24/7 Qo'llab-quvvatlash
Tez-tez Beriladigan Savollar
 Boshqaruv paneli
Hisob Balansi:    
2025 da GDPR jarimalari hostingchilarga to‘g‘ridan-to‘g‘ri kelmoqda: So‘zma-so‘z ogohlantirish!

2025 da GDPR jarimalari hostingchilarga to‘g‘ridan-to‘g‘ri kelmoqda: So‘zma-so‘z ogohlantirish!

Apr 10, 2026 gdpr data protection hosting compliance data processor liability regulatory enforcement cloud security saas compliance data retention cyber risk management

Hosting biznesida GDPR o'zgarishi: Hech kim kutmagan, lekin hammasi ko'rishi kerak edi

Agar siz managed hosting kompaniyasi yuritsangiz, Yevropa Ittifoqida mijoz ma'lumotlarini qayta ishlasangiz yoki data platformasi bo'lsangiz, buni diqqat bilan o'qing. Mijozlar GDPR mas'uliyatini o'zlari ko'taradi degan qulay fikr endi o'ldi.

GDPR 2018-2024 yillarda shunday edi: ma'lumot buzilishida foydalanuvchi bilan bog'langan kompaniya jarimaga tortilardi. Hosting provayderi, cloud yoki infratuzilma esa faqat tekshiruvda esga olinardi. Jarima boshqaga tushardi.

2025 yilda hammasi o'zgardi. Buning dalili – ikkita qaror. Hosting rahbarlari buni tushunib, uxlamasligi kerak.

Birinchi holat: NHS xavfsizlik xatosi, £3.07 million jarima

2025 yil martda Buyuk Britaniya ICO'si yangi ish qildi: birinchi marta data processor'ni to'g'ridan-to'g'ri jarimaga tortdi.

Advanced Computer Software Group NHS ga IT xizmat ko'rsatadi. 2022 yil avgustda ransomware hujumchilari mijoz hisobidagi multi-factor authentication yo'qligidan tizimga kirdi. 82 946 odamning tibbiy yozuvlari, shu jumladan 900 uy parvarishi bemorlar ma'lumotlari oshkor bo'ldi.

Muhimi: Advanced jarimaga tortildi, chunki ular shartnomada himoya qilish majburiyati bo'lgan ma'lumotlarni xavfsiz qila olmadilar.

ICO tekshiruvi shularni ko'rsatdi:

  • Sog'liq ma'lumotlari tizimlarida MFA yo'q
  • Zaifliklarni to'liq skanerlash yo'q
  • Patchlarni boshqarish yetarli emas

Dastlab £6.1 million jarima bo'lishi mumkin edi. Kelishuvdan keyin £3.07 million ga tushdi. Lekin xabar aniq: UK GDPR 32-moddasi "tegishli texnik va tashkiliy xavfsizlik choralarini" talab qiladi. Shartnoma bo'yicha ma'lumot ishlasangiz, siz javobsiz emassiz.

Bu NHS ga emas, processor ga jarima edi.

Ikkinchi holat: Ma'lumotni saqlash tuzog'i, €1 million jarima

Besh oy o'tgach, Fransiya CNIL'si Mobius Solutions ga qaror chiqardi. Bu Buyuk Britaniya ro'yxatdan o'tgan SaaS kompaniyasi Deezer uchun reklama ma'lumotlarini boshqargan.

Shartnoma tugagach, Mobius ma'lumotlarni saqlab qoldi. Hatto Deezer ruxsatisiz o'z xizmatini yaxshilash uchun ishlatdi.

CNIL uchta buzilishni aniqladi:

  1. Shartnoma tugagach ma'lumot saqlash (28(3)(g) modda buzilishi)
  2. Controller ko'rsatmasidan tashqari qayta ishlash (28(3)(a) buzilishi)
  3. Qayta ishlash yozuvlarini yuritmaslik (30-modda buzilishi)

Jarima: €1 million.

Hosting uchun bu holat ahamiyatli: 46 million Deezer foydalanuvchisi ma'lumotlari. Mobius da YI vakolatxonasi yo'q edi, shuning uchun CNIL to'g'ridan-to'g'ri harakat qildi. 2022-2025 yillarda 3 yil tekshiruv natijasida processor ga jarima.

Nega bu sizning hosting biznesingizga ta'sir qiladi

Bu tasodif emas, bu pretsedentlar. Ular shuni ko'rsatadi:

Xavfsizlik uchun siz to'g'ridan-to'g'ri javobsizsiz. Mijozlar DPA imzolashi sizni GDPR jarimasidan saqlamaydi. DPA shartnoma mas'uliyatini o'tkazadi, lekin regulyator xavfini emas. Texnik choralar yetmasa, regulyator sizni jarimaydi.

Ma'lumot o'chirish majburiy. Shartnoma tugasa, ma'lumotlarni o'chiring. "Bolasi uchun" saqlash yoki o'z xizmatingizga ishlatish jarimaga olib keladi. Mobius buni isbotladi.

Xavfsizlik standartlari muhokama qilinmaydi. 2025 da MFA, zaiflik boshqaruvi, patchlar, kirish nazorati – bular talab. Audit ochib beradi, regulyator jarimaydi.

Hujjatlar sizni saqlaydi yoki yo'q qiladi. Mobius yozuvlarni yuritmagani uchun alohida jarima oldi. Qayta ishlash yozuvlari, texnik auditlar, xavfsizlik loglari, saqlash siyosatlari – bular dalil. Hujjat yo'q bo'lsa, buzilgan deb hisoblanasiz.

Hozir nima qilishingiz kerak

EU ma'lumotlarini ishlaydigan hosting, managed services yoki SaaS bo'lsangiz, ro'yxat:

  1. Xavfsizlik arxitekturasini tekshiring. MFA, shifrlash, tarmoq bo'linishi, zaiflik skaneri – shaxsiy ma'lumot tizimlarida bormi? Yo'q bo'lsa, xavfdasiz.

  2. Ma'lumot saqlash amaliyotini ko'rib chiqing. Shartnoma tugasa, avtomatika ma'lumotlarni o'chiradimi? Yoki backupda qoladimi? Saqlash muddatlarini yozing va bajaring.

  3. DPA'larni mustahkamlang. Mijozlar bilan DPA da xavfsizlik majburiyatlari, o'chirish tartibi, audit huquqlarini aniq belgilang. Noaniq qoldirmang.

  4. To'liq log va monitoring qo'ying. Qaysi ma'lumotni ishlatayotganingizni, kim kirayotganini, qanday himoya qilayotganingizni isbotlang. Bu himoyangiz.

  5. Cyber sug'urta oling. GDPR jarimalari jiddiy. Hamma narsani qoplanmaydi, lekin xavf boshqaruvi qismi.

  6. Huquqshunoslarni jalb qiling. 2025 o'zgarishi yangi. Texnika va huquqni biladigan maslahatchilar kerak.

Noqulay haqiqat

Processorlarni to'g'ridan-to'g'ri javobgar qiluvchi qonun 2018 yildan mavjud. Regulyatorlar oddiy yo'l tutib, controllerlarga borardi.

2025 da ular ma'lumotni ushlab turuvchi va himoya qiluvchilarga o'tdi. Advanced va Mobius pretsedent qo'ydi. Ular oxirgi emas. Har hosting, SaaS, cloud provayder endi ko'zda.

Regulyator processorlarni jarimaydimi? Allaqachon qilmoqdalar. Savol: siz tayyormisizmi?

Biz NameOcean da Vibe Hosting ni compliance birinchi arxitekturada qurdik. Lekin compliance sotib olinmaydi – infratuzilma, hujjatlar va operatsiyalarga quriladi.

Hozir boshlang. Pretsedent bor.

Read in other languages:

RU BG EL CS TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN