24/7 поддръжка
ЧЗВ
 Контролен панел
Салдо на сметка:    
Будител за хостинг индустрията: Защо GDPR глоби идват право към теб през 2025

Будител за хостинг индустрията: Защо GDPR глоби идват право към теб през 2025

Апр 10, 2026 gdpr data protection hosting compliance data processor liability regulatory enforcement cloud security saas compliance data retention cyber risk management

Промяната, която никой не очакваше (макар че беше пред очите ни)

Ако управляваш хостинг услуга, обработваш данни от клиенти в ЕС или предлагаш платформа за данни, спирай и чети внимателно. Старият мит, че клиентът поема цялата отговорност по GDPR? Той приключи.

През първите седем години от GDPR – от 2018 до 2024 – моделът беше ясен: при пробиви на данни глоби падаха върху фирмата, която комуникира директно с потребителите. Хостинг доставчиците, облачните процесори и инфраструктурните доставчици се споменават в разследванията, но удара поемаха другите. Това свърши през 2025. Две регулаторни решения показват накъде отива всичко.

Случай 1: Грешката в NHS, която струва £3.07 милиона

През март 2025 Британската комисия за информация (ICO) стори нещо ново: глоби директно процесор на данни.

Advanced Computer Software Group осигурява IT услуги за Националната здравна служба в UK. През август 2022 ransomware проникна през акаунт без multi-factor authentication. Засегнати са медицински записи на близо 900 пациенти, част от база с 82 946 човека.

Ключът тук: глобата дойде не защото те управляват пациентите, а защото не са защитили данните, за които са се ангажирали по договор.

ICO откри пропуски:

  • Липса на MFA в системите за здравни данни
  • Без редовно сканиране за уязвимости
  • Слабо управление на ъпдейти

Първоначално глобата беше £6.1 милиона. След споразумение падна до £3.07 милиона. Но съобщението е ясно: Член 32 от UK GDPR изисква подходящи технически и организационни мерки за сигурност. Ако обработваш данни по договор, ти си отговорен. Край на приказката.

Това не беше глоба за NHS. Беше за процесора.

Случай 2: Капанът с запазването на данни, който струва €1 милион

Пет месеца по-късно френската CNIL реши дело срещу Mobius Solutions – британска SaaS фирма, която обработваше рекламни данни за Deezer.

След края на договора Mobius направи грешка, която трябва да плаши всеки в хостинг бизнеса: запазиха данните. Освен това ги използваха да подобрят собствения си сервиз без разрешение.

CNIL намери три нарушения:

  1. Запазване на данни след край на договора (нарушение на Член 28(3)(g))
  2. Обработка извън инструкциите на контролера (Член 28(3)(a))
  3. Липса на записи за обработката (Член 30)

Глобата: €1 милион.

За хостинг платформите това е важен случай заради мащаба – 46 милиона потребителски записа от Deezer. Mobius нямаше офиси в ЕС, което улесни директната юрисдикция на CNIL. Разследването от ноември 2022 до декември 2025 завърши с удар по процесора.

Защо това засяга твоя хостинг бизнес

Това не са изключения. Това са прецеденти. Ето какво установяват:

Ти носиш директна отговорност за сигурността си. Клиентът не те пази с data processing agreement. DPA прехвърля договорни задължения, не регулаторни рискове. Ако нямаш подходящи технически мерки, глобата е за теб.

Изтриването на данни е задължително. Когато договорът свърши, данните трябва да изчезнат според условията. Да ги държиш "за всеки случай" или за свои цели води до глоби. Mobius го доказа.

Сигурността не се преговаря. MFA, управление на уязвимости, ъпдейти, контрол на достъпа – през 2025 това са задължения, не опции. Аудит ще ги разкрие. Регулаторът ще глоби.

Документацията те спасява или унищожава. Липсата на записи за обработка при Mobius беше отделно нарушение. Твоите логове, одити, политики за запазване са доказателства. Без тях регулаторът те смята за виновен.

Какво да направиш още днес

Ако предлагаш хостинг, managed услуги или SaaS с EU данни, ето плана:

  1. Провери архитектурата на сигурността. Имаш ли MFA, encryption, сегментация на мрежата, сканиране за уязвимости във всички системи с лични данни? Ако не – рискуваш.

  2. Прегледай политиките за данни. При край на договор автоматиката изтрива ли данните? Или стоят в backups завинаги? Запиши периоди и ги спазвай.

  3. Подобри data processing agreements. DPA трябва да уточнява сигурност, изтриване и одити. Бъди конкретен, не обобщен.

  4. Добави пълно логване и мониторинг. Докажи какво обработваш, кой има достъп и как го пазиш. Това е твоята защита.

  5. Помисли за cyber insurance. Глобите стават реалност. Страховката не покрива всичко, но е част от стратегията.

  6. Консултирай се с юристи. Новите прецеденти изискват експерти по технически и правни аспекти.

Неудобната истина

Рамката, която прави процесорите директно отговорни, съществува от 2018. Регулаторите просто удряха контролерите – по-лесната мишена.

През 2025 осъзнаха, че могат да целят тези, които държат и пазят данните. И го правят.

Advanced и Mobius са първите. Няма да са последните. Всеки хостинг доставчик, SaaS или cloud процесор с EU данни е на линия.

Въпросът не е дали ще дойдат. Дошли са вече. Въпросът е дали си готов.

В NameOcean създадохме Vibe Hosting с фокус върху compliance от самото начало. Но съответствието не се купува – то се вгражда в инфраструктурата, документацията и операциите.

Започни сега. Прецедентът е факт.

Read in other languages:

RU EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN