Παραβίαση δεδομένων 330.000 χρηστών σε μέσο κοινωνικής δικτύωσης – Ποια κριτήρια έλαβε υπόψη η Αρχή για τον υπολογισμό του προστίμου
Η Αρχή για την Προστασία των Δεδομένων και την Ελευθερία της Πληροφόρησης του Baden-Wuerttemberg (LfDI) έγινε η πρώτη γερμανική αρχή προστασίας δεδομένων που επέβαλε πρόστιμο στο πλαίσιο του Γενικού Κανισμο για την Προστασία Δεδομένων (GDPR).
Το πρόστιμο ύψους € 20.000 επιβλήθηκε σε εταιρεία που λειτουργούσε μέσο κοινωνικής δικτύωσης (Knuddels.de) για παραβίαση της υποχρέωσής της να διασφαλίζει την ασφάλεια της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρθρο 32 (1) (α) του GDPR (ψευδωνυμοποίηση και κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα).
Η εταιρεία είχε προχωρήσει σε γνωστοποίησης παραβίασης δεδομένων προς την LfDI μετά από επίθεση χάκερ, στην οποία κλάπησαν και δημοσιεύθηκαν κωδικοί πρόσβασης και διευθύνσεις ηλεκτρονικού ταχυδρομείου περίπου 330.000 χρηστών.
Αποδείχθηκε ότι η εταιρεία δεν κρυπτογραφούσε (hash) τους κωδικούς πρόσβασης των πελατών της, αλλά τους αποθήκευε ως απλό κείμενο, παραβιάζοντας έτσι το άρθρο 32 του GDPR.
Κατ ‘αρχήν, για τέτοιες παραβιάσεις είναι δυνατόν να επιβληθούν πρόστιμα ύψους έως 10 εκατομμυρίων ευρώ ή, σε περίπτωση επιχείρησης, μέχρι 2% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, αναλόγως του ποιο είναι υψηλότερο (άρθρο 83 ( 4) (α) GDPR).
Σύμφωνα με την LfDI, η πολύ στενή συνεργασία και η προθυμία της εταιρείας να εφαρμόσει τις κατευθυντήριες γραμμές και τις συστάσεις του λειτούργησαν ευνοϊκά κατά τον υπολογισμό του σχετικά χαμηλού προστίμου.
Ο Επίτροπος έλαβε επίσης υπόψη το γεγονός ότι η εταιρεία δεν επωφελήθηκε ή δεν επρόκειτο να επωφεληθεί από την παραβίαση των δεδομένων ως ελαφρυντικό παράγοντα, καθώς και το γεγονός ότι ήταν η πρώτη φορά που η εταιρεία απασχολούσε την αρχή για ζήτημα προστασίας δεδομένων.
“Εκείνοι που μαθαίνουν από τον κίνδυνο και δρουν με διαφάνεια για να βελτιώσουν την προστασία των δεδομένων μπορούν να βγουν ισχυρότεροι ως εταιρεία από μια επίθεση χάκερ”, δήλωσε ο Επίτροπος Stefan Brink.
“Η Αρχή δεν ενδιαφέρεται να διεξάγει διαγωνισμό για τα υψηλότερα δυνατά πρόστιμα. Στο τέλος, πρόκειται για μία προσπάθεια βελτίωσης της ιδιωτικής ζωής και της ασφάλειας των δεδομένων για τους χρήστες”, συμπλήρωσε.
Αξίζει να σημειωθεί ότι το πρόστιμο από τη γερμανική αρχή είναι το τρίτο πρόστιμο για τον GDPR σε ολόκληρη την ΕΕ.
Μέχρι στιγμής έχουν επιβληθεί πρόστιμα στο πλαίσιο του GDPR στην Αυστρία (4.800 ευρώ για παράνομο σύστημα βιντεοεπιτήρησης) και στην Πορτογαλία (400.000 ευρώ για ζητήματα που αφορούν στην πρόσβαση σε δεδομένα).
Η απόφαση είναι διαθέσιμη στα γερμανικά στην ιστοσελίδα της Αρχής.