Španija: 6,5 milijona EUR za The Phone House
Nadzorni organ je telekomunikacijsko podjetje kaznoval, ker niso izvajali ustreznih ukrepov za zaščito osebnih podatkov njihovih strank, dobaviteljev in zaposlenih, kar je vodilo do hude kršitve varnosti podatkov.
Odločitev je bila objavljena 13.11.2024
14. aprila 2021 je španski nadzorni organ (AEPD) od ponudnika telekomunikacijskih storitev (upravljavec) prejel obvestilo o kršitvi varnosti osebnih podatkov.
Poročilo je pokazalo, da je kršitev varnosti podatkov prizadela približno 13 milijonov posameznikov. Napadalci so ukradli bazo z osebnimi podatki obstoječih in nekdanjih strank, dobaviteljev ter zaposlenih pri upravljavcu. Na javni spletni strani so objavili njihova imena, poštne naslove, elektronske naslove, mobilne številke, državljanstvo, spol, datume rojstva, številke bančnih računov in podatke o zaposlitvi.
Upravljavec je podatke hranil v obliki navadnega besedila brez kakršnih koli ukrepov psevdonimizacije ali anonimizacije. Upravljavec je v obvestilu trdil, da so bili vzpostavljeni ustrezni ukrepi in da napada ni bilo mogoče preprečiti zaradi naprednega tehničnega znanja napadalcev. Upravljavec je navedel, da ni povezave med domnevno neustreznimi varnostnimi ukrepi in kršitvijo varnosti podatkov, saj tudi strožji ukrepi napada ne bi mogli preprečiti. Tako ni bilo mogoče vzpostaviti vzročne povezave med dejanji upravljavca in incidentom. Upravljavec se je predstavljal kot žrtev nepredvidenega napada in trdil, da je v vsakem varnostnem sistemu prostor za izboljšave, vendar določil člena 5(1)(f) GDPR ni mogoče razlagati kot obveznost doseganja določenih rezultatov.
Odločitev nadzornega organa
Člen 5(1)(f) GDPR je kršen, če pride do kršitve varnosti osebnih podatkov, ne glede na to, ali je do kršitve prišlo zaradi odsotnosti ali pomanjkljivosti varnostnih ukrepov. Upravljavec bi moral kot upravljavec velike količine osebnih podatkov mnogo posameznikov predvideti tveganja in izvesti ukrepe, s katerimi bi lahko preprečil kibernetski napad.
Kot oteževalna dejavnika je AEPD izpostavil količino razkritih osebnih podatkov in število ljudi, ki jih je kršitev prizadela. V upravljavčevi oceni učinka v zvezi z varstvom podatkov iz leta 2018 so bile izpostavljene natančno tiste pomanjkljivosti v varnostnem sistemu, ki so nato vodile do kršitve varnosti podatkov. Dejstvo, da upravljavec v dveh letih pomanjkljivosti ni odpravil, jasno kaže na malomarnost pri nadzoru varnostnih ukrepov.
Nadzorni organ je upošteval tudi olajševalne okoliščine, in sicer dejstvo, da upravljavec od kršitve varnosti ni imel nobene koristi, predhodno ni bil kaznovan za podobno dejanje in je o kršitvi vestno obvestil AEPD.
Nadzorni organ je upravljavcu izrekel kazen v višini 4.000.000 EUR zaradi kršitve člena 5(1)(f) GDPR in 2.500.000 EUR zaradi kršitve 32. člena GDPR.
Celotna odločitev je dostopna tukaj
Vir: GDPRHub
Naslovna slika: RawPixel
