170M adatvédelmi bírság a Booking.com-nak
A Holland Adatvédelmi Hatóság (AP) 475.000 euró (~170M Ft) bírságot szabott ki a népszerű szállásfoglaló oldalra, a Booking.com-ra, mivel az késedelmesen jelentett be egy nála történt adatvédelmi incidenst.
A GDPR szigorúan szabályozza az adatvédelmi incidenst elszenvedő cégek bejelentési kötelezettségeit, így például azt 72 órán belül meg kell tenniük az illetékes hatóság felé. Korábban már láthattuk, hogy az európai hatóságok nagyon komolyan veszik ezt a kötelezettséget, rendszeresen bírságolnak annak elmulasztásáért, sok esetben igen magas összegeket kiszabva.
A Booking ügye 2018-ban kezdődött, amikor telefonos csalók 40 hotelalkalmazottat vertek át az Egyesült Arab Emirátusokban, hogy belépési adataikat használva kárt okozzanak az oldalnak. Miután hozzáfértek a Booking rendszeréhez, több, mint 4100 ügyfél személyes adatait lopták el, ebből 283 esetben a bankkártyájukra vonatkozó információkat, illetve 97 esetben a kártyákhoz tartozó CVC számokat is megszerezték.
Az AP vezetője nyilatkozatában kiemelte, hogy azokban az esetekben is súlyosnak számít az incidens, amikor a támadók nem tudnak az érintettek bankszámláihoz hozzáférni, hiszen a nyaralásukra vonatkozó adatok segítségével igen meggyőzően tudják magukat a Booking képviselőjének kiadni, ezáltal további adatokat megszerezve és további károkat okozva.
Bár a hatósági vizsgálat kimutatta, hogy nem a Booking volt a felelős az incidensért, azonban azt késedelmesen jelentette a Hatóságnak. Az eset 2019. január 13-án jutott a tudomásukra, azonban a Booking azt február 7-ig nem jelentette. Ez 22 nappal az incidens után volt, és ahogy korábban utaltunk rá, a GDPR erre mindössze 72 órát ad. Mivel a hasonló esetek a szektorban működő cégeknél egyre gyakoribbak, a hatóságok kiemelten figyelnek ezen kötelezettség betartására.
Az AP az előbb említett késedelemért szabta ki bírságát, indoklásában felhívta a figyelmet, hogy hasonló esetekben a cégek felelőssége nem merül ki annyiban, hogy a lehető legjobb adatvédelmi megoldásokat használják, a hatóságok gyors és jogszabály szerinti határidőben történő értesítése ugyanúgy elvárás. A késedelem miatt ugyanis a támadók kellő időt kap(hat)tak, hogy az általuk szerzett adatokkal további károkat okozzanak. Ilyen esetben a cégek a hatóságok mellett az érintetteket sem szokták tájékoztatni az incidensekről, ezért is különösen fontos, hogy időben bevonásra kerüljön a hatóság, mivel így gyorsan tudja kötelezni az adatkezelőt, hogy tájékoztassa az érintetteket is.
A Booking szóvivője úgy nyilatkozott, hogy a bírság kizárólag a késedelmes bejelentés miatt került kiszabásra, az AP egyéb tekintetben meg volt elégedve a Booking adatbiztonságával, illetve a cég által tanúsított együttműködéssel. Ennek eredményeként az eredeti bírságot az ügy lezárásakor 50.000 euróval csökkentették.