایر اطلاعات مالی را به سرقت ببرند تا مستقیماً از مردم و شرکت‌ها پول بگیرند. آنها ممکن است اطلاعات هویتی شخصی مانند شماره‌های امنیت اجتماعی و شماره تلفن را برای سرقت هویت (جهت گرفتن وام و باز کردن کارت‌های اعتباری به نام قربانیان) یا برای فروش در دارک وب به سرقت ببرند. همچنین مجرمان سایبری ممکن است اطلاعات شخصی یا اعتبار سرقت شده را به سایر هکرها در دارک وب بفروشند که ممکن است از آنها برای اهداف مخرب خود استفاده کنند. نقض داده‌ها ممکن است اهداف دیگری داشته باشد. برخی از سازمان‌ها ممکن است اسرار تجاری را از رقبا بدزدند. برخی از نقض‌ها کاملاً مخرب هستند و هکرها به داده‌های حساس دسترسی پیدا می‌کنند تا آن‌ها را از بین ببرند.

چگونه نقض داده‌ها اتفاق می‌افتد؟

طبق گزارش Cost of a Data Breach 2022، متوسط چرخه عمر نقض داده‌ها 277 روز است، به این معنی که شناسایی و مهار یک نقض فعال برای سازمان‌ها به همین اندازه طول می‌کشد.

نقض عمدی داده ناشی از عوامل تهدید داخلی یا خارجی از همان الگوی اساسی پیروی می‌کند:

-تحقیق: هکرها در خصوص یک هدف به دنبال نقاط ضعفی می‌گردند که می‌توانند در سیستم کامپیوتری هدف یا کارمندان از آنها سوء استفاده کنند. همچنین آنها ممکن است بدافزار اطلاعاتی را که قبلاً به سرقت رفته‌اند را خریداری کنند که به آنها امکان دسترسی به شبکه هدف را می‌دهد.

-حمله: با شناسایی یک هدف و روش، هکر حمله را انجام می‌دهد. هکر ممکن است یک کمپین مهندسی اجتماعی را آغاز و به طور مستقیم از آسیب‌پذیری‌ها در سیستم هدف سوءاستفاده و از اعتبارنامه‌های ورود به سیستم به سرقت رفته استفاده و یا از هر یک از دیگر حمله نقض اطلاعات رایج استفاده کند.

-به خطر انداختن داده‌ها: هکر داده‌ها را دنبال کرده و اقدام خود را در این راستا انجام می‌دهد. این مورد ممکن است به معنای استخراج داده‌ها برای استفاده یا فروش، از بین بردن داده‌ها، قفل کردن داده‌ها با باج افزار و درخواست پرداخت باشد.

پیشگیری و کاهش نقض داده‌ها

-اقدامات امنیتی استاندارد: ارزیابی منظم آسیب‌پذیری، بکاپ یا پشتیبان‌گیری برنامه‌ریزی‌شده، رمزگذاری داده‌ها، پیکربندی صحیح پایگاه داده، استفاده به موقع از سیستم‌ها و نرم‌افزارها می‌تواند به جلوگیری از نقض داده‌ها کمک کند. اما امروزه سازمان‌ها ممکن است کنترل‌ها، فناوری‌ها و بهترین شیوه‌های امنیتی داده‌ها را برای جلوگیری بهتر از نقض داده‌ها و کاهش آسیب‌های ناشی از آن اعمال کنند.

-هوش مصنوعی و اتوماسیون: گزارش Cost of a Data Breach 2022 نشان داده است که سازمان‌ها از سطوح بالایی از هوش مصنوعی و اتوماسیون برای تشخیص تهدید و پاسخ استفاده می‌کنند، میانگین هزینه نقض داده 55.3 درصد کمتر از سازمان‌هایی است که سطوح پایین‌تری از آن فناوری‌ها را به کار می‌گیرند. -آموزش کارکنان: از آنجایی که مهندسی اجتماعی و حملات فیشینگ دلایل اصلی نقض هستند، آموزش کارکنان برای شناسایی و اجتناب از این حملات می‌تواند خطر نقض داده‌ها را در شرکت کاهش دهد. علاوه بر این، آموزش کارمندان برای مدیریت صحیح داده‌ها می‌تواند به جلوگیری از نقض و نشت داده‌ها کمک کند.

-مدیریت هویت و دسترسی: خط‌مشی‌ها و مدیریت رمز عبور، احراز هویت دو یا چند مرحله‌ای، ورود به سیستم واحد (SSO) و دیگر فناوری‌ها و شیوه‌های مدیریت هویت و دسترسی می‌توانند به امنیت سازمان‌ها در برابر هکرها کمک کنند.

-رویکرد امنیتی بدون اعتماد: یک رویکرد امنیتی بدون اعتماد، رویکردی است که هرگز به همه کاربران یا موجودیت‌ها، چه خارج یا در داخل شبکه، اعتماد نمی‌کند و به طور مداوم تأیید می‌کند.

-احراز هویت، مجوز و اعتبار مستمر: هر کسی یا هر چیزی که سعی در دسترسی به شبکه یا منبع شبکه دارد، در معرض خطر تلقی می‌شود و برای به دست آوردن یا حفظ دسترسی، باید احراز هویت، مجوز و اعتبارسنجی مستمر را پشت سر بگذارد.

-حداقل دسترسی ممتاز: پس از تأیید موفقیت آمیز، به کاربران یا نهادها کمترین سطح دسترسی و مجوزهای لازم برای تکمیل وظیفه یا انجام نقش خود داده می‌شود.

-نظارت جامع بر تمام فعالیت‌های شبکه: پیاده‌سازی‌های بدون اعتماد مستلزم مشاهده همه جنبه‌های اکوسیستم شبکه ترکیبی یک سازمان، از جمله نحوه تعامل کاربران و نهادها با منابع بر اساس نقش‌ها و نقاط آسیب‌پذیری است.

این کنترل‌ها می‌توانند با شناسایی و توقف حملات سایبری در همان ابتدا، و با محدود کردن حرکت و پیشرفت هکرها، به خنثی کردن نقض داده‌ها و سایر حملات سایبری کمک کند.

قوانین نقض داده در ایالات متحده

هسته اصلی قوانین نقض داده‌ها که در مورد جمع‌آوری، ذخیره و پردازش داده‌های شخصی اعمال می‌شود تقریباً در هر ایالت مشابه است.

با این حال، هر ایالت در تلاش برای محافظت بهتر از منافع شهروندان خود، تغییرات خاصی در قوانین خود اعمال می‌کند.

در این مقاله فقط دو ایالات را بررسی خواهیم کرد، ولی دیگر ایالات نیز به همین صورت موارد خاص خود را دارند.

آلاباما

طبق قانون اعلان نقض داده‌های آلاباما در سال 2018 شرکت‌ها باید افراد را از نقض داده‌ها مطلع کنند. کسب و کارها باید تدابیر امنیتی را برای محافظت از اطلاعات شناسایی شخصی ارائه دهند، مانند تعیین یک کارمند برای هماهنگی این اقدامات امنیتی، توسعه رویه‌هایی برای شناسایی خطرات ناشی از نقض امنیت داخلی یا خارجی، تطبیق اقدامات امنیتی با تغییرات در شرایطی که ممکن است بر امنیت سیستم تأثیر بگذارد.

اطلاعیه به افراد

افرادی که احتمال دارد از این نقض آسیب ببینند باید ظرف 45 روز به صورت کتبی مطلع شوند، مگر در مواردی که می‌تواند در تحقیقات جنایی یا امنیت ملی تداخل ایجاد کند. اعلامیه‌ها باید به آدرس پستی آنها یا از طریق ایمیل ارسال شوند. اگر هزینه‌های اعلان بسیار زیاد باشد (بیش از 500000 دلار) یا اطلاعات کافی برای اطلاع رسانی به یک فرد وجود نداشته باشد، ممکن است از روش‌های دیگر اطلاع رسانی استفاده شود. اگر تعداد افراد تحت تأثیر بیش از 100000 نفر باشد، شرکت ممکن است اطلاعیه‌ای را در وب سایت خود یا در رسانه‌های چاپی قرار دهد.

اطلاعیه به رگولاتورها یا قانونگذاران

در صورت تماس با بیش از 1000 نفر از ساکنان آلاباما پس از نقض امنیتی، دفتر دادستان کل آلاباما و همه آژانس‌های گزارش مصرف کننده باید مطلع شوند.

اطلاعات تحت پوشش

اطلاعات تحت پوشش، نام و نام خانوادگی یک فرد با یک یا چند مورد از موارد زیر است:

-شماره تأمین اجتماعی، شماره شناسه مالیاتی، شماره گواهینامه رانندگی، شماره کارت شناسایی، یا هر شماره شناسایی دیگری که برای تأیید هویت استفاده می‌شود.

-شماره حساب‌های مالی (با هر گونه اطلاعات مورد نیاز برای دسترسی به آنها)

-اطلاعات در مورد سابقه سلامتی یک فرد

-نام کاربری یا آدرس ایمیل با رمز عبور یا پرسش و پاسخ امنیتی

جریمه‌ها

مشاغلی که از این الزامات پیروی نمی‌کنند مشمول مقررات بخش 8-19-11، کد 23 آلاباما 1975، تا سقف 2000 دلار به ازای هر تخلف هستند که از 500000 دلار برای هر تخلف تجاوز نمی‌کند.

آلاسکا

تعریف نقض امنیتی در آلاسکا هر گونه ورود غیرمجاز به داده که امنیت، یکپارچگی یا محرمانه بودن اطلاعات تحت پوشش را به خطر می‌اندازد.

اطلاعیه به افراد

اگر تخمین زده شود که افراد از نقض داده آسیب می‌بینند، باید فوراً به آنها اطلاع داده شود، مگر در مواردی که ممکن است در تحقیقات جنایی اختلال ایجاد کند. اعلامیه‌ها باید به صورت کتبی به آدرس‌های پستی یا در صورت لزوم به صورت الکترونیکی ارسال شوند.

اطلاعیه به رگولاتورها

اگر قرار است بیش از 1000 نفر از ساکنان در مورد نقض مطلع شوند، باید بلافاصله به همه آژانس‌های گزارش اعتبار مصرف کننده اطلاع داده شود. این اعلان‌ها باید زمان، توزیع و محتوای اعلان‌های ارسال شده به ساکنان را مشخص کنند.

اطلاعات تحت پوشش

اطلاعات تحت پوشش شامل نام و نام خانوادگی و یک یا چند مورد از موارد زیر است:

-شماره تامین اجتماعی

-گواهینامه رانندگی یا شماره کارت شناسایی دولتی

-حساب مالی

-شماره کارت اعتباری یا نقدی (به همراه کدهای امنیتی یا دسترسی مورد نیاز)

-گذرواژه‌ها و سایر اطلاعات دسترسی به حساب‌های مالی

جریمه‌ها

سازمان‌های دولتی باید جریمه‌های 500 دلاری را برای هر نفر بپردازند که حداکثر مبلغ کل آن تا 50000 دلار است. اگر آژانس مسئول هرگونه تخلف دیگری باشد، این مبلغ ممکن است حتی بیشتر شود.

جریمه‌ها و مجازات‌های نقض داده در کشورهای آسیایی

بسیاری از دولت‌ها و سازمان‌ها سیاست‌ها و مقرراتی را برای محافظت از یکپارچگی داده‌ها و حریم خصوصی عمومی وضع می‌کنند. شرکت‌هایی که از این مقررات پیروی نمی‌کنند با جریمه‌ها و مجازات‌های سنگینی برای نقض اطلاعات روبه‌رو هستند.

بر اساس گزارش سازمان ملل، 137 کشور از 194 کشور قوانینی را برای حفاظت از داده‌ها و حریم خصوصی وضع کرده‌اند. در این بخش برخی از جریمه‌های نقض داده‌ را در چند کشور بررسی می‌کنیم.

سنگاپور

سنگاپور کشوری جزیره‌ای است که در انتهای جنوبی شبه جزیره مالایا قرار دارد. این کشور میزبان یکی از بزرگترین بنادر جهان و یکی از پیشروترین پالایشگاه‌های نفت در جهان است.

قوانین و مقررات داده

قانون حفاظت از داده‌های شخصی سنگاپور در سال 2012 شامل الزامات مختلفی است که بر جمع‌آوری، استفاده، افشا و مراقبت از داده‌های شخصی حاکم است. PDPA داده‌های شخصی ذخیره شده در قالب‌های الکترونیکی و غیر الکترونیکی را پوشش می‌دهد.

سازمان‌های تحت PDPA تعهداتی در قبال کاربران دارند که عبارتند از:

-مسئولیت پذیری برای حفاظت از داده‌ها

-آگاه کردن افراد

-اطمینان از دقیق و کامل بودن داده‌های شخصی جمع آوری شده

-تضمین امنیت معقول برای محافظت از داده‌های شخصی

-ایجاد محدودیت در انتقال داده‌ها

-اطلاع رسانی فوری در صورت نقض داده‌ها

مقررات حفاظت از داده‌های شخصی (اعلان نقض داده‌ها) در سال 2021 همچنین حکم می‌دهد که سازمان‌ها تمایل دارند همه کاربران را از نقض داده‌هایی که ممکن است بر آنها تأثیر بگذارد مطلع کنند. PDPC قدرت زیادی در سنگاپور بر سازمان‌ها دارد.

در اول اکتبر 2022، مجازات‌های مالی افزایش یافته تحت PDPA سنگاپور اجرایی شد. این موارد به PDPA اجازه می‌دهد تا جریمه‌های مالی تا سقف 1 میلیون دلار سنگاپور (SGD) یا 10٪ از گردش مالی سالانه یک سازمان در سنگاپور را برای نقض مقررات حفاظت از داده‌ها تحت PDPA سنگاپور اعمال کند.

به عنوان مثال کمیسیون حفاظت از داده‌های شخصی سنگاپور جریمه 62400 دلار سنگاپور را علیه Eatigo International در رابطه با نقض داده‌های سال 2020 که بر 2.76 میلیون نفر تأثیر گذاشته است، اعلام کرد یا به عنوان مثالی دیگر PDPC شرکت املاک و مستغلات OrangeTee & Tie را 37000 SGD به دلیل کوتاهی در محافظت از اطلاعات شخصی حساس هزاران مشتری، در نقض اطلاعات در سال 2021 را جریمه کرد.

مالزی

قوانین و مقررات داده

اداره حفاظت از داده‌های شخصی مالزی (PDPD) برای نظارت بر پردازش داده‌های شخصی افراد درگیر در معاملات تجاری ایجاد شد.

بر اساس PDPA، کاربران در برابر هرگونه سوء استفاده در ذخیره یا پردازش داده‌های شخصی افراد محافظت می‌شوند.

استاندارد حفاظت از داده‌های شخصی 2015 شامل استانداردهای امنیتی، حفظ و استانداردهای یکپارچگی داده است. این موارد در مورد داده‌های شخصی که به صورت الکترونیکی و غیر الکترونیکی پردازش می‌شوند، اعمال می‌شود.

عدم رعایت PDPA ممکن است به عنوان یک جرم کیفری باشد. نقض هر یک از هفت اصل حفاظت از داده‌ها، جریمه‌ای تا 300000 رینگیت مالزی (واحد پول مالزی با نماد MYR) و/یا تا 2 سال حبس دارد.

جمع آوری، افشا و فروش غیرقانونی داده‌های شخصی جریمه‌ای تا سقف 500000 رینگیت و/یا حداکثر سه سال حبس را به دنبال دارد. چندین قانون و مقررات کلیدی دیگر برای حفظ حریم خصوصی داده‌ها در مالزی برای محافظت از کاربران در حال اجرا هستند.

اندونزی

قوانین و مقررات داده

قانون شماره 27 حفاظت از داده‌های شخصی اندونزی در سال 2022 تصویب شد. قانون PDP مسئولیت‌هایی را برای پردازش داده‌های شخصی و حقوق افراد تعیین می‌کند. همچنین قانون PDP به طور گسترده بخش خدمات مالی را مستثنی می‌کند.

قانون الزامات سخت گیرانه‌تری را بر کنترل کننده‌ها تحمیل می‌کند و مقررات منحصر به فردی برای استفاده از فناوری‌های تشخیص چهره دارد.

دسته‌بندی‌های ویژه داده‌ها به صراحت شامل داده‌های کودکان و داده‌های مالی شخصی است. برای درخواست‌های موضوع داده خاص، مانند دسترسی، اصلاح و محدودیت، سازمان‌ها فقط ۷۲ ساعت فرصت دارند تا پاسخ دهند.

قانون PDP سیستمی را برای مجازات‌های اداری اعمال می‌کند؛ از جمله مجازات‌های مدنی و کیفری که بسته به شدت مجازات افزایش می‌یابد.

فیلیپین

قوانین و مقررات داده

قانون جمهوری شماره 10173 – یا قانون حفظ حریم خصوصی داده‌ها در سال 2012 – قانونی است که به دنبال محافظت از همه اشکال اطلاعات خصوصی یا حساس است. این قانون شامل اشخاص حقیقی و حقوقی درگیر در پردازش اطلاعات شخصی می‌شود.

این قانون همچنین سیاست دولت را برای محافظت از حقوق اساسی انسان در خصوص حریم خصوصی ارتباطات و در عین حال تضمین جریان آزاد اطلاعات با هدف ارتقای نوآوری و رشد، اجرا می‌کند.

دولت نقش حیاتی برای تضمین حفاظت و امنیت داده‌های شخصی در بخش خصوصی و عمومی دارد.

مجازات‌های ارائه شده در قانون و IRR آن از شش ماه تا هفت سال حبس همراه با جریمه‌هایی از 100000 پزوی فیلیپین (PHP) تا 5 میلیون PHP، بر اساس اینکه آیا اطلاعات شخصی معمولی یا حساس در آن دخیل هستند، متغیر است.

علاوه بر این، بسته به هویت مجرم و تعداد افراد تحت تأثیر داده، ممکن است مجازات‌های اضافی اعمال شود.

تایلند

قوانین و مقررات داده

قانون حفاظت از داده‌های شخصی تایلند (PDPA) شامل پردازش، جمع‌آوری، ذخیره‌سازی داده‌ها و پروتکل‌های رضایت داده است. این قانون مقرر می‌دارد که کنترل‌کننده‌ها و پردازش‌کنندگان داده که از داده‌های شخصی استفاده می‌کنند باید رضایت صاحبان داده‌ها را دریافت کنند و از آن فقط برای اهداف بیان شده استفاده کنند.

PDPA تایلند برای عدم رعایت تا 5 میلیون بات تایلند (THB) جریمه اداری و تا 1 میلیون بات در جریمه‌های جنایی مجازات تعیین می‌کند. تعهدات حفاظت از داده‌ها شامل همه سازمان‌هایی می‌شود که داده‌های شخصی را در تایلند، استفاده یا افشا می‌کنند.

GDPR چیست؟

مقررات عمومی حفاظت از داده‌ها (General Data Protection Regulation)، به اختصار GDPR مقررات اتحادیه اروپا در مورد حریم خصوصی اطلاعات و منطقه اقتصادی اروپا (EEA) است. GDPR جزء مهم قانون حریم خصوصی اتحادیه اروپا و قانون حقوق بشر، به ویژه ماده 8 (1) منشور حقوق اساسی اتحادیه اروپا است.

GDPR را می‌توان قوی‌ترین مجموعه قوانین حفاظت از داده‌ها در جهان در نظر گرفت، که نحوه دسترسی افراد به اطلاعات مربوط به آن‌ها را بیان می‌کند و محدودیت‌هایی را برای آنچه سازمان‌ها می‌توانند با داده‌های شخصی انجام دهند، ایجاد می‌کند. متن کامل GDPR شامل 99 مقاله جداگانه است.

این مقررات به عنوان چارچوبی برای قوانین در سراسر قاره وجود دارد و جایگزین دستورالعمل قبلی حفاظت از داده‌ها در سال 1995 شد. شکل نهایی GDPR پس از بیش از چهار سال بحث و مذاکره به وجود آمد و در آوریل 2016 توسط پارلمان و شورای اروپا به تصویب رسید. همچنین مقررات و دستورالعمل زیربنایی در پایان همان ماه منتشر شد.

GDPR در 25 می 2018 به اجرا درآمد و به کشورهای اروپایی این امکان داده شد که تغییرات کوچک خود را مطابق با نیازهای خود ایجاد کنند.

قوت GDPR باعث شده است که آن را به عنوان یک رویکرد مترقی در مورد نحوه استفاده از داده‌های شخصی افراد تحسین کرده و با قانون بعدی حفظ حریم خصوصی مصرف کنندگان کالیفرنیا مقایسه شده است.

GDPR برای چه کسانی اعمال می‌شود؟

قلب GDPR مرکز داده‌های شخصی است. به طور کلی، این اطلاعاتی است که به یک فرد اجازه می‌دهد به طور مستقیم یا غیرمستقیم از روی داده‌های موجود شناسایی شود. این مورد می‌تواند چیزی واضح باشد، مانند نام شخص، داده‌های موقعیت مکانی، یا یک نام کاربری آنلاین یا چیزی مانند آدرس‌های IP و شناسه‌های کوکی که می‌توان به عنوان داده‌های شخصی در نظر گرفت.

تحت نظر GDPR نیز چند دسته خاص از داده‌های شخصی حساس وجود دارد که از آن‌ها محافظت بیشتری می‌شود. این داده‌های شخصی شامل اطلاعاتی درباره منشاء نژادی یا اخلاقی، عقاید سیاسی، اعتقادات مذهبی، عضویت در اتحادیه‌ها، داده‌های ژنتیکی و بیومتریک، اطلاعات بهداشتی و داده‌های مربوط به زندگی جنسی یا جهت‌گیری فرد است.

اصول کلیدی GDPR چیست؟

در هسته GDPR هفت اصل کلیدی وجود دارد که در ماده 5 قانون تنظیم و برای راهنمایی نحوه مدیریت داده‌های افراد طراحی شده‌اند. آنها به عنوان قوانین سخت عمل نمی‌کنند، بلکه به عنوان یک چارچوب فراگیر که برای طرح اهداف کلی GDPR طراحی شده است، عمل می‌کنند. این اصول تا حد زیادی همان اصولی است که در قوانین قبلی حفاظت از داده وجود داشت.

به حداقل رساندن داده‌ها

اصل به حداقل رساندن داده‌ها جدید نیست، اما در عصری که اطلاعات بیشتری از همیشه ایجاد می‌کنیم، همچنان مهم است. سازمان‌ها نباید اطلاعات شخصی بیش از نیاز خود را از کاربران خود جمع آوری کنند.

این اصل به گونه‌ای طراحی شده است که اطمینان حاصل شود که سازمان‌ها در مورد نوع داده‌هایی که در مورد افراد جمع آوری می‌کنند زیاده روی نمی‌کنند. برای مثال، بسیار بعید است که یک خرده‌فروش آنلاین نیاز به جمع‌آوری نظرات سیاسی افراد در هنگام ثبت نام باشد.

«تخریب، از دست دادن، تغییر، افشای غیرمجاز یا دسترسی» داده‌های افراد باید به تنظیم‌کننده حفاظت از داده‌های کشور گزارش شود، جایی که می‌تواند تأثیر مخربی بر کسانی که زیرمجموعه آن هستند، داشته باشد. این مورد می‌تواند شامل ضرر مالی، نقض محرمانه، آسیب به شهرت و موارد دیگر باشد، اما محدود به آن نیست. در بریتانیا، ICO باید 72 ساعت پس از اطلاع سازمان از نقض داده‌ها مطلع شود. یک سازمان همچنین باید تأثیرات نقض را به مردم بگوید.

برای شرکت‌هایی که بیش از 250 کارمند دارند، نیاز به مستنداتی در مورد چرایی جمع‌آوری و پردازش اطلاعات افراد، شرح اطلاعاتی که نگهداری می‌شود، مدت زمان نگهداری آن و شرح اقدامات امنیتی فنی وجود دارد. ماده شماره سی GDPR بیان می‌کند که بیشتر سازمان‌ها باید سوابق پردازش داده‌های خود، نحوه اشتراک گذاری و همچنین ذخیره داده‌ها را حفظ کنند.

به‌علاوه، سازمان‌هایی که «نظارت منظم و سیستماتیک» افراد را در مقیاس بزرگ دارند یا داده‌های شخصی حساس زیادی را پردازش می‌کنند، باید از یک افسر حفاظت از داده‌ها (DPO) استفاده کنند. برای بسیاری از سازمان‌های تحت پوشش GDPR، این ممکن است به این معنی باشد که باید یک کارمند جدید استخدام کنند، اگرچه کسب‌وکارهای بزرگ و مقامات دولتی ممکن است قبلاً افرادی را در این نقش داشته باشند. در این شغل، فرد باید به اعضای ارشد کارکنان گزارش دهد، بر رعایت GDPR نظارت کند و نقطه تماس کارمندان و مشتریان باشد.

اگر سازمانی به دلیل نقض بالقوه یکی از اصول GDPR مورد بررسی قرار گیرد، اصل پاسخگویی نیز می‌تواند بسیار مهم باشد. داشتن سوابق دقیق از همه سیستم‌ها، نحوه پردازش اطلاعات و اقدامات انجام شده برای کاهش خطاها به سازمان کمک می‌کند تا به قانون‌گذاران ثابت کند که تعهدات GDPR خود را جدی می‌گیرد.

نقض GDPR و جریمه

یکی از بزرگ‌ترین و مورد بحث‌ترین عناصر GDPR، توانایی تنظیم‌کننده‌ها برای مشاغلی است که جریمه‌ها را رعایت نمی‌کنند. اگر سازمانی داده‌های یک فرد را به روش صحیح پردازش نکند، می‌تواند جریمه شود. اگر افسر حفاظت از داده‌ها نداشته باشد، می‌تواند جریمه شود. اگر نقض امنیتی وجود داشته باشد نیز می‌توان آن را جریمه کرد.

در بریتانیا، این جریمه‌های پولی توسط ICO تعیین می‌شود و هر پولی که دوباره به دست می‌آید از طریق خزانه داری بازگردانده می‌شود. GDPR می‌گوید که تخلفات کوچکتر می‌تواند منجر به جریمه تا 10 میلیون یورو یا دو درصد از گردش مالی جهانی یک شرکت (هر کدام بیشتر باشد) شود. نقض GDPR می‌تواند با عواقب جدی‌تری مواجه شود: جریمه‌هایی تا سقف 20 میلیون یورو یا چهار درصد از گردش مالی جهانی یک شرکت (هر کدام بیشتر باشد).

تحت رژیم قبلی حفاظت از داده‌ها، ICO فقط می‌توانست تا 500000 پوند جریمه صادر کند.

قبل از اجرای GDPR، گمانه‌زنی‌های زیادی وجود داشت مبنی بر اینکه تنظیم کننده‌های حفاظت از داده‌ها، شرکت‌هایی را که در نقض این قانون شناسایی می‌شوند، با جریمه‌های هنگفتی روبه‌رو شوند.

یکی از بزرگ‌ترین جریمه‌های GDPR تا به امروز علیه گوگل بوده است: تنظیم‌کننده حفاظت از داده‌های فرانسه، کمیسیون ملی حفاظت از داده‌ها (CNIL)، این شرکت را 50 میلیون یورو (43 میلیون پوند) جریمه کرد. CNIL گفت که این جریمه به دو دلیل اصلی صادر شده است: گوگل اطلاعات کافی در مورد نحوه استفاده از داده‌هایی که از ۲۰ سرویس مختلف دریافت می‌کند و همچنین عدم دریافت رضایت مناسب برای پردازش داده‌های کاربر را به کاربران ارائه نمی‌دهد.

همچنین، متا با جریمه 275 میلیون دلاری GDPR برای نقض اطلاعات فیسبوک مواجه شد که دلیل آن نقض قانون حفاظت از داده‌های اروپا بود.

در آن زمان، فیسبوک سعی کرد این نقض را کم اهمیت جلوه دهد و ادعا کرد که داده‌هایی که در فضای آنلاین پیدا شده بودند «داده‌های قدیمی» بودند و مشکلی را که منجر به افشای اطلاعات شخصی شده بود، برطرف کرده بود.

در موردی دیگر، جریمه 265 میلیون یورویی (275 میلیون دلاری) توسط کمیسیون حفاظت از داده‌های ایرلند (DPC)، برای مقررات عمومی حفاظت از داده‌های اتحادیه اروپا (GDPR) اعلام شد.

یک فرآیند تحقیق جامع، از جمله همکاری با سایر مقامات نظارتی حفاظت از داده‌ها در اتحادیه اروپا نیز وجود داشت.

همچنین چند سال قبل واتساپ متعلق به متا به دلیل نقض شفافیت 225 میلیون یورو (267 میلیون دلار) جریمه شد. همچنین، اینستاگرام متعلق به متا با جریمه‌ای 405 میلیون یورویی برای نقض حریم خصوصی کودکان مواجه شد.

DPC همچنین تعدادی تحقیقات در حال انجام در مورد سایر جنبه‌های کسب و کار متا دارد، از جمله تحقیقات عمده‌ای در مورد مبنای قانونی که متا ادعا می‌کند قادر به پردازش داده‌های افراد است که قدمت آن به حدود 4 سال قبل می‌رسد.

جریمه متا به دلیل سوء استفاده از اطلاعات کاربران

طبق گزارش Guardian در سال 2022، متا به جریمه بی‌سابقه 1.2 میلیارد یورویی (1 میلیارد پوند) محکوم شد و دستور تعلیق انتقال اطلاعات کاربران از اتحادیه اروپا به ایالات متحده صادر شد. البته در انتهای این مقاله جدولی از نقض داده‌های معروف وجود دارد، ولی این جریمه که مربوط به متا می‌باشد در خصوص سوءاستفاده خود متا از اطلاعات کاربران بود.

جریمه‌ای معادل 1.3 میلیارد دلار که توسط کمیسیون حفاظت از داده‌های ایرلند (DPC) اعمال شده است، با قانون‌گذاری متا در سراسر اتحادیه اروپا، رکوردی برای نقض مقررات عمومی حفاظت از داده‌های (GDPR) به حساب می‌آید.

همچنین در آن زمان به متا شش ماه فرصت داده شده تا پردازش غیرقانونی، از جمله ذخیره‌سازی داده‌های شخصی اتحادیه اروپا را متوقف کند، به این معنی که داده‌های کاربر باید از سرورهای فیسبوک حذف شوند.

DPC گفت متا با ادامه انتقال داده‌های کاربران اتحادیه اروپا به ایالات متحده بدون وجود بستر مناسب، علیرغم حکم دادگاه اروپایی در سال 2020 مبنی بر نیاز به حفاظت قوی از این اطلاعات، GDPR را نقض کرده بود.

بزرگترین جریمه‌های نقض داده تاکنون

جریمه‌های قابل توجهی که از سال 2019 برای نقض داده‌ها ارزیابی شده است نشان می‌دهد که تنظیم کننده‌ها در مورد سازمان‌هایی که به درستی از داده‌های مصرف کننده محافظت نمی‌کنند جدی‌تر می‌شوند. به عنوام مثال ماریوت با 124 میلیون دلار جریمه مواجه شد که بعداً کاهش یافت، در حالی که Equifax موافقت کرد که حداقل 575 میلیون دلار برای تخلفات خود در سال 2017 بپردازد.

در این بخش بزرگترین جریمه‌ها و مجازات‌های ارزیابی شده برای نقض داده‌ها یا عدم رعایت قوانین امنیت و حریم خصوصی آمده است.

البته در انتهای مقاله نیز جدولی از جریمه‌های نقض داده نیز وجود دارد. برخی از این جریمه‌ها نیز بعدها آپدیت شده‌اند که در همان جدول به ترتیب صحیح آورده شده است.

1. دیدی گلوبال: 1.19 میلیارد دلار

اداره فضای سایبری چین، شرکت چینی دیدی گلوبال را به دلیل نقض قوانین امنیت شبکه، قانون امنیت داده‌ها و قانون حفاظت از اطلاعات شخصی توسط این شرکت به مبلغ 8.026 میلیارد یوان (1.19 میلیارد دلار) جریمه کرد. دیدی گلوبال در بیانیه‌ای اعلام کرد که تصمیم تنظیم‌کننده امنیت سایبری را می‌پذیرد؛ تصمیمی که پس از یک سال تحقیق در مورد این شرکت در مورد اقدامات امنیتی و فعالیت‌های مشکوک غیرقانونی اتخاذ شد.

2. آمازون: 877 میلیون دلار

در تابستان ۲۰۲۱، سوابق مالی غول خرده‌فروشی آمازون نشان داد که مقامات لوکزامبورگ جریمه‌ای به مبلغ ۷۴۶ میلیون یورو (۸۷۷ میلیون دلار) برای نقض GDPR صادر کرده‌اند. طبق یک پست وبلاگی توسط فروشنده امنیت سایبری، دلایل کامل این جریمه هنوز تایید نشده است، اما اعتقاد بر این است که رضایت کوکی را شامل می‌شود.

3. Equifax: حداقل 575 میلیون دلار

در سال 2017، Equifax اطلاعات شخصی و مالی نزدیک به 150 میلیون نفر را به دلیل فریمورک آپاچی Struts اصلاح نشده در یکی از پایگاه‌های داده خود از دست داد. این شرکت ماه‌ها پس از انتشار، نتوانسته بود آسیب‌پذیری حیاتی را برطرف کند و سپس برای هفته‌ها پس از کشف آن، مردم را از این نقض آگاه نکرد.

در ژوئیه 2019، آژانس اعتباری موافقت کرد که 575 میلیون دلار در توافقی با کمیسیون تجارت فدرال، دفتر حمایت مالی از مصرف کننده (CFPB) و همه 50 ایالت و منطقه ایالات متحده بر سر “شکست شرکت در پذیرش اقدامات ” را بپردازد.

4. اینستاگرام: 403 میلیون دلار

در سپتامبر 2022، کمیسر حفاظت از داده‌های ایرلند (DPC) اینستاگرام را به دلیل نقض حریم خصوصی کودکان تحت شرایط GDPR جریمه کرد. این شکایت طولانی مدت مربوط به داده‌های متعلق به افراد زیر سن قانونی، به ویژه شماره تلفن و آدرس ایمیل بود که برخی از کاربران جوان پروفایل‌های خود را برای دسترسی به ابزارهای تجزیه و تحلیل مانند بازدید از پروفایل ارتقا دادند.

متا، مالک اینستاگرام اعلام کرد که قصد دارد علیه این تصمیم تجدید نظر کند. یکی از مقامات متا به بی‌بی‌سی نیوز گفت: «این تحقیق بر تنظیمات قدیمی‌ متمرکز بود که بیش از یک سال پیش به‌روزرسانی کردیم و از آن زمان بسیاری از ویژگی‌های جدید را برای کمک به حفظ امنیت نوجوانان و حفظ اطلاعات آن‌ها منتشر کرده‌ایم».

اندی باروز، رئیس خط مشی آنلاین ایمنی کودکان در انجمن ملی پیشگیری از ظلم به کودکان (NSPCC) گفت: “این یک نقض بزرگ بود که پیامدهای حفاظتی قابل توجه و احتمال آسیب واقعی به کودکان از اینستاگرام را داشت. این حکم نشان می‌دهد که چگونه اجرای مؤثر می‌تواند از کودکان در رسانه‌های اجتماعی محافظت کند و تأکید می‌کند که چگونه مقررات در حال حاضر کودکان را در فضای آنلاین ایمن‌تر می‌کند.»

5. تیک تاک: 370 میلیون دلار

در سپتامبر 2023، تیک تاک به دلیل نقض حریم خصوصی داده‌های کودکان، طبق قانون GDPR، توسط کمیسیون حفاظت از داده‌های ایرلند (DPC) به جریمه 345 میلیون یورویی (370 میلیون دلار) محکوم شد. DPC متوجه شد که تیک تاک به اندازه کافی با کودکان در مورد تنظیمات حریم خصوصی خود شفاف نبوده است و سوالاتی در مورد نحوه پردازش داده‌های آنها ایجاد کرده است.

این تحقیق مربوط به دوره بین 31 ژوئیه 2020 و 31 دسامبر 2020 بود که تیک تاک به تعهدات خود تحت GDPR در رابطه با پردازش داده‌های شخصی مربوط به کاربران کودک پلتفرم تیک تاک در چارچوب این قانون عمل نکرد.

6. تی موبایل: 350 میلیون دلار

در ژوئیه 2022، غول ارتباطات سیار تی موبایل (T-Mobile) شرایط توافق را برای یک دعوای حقوقی دسته جمعی پس از نقض داده‌ها که در اوایل سال 2021 رخ داد و بر روی 77 میلیون نفر تأثیر گذاشت، اعلام کرد. این حادثه حول محور «دسترسی غیرمجاز» به سیستم‌های تی موبایل پس از لیست شدن بخشی از داده‌های مشتریان برای فروش در یک انجمن مجرمان سایبری شناخته شد. در پرونده SEC، مشخص شد که تی موبایل مجموعاً 350 میلیون دلار برای تأمین مالی ادعاهای ارائه شده، هزینه‌های حقوقی وکیل شاکیان و هزینه‌های مدیریت تسویه حساب پرداخت کرد. این شرکت همچنین متعهد می‌شود در سال‌های 2022 و 2023 مجموعاً 150 میلیون دلار برای امنیت داده‌ها و فناوری‌های مرتبط هزینه کند.

7. متا (فیس بوک): 277 میلیون دلار

در نوامبر 2022، کمیسیون حفاظت از داده‌های ایرلند (DPC) متا را به دلیل به خطر انداختن اطلاعات شخصی 500 میلیون کاربر، 277 میلیون دلار (265 میلیون یورو) جریمه کرد. DPC تحقیقات خود را در 14 آوریل 2021، به دنبال گزارش‌هایی مبنی بر مجموعه داده‌های جمع آوری شده از داده‌های شخصی فیس بوک که در اینترنت در دسترس قرار گرفته بود، آغاز کرد.

 DPC اجرای اقدامات فنی و سازمانی را بر اساس ماده 25 GDPR مورد بررسی قرار داد.

این تصمیم یک توبیخ و دستوری را اعمال کرد که MPIL را ملزم می‌کرد تا با انجام طیفی از اقدامات اصلاحی مشخص در یک بازه زمانی خاص، پردازش خود را مطابقت دهد.

8. واتساپ : 255 میلیون دلار

سرویس پیام رسانی واتساپ متعلق به فیس بوک در آگوست 2021 به دلیل یک سری نقض حفاظت از داده‌های فرامرزی GDPR در ایرلند، 225 میلیون یورو (255 میلیون دلار) جریمه شد. این جریمه به دنبال یک تحقیق و فرآیند اجرایی طولانی است که در سال ۲۰۱۸ آغاز شد و تصمیم پیشنهادی کمیسیون حفاظت از داده‌ها و تحریم‌ها توسط تنظیم‌کننده‌های اروپایی حفاظت از داده‌ها رد شد و منجر به ارجاع و صدور حکم از سوی هیئت حفاظت از داده‌های اروپا شد. این اتهامات بر شکایات کاربران سرویس‌های واتساپ متمرکز بود که شامل نقض شفافیت و تعهدات اطلاعات موضوع داده‌ها طبق مواد 12، 13 و 14 GDPR بود.

9. هوم دیپات: 200 میلیون دلار

در سال 2014 هوم دیپات(Home Depot) در یکی از بزرگ‌ترین نقض‌های اطلاعاتی تا به امروز که شامل سیستم نقطه فروش (POS) بود، دست داشت که منجر به پرداخت جریمه‌ها و تسویه حساب‌ها شد. اعتبار دزدیده شده از شخص ثالث به مهاجمان این امکان را می‌دهد که وارد شبکه هوم دیپات شوند، امتیازات را بالا ببرند و در نهایت سیستم POS را به خطر بیندازند. بیش از 50 میلیون شماره کارت اعتباری و 53 میلیون آدرس ایمیل در یک دوره پنج ماهه بین آوریل تا سپتامبر 2014 به سرقت رفته است.

بنابر گزارش‌ها، هوم دیپات حداقل 134.5 میلیون دلار به شرکت‌های کارت اعتباری و بانک‌ها در نتیجه این نقض پرداخت کرده است. علاوه بر این، در سال 2016 هوم دیپات موافقت کرد که 19.5 میلیون دلار به مشتریانی که تحت تأثیر این نقض قرار گرفته بودند، پرداخت کند که شامل هزینه خدمات نظارت بر اعتبار برای قربانیان نقض می‌شود. در سال 2017، این شرکت موافقت کرد که 25 میلیون دلار اضافی به مؤسسات مالی متاثر از نقض حقوقی که می‌توانست توسط قربانیان مطالبه شده و زیان بانک‌ها را پوشش دهد، بپردازد.

تخلفات می‌تواند هزینه‌های زیادی داشته باشد، به‌ویژه وقتی صحبت از جریمه و تسویه حساب می‌شود. در نوامبر 2020، هوم دیپات مبلغ 17.5 میلیون دلار دیگر را به 46 ایالت ایالات متحده و واشنگتن دی سی برای نقض قوانین پرداخت کرد. این قرارداد همچنین هوم دیپات را مجبور کرد از یک CISO استفاده کند، آموزش امنیتی برای پرسنل کلیدی ارائه دهد و از کنترل‌ها و سیاست‌های امنیتی در زمینه‌هایی مانند هویت و دسترسی، نظارت و واکنش به حوادث اطمینان حاصل کند.

10. کپیتال وان (Capital One): 190 میلیون دلار

در دسامبر 2021، Capital One موافقت کرد که 190 میلیون دلار برای رسیدگی به دعوای دسته جمعی که توسط مشتریان ایالات متحده علیه آن به دلیل نقض اطلاعات در سال 2019 که 100 میلیون نفر را تحت تأثیر قرار داده بود، بپردازد. این تسویه بیش از یک سال پس از آن صورت گرفت که دفتر کنترل ارز ایالات متحده، کپیتال وان را 80 میلیون دلار به دلیل نقض مشابه جریمه کرد.

یک مهندس نرم افزار در AWS پشت این حمله بود که اطلاعاتی از جمله جزئیات حساب بانکی را افشا کرد. در بیانیه‌ای ایمیلی، کپیتال وان گفت که حقایق کلیدی در این پرونده از زمان اعلام این رویداد با هماهنگی مقامات فدرال بیش از دو سال پیش، با دستگیری هکر و بازیابی اطلاعات سرقت شده قبل از انتشار یا استفاده برای آنها تغییر نکرده است.

11. اوبر: 148 میلیون دلار

در سال 2016، اپلیکیشن اوبر دارای 600 هزار راننده و 57 میلیون حساب کاربری بود. به جای گزارش این حادثه، این شرکت 100,000 دلار به عامل این حادثه پرداخت کرد تا هک را مخفی نگه دارد. با این حال، این اقدامات برای شرکت گران تمام شد. این شرکت در سال  2018 مبلغ 148 میلیون دلار جریمه شد.

12. مورگان استنلی: 120 میلیون دلار

در ژانویه 2022، بانک سرمایه گذاری و غول خدمات مالی مورگان استنلی موافقت کرد که 60 میلیون دلار برای تسویه یک ادعای حقوقی مربوط به امنیت داده‌های خود بپردازد. این توافق در صورت تایید یک قاضی فدرال در منهتن، شکایت دسته جمعی را که در ژوئیه 2020 علیه شرکت در رابطه با دو نقض امنیتی که اطلاعات شخصی تقریباً 15 میلیون مشتری را به خطر انداخته بود، حل می‌کرد. به گفته مدعیان، مورگان استنلی نتوانست از اطلاعات شناسایی شخصی (PII) مشتریان فعلی و سابق محافظت کند. گفته می‌شود که تجهیزات مرکز داده که در سال‌های 2016 و 2019 توسط این شرکت از رده خارج شده‌اند، به طور مؤثر پاک نشده‌اند و نقص نرم‌افزاری به این معنی است که داده‌های حساس و رمزگذاری نشده برای هر کسی که تجهیزات را خریداری کرده است قابل مشاهده است.

تسویه ادعای پیشنهادی بیش از یک سال پس از آن صورت گرفت که اداره کنترل ارز (OCC) مورگان استنلی را به جریمه مدنی جداگانه 60 میلیون دلاری در رابطه با حوادث مشابه محکوم کرد. OCC اعلام کرد که مورگان استنلی نظارت مناسبی بر از کار انداختن دو مرکز داده مدیریت ثروت مستقر در ایالات متحده در سال 2016 انجام نداده است.

13. گوگل ایرلند: 102 میلیون دلار

گوگل ایرلند در 6 ژانویه 2022 توسط سازمان حفاظت از داده فرانسه CNIL با جریمه 90 میلیون یورویی (102 میلیون دلار) مواجه شد. این جریمه مربوط به نحوه اجرای رویه‌های رضایت از کوکی توسط بازوی اروپایی گوگل در یوتیوب بود. در این بیانیه آمده است: «CNIL شکایات زیادی در مورد نحوه رد کردن کوکی‌ها در وب‌سایت‌های google.fr و youtube.com دریافت کرده است. در ژوئن 2021، CNIL یک تحقیق آنلاین در این وب‌سایت‌ها انجام داد و دریافت که آنها دکمه‌ای را ارائه می‌کنند که امکان پذیرش فوری کوکی‌ها را فراهم می‌کند، این روند بر آزادی رضایت کاربران اینترنت تأثیر می‌گذارد و نقض ماده 82 قانون حفاظت از داده‌های فرانسه است.

51 مورد از بزرگ‌ترین جریمه‌های نقض داده در یک نگاه

این بخش مروری کوتاه بر جریمه‌های نقض داده‌ها و مجازات‌های نقض داده‌های اعمال شده در سطح جهانی ارائه می‌دهد.

لازم به ذکر است با نقض داده هر یک از این شرکت‌ها، سازمان قانونگذار مربوط به آن شرکت بررسی‌های لازم را انجام داده و مبلغ جریمه را تعیین کرده است. در ستون سازمان‌ ناظر نام بیشتر این سازمان‌ها قابل مشاهده است که هر کدام وظایف خاص خود را دارند.