Σύμφωνα με την ολλανδική Αρχή, η προθεσμία των 72 ωρών εκκινεί από τη στιγμή που λαμβάνεται η ενημέρωση για περιστατικό με χαρακτηριστικά παραβίασης και δεν αναστέλλεται μέχρι την ολοκλήρωση του εσωτερικού ελέγχου
Διοικητικό πρόστιμο 475.000 ευρώ επέβαλε στη Booking.com η Ολλανδική Αρχή Προστασίας Προσωπικών Δεδομένων Autoriteit Persoonsgegevens (AP) για καθυστερημένη γνωστοποίηση παραβίασης δεδομένων, κατά παράβαση του άρθρου 33 Γενικού Κανονισμού Προστασίας Δεδομένων.
Σύμφωνα με το άρθρο 33 ΓΚΠΔ:
Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση.
Στην περίπτωση της Booking, η εταιρεία γνωστοποίησε το περιστατικό στην Αρχή, ωστόσο αυτό έγινε μετά την πάροδο 22 ημερών από τη στιγμή που αυτή θεωρήθηκε πως έλαβε γνώση της παραβίασης.
Ειδικότερα, στις 9 Ιανουαρίου 2019, η Booking ενημερώθηκε από ξενοδοχείο στα Ηνωμένα Αραβικά Εμιράτα για περιστατικό που δημιουργούσε υποψίες παραβίασης. Σύμφωνα με το ηλεκτρονικό μήνυμα που της εστάλη, πελάτης του ξενοδοχείου είχε λάβει email με το οποίο του ζητούντο πρόσθετες πληροφορίες για τον τραπεζικό του λογαριασμό, επειδή η κάρτα που είχε χρησιμοποιήσει δεν ολοκλήρωνε τη συναλλαγή. Τέσσερις ημέρες μετά, στις 13 Ιανουαρίου, το ίδιο ξενοδοχείο επικοινώνησε εκ νέου με την εταιρεία, μεταφέροντάς της καταγγελία άλλου πελάτη του, ο οποίος είχε δεχθεί τηλεφωνική κλήση από άγνωστο πρόσωπο και πάλι για τους ίδιους λόγους. Στις 20 Ιανουαρίου, άλλο κατάλυμα των ΗΑΕ ενημέρωσε τη Booking ότι πολλοί πελάτες του είχαν καταγγείλει πως δέχονταν μηνύματα από αγνώστους, οι οποίοι εμφανίζονταν ως εκπρόσωποί του.
Η εταιρεία προχώρησε σε έρευνα, η οποία αποκάλυψε ότι άγνωστοι είχαν αποκτήσει πρόσβαση στο extranet πληροφοριακό σύστημα, μέσω του οποίου τα καταλύματα διαχειρίζονται τις κρατήσεις τους. Η παραβίαση αυτή επετεύχθη με την παραδοσιακή μέθοδο του social engineering fraud, ήτοι της εξαπάτησης υπαλλήλων, ώστε αυτοί να αποκαλύψουν οικειοθελώς πληροφορίες ασφάλειας και δεδομένα. Στην περίπτωση αυτή, άγνωστοι καλούσαν σε ξενοδοχεία και εμφανίζονταν ως εκπρόσωποι της Booking, η οποία χρειαζόταν κωδικούς εισόδου στο extranet.
Θύματα της μεθόδου αυτής έπεσαν 40 ξενοδοχεία της χώρας, με αποτέλεσμα την πρόσβαση σε προσωπικά δεδομένα 4.109 πελατών. Στην πλειοψηφία των περιπτώσεων αυτών, οι δράστες απέκτησαν πρόσβαση μόνο σε πληροφορίες σχετικές με την κράτηση, όπως ονοματεπώνυμο, στοιχεία επικοινωνίας και ημερομηνίες άφιξης και αναχώρησης, πληροφορίες όμως που ήταν αρκετές προκειμένου να πείσουν τους ανυποψίαστους πελάτες πως αυτός που επικοινωνούσε μαζί τους εκπροσωπούσε το ξενοδοχείο. Δεν έλειψαν, ωστόσο, και οι περιπτώσεις όπου οι άγνωστοι απέκτησαν πρόσβαση σε πληροφορίες τραπεζικών καρτών: 283 πελάτες είχαν καταχωρήσει και τις κάρτες τους, ενώ 97 εξ αυτών είχαν δηλώσει και τον αριθμό CVV της κάρτας.
Η έρευνα του Τμήματος Ασφάλειας της εταιρείας ολοκληρώθηκε στις 4 Φεβρουαρίου 2019, όταν και ενημερώθηκε το αρμόδιο Τμήμα Προστασίας Προσωπικών Δεδομένων για την παραβίαση που διαπιστώθηκε. Την ίδια ημέρα η εταιρεία επικοινώνησε με τα υποκείμενα, ενώ τρεις ημέρες μετά η παραβίαση γνωστοποιήθηκε στην Ολλανδική Αρχή.
Με βάση το ως άνω ιστορικό, η AP διαπίστωσε ότι υπήρξε σημαντική καθυστέρηση μέχρι να αποφασιστεί η διενέργεια έρευνας για το ενδεχόμενο παραβίασης, με αποτέλεσμα να υπάρξει καθυστέρηση και της γνωστοποίησης του περιστατικού σε αυτή.
Παρά το γεγονός ότι τα καταλύματα, ήδη από τις 9 Ιανουαρίου είχαν ενημερώσει τη Booking, για επιθέσεις phishing σε πελάτες τους, η εταιρεία δεν προχώρησε σε καμία ενέργεια μέχρι την 31η του μηνός. Η εταιρεία ισχυρίστηκε ότι η παραβίαση βεβαιώθηκε στις 4 Φεβρουαρίου, όταν και ολοκληρώθηκε ο έλεγχος των πληροφοριακών συστημάτων, ενώ οι ενημερώσεις που είχε λάβει δεν στοιχειοθετούσαν «απόκτηση γνώσης» του γεγονότος, κατά το άρθρο 33 ΓΚΠΔ, αφού δεν φαίνονταν κατά το στάδιο εκείνο να συνδέονται μεταξύ τους ή να υποδεικνύουν παραβίαση του συστήματος.
Οι ισχυρισμοί αυτοί δεν έγιναν αποδεκτοί από την Αρχή: από τη στιγμή που η Booking έλαβε στις 13 Ιανουαρίου δεύτερη ενημέρωση από το ίδιο κατάλυμα για έτερο phishingattack, το οποίο μάλιστα ο εκπρόσωπος του καταλύματος χαρακτήριζε ως διαρροή δεδομένων, δεν μπορεί παρά να γίνει δεκτό ότι η εταιρεία είχε λάβει γνώση και όφειλε να έχει ενεργήσει άμεσα.
Η εταιρεία ισχυρίστηκε, περαιτέρω, ότι σε περιπτώσεις σαν και την εξεταζόμενη δεν είναι δυνατή η γνωστοποίηση στην Αρχή εντός 72 ωρών από την πρώτη στιγμή που λαμβάνεται γνώση συγκεκριμένου περιστατικού, αφού απαιτείται σύνθετη και χρονοβόρα διαδικασία, μέχρι να ελεγχθούν τα πληροφοριακά συστήματα και να διαπιστωθεί εάν υπάρχει πράγματι παραβίαση και πώς έχει αυτή προκληθεί. Η Αρχή και πάλι διαφώνησε: η παράγραφος 4 του άρθρου 33 ΓΚΠΔ ακριβώς για το λόγο αυτό προβλέπει τη δυνατότητα σταδιακής παροχής πληροφοριών, όταν αυτό δικαιολογείται από τα χαρακτηριστικά της παραβίασης.
Η Booking αντέκρουσε την άποψη αυτή διαμαρτυρόμενη για ερμηνεία του άρθρου 33, που βρίσκεται εκτός του γράμματος της διάταξης και της Γνώμης της Ομάδας Εργασίας του άρθρου 29, η οποία ερμηνεία μάλιστα εφαρμόζεται στην περίπτωσή της αναδρομικά.
Περαιτέρω, η εταιρεία προέβαλε το τεράστιο διοικητικό και οικονομικό κόστος που συνεπάγεται η υποχρέωση να γνωστοποιεί στην Αρχή κάθε αναφορά ή καταγγελία που λαμβάνει, πριν προλάβει να ερευνήσει κατά πόσον αυτή πράγματι αποτελεί παραβίαση δεδομένων. Μια τέτοια θεώρηση, σύμφωνα με τη Booking, έρχεται σε αντίθεση με το άρθρο 32 ΓΚΠΔ, που δεν επιτρέπει δυσανάλογα κόστη εφαρμογής για την προστασία της ασφάλειας των δεδομένων. Τούτο διότι, εάν γίνει δεκτή η άποψη της Αρχής, τότε η εταιρεία θα πρέπει να προσλάβει ακόμη περισσότερους υπαλλήλους, με σκοπό να εξετάζει αυτοστιγμεί κάθε αναφορά που λαμβάνει. Και αυτοί οι ισχυρισμοί απορρίφθηκαν από την Αρχή, η οποία μάλιστα παρατήρησε πως η επίκληση του άρθρου 32 αποτελεί ουσιαστικά δικαιολογία, καθώς οι ίδιες οι Πολιτικές Ασφάλειας της εταιρείας προβλέπουν την άμεση διαβίβαση κάθε περιστατικού ασφάλειας στην αρμόδια προς αυτό ομάδα, γεγονός που στη συγκεκριμένη περίπτωση έγινε με μεγάλη καθυστέρηση.
Με βάση τα ανωτέρω, η Ολλανδική Αρχή επέβαλε στη Booking το διοικητικό πρόστιμο των 475.000 ευρώ. Για τον προσδιορισμό του προστίμου ελήφθη υπόψιν η, πέραν της παραβίασης του άρθρου 33, θετική αντίδραση της εταιρείας στην αντιμετώπιση του περιστατικού: τα υποκείμενα των δεδομένων ενημερώθηκαν αμέσως μετά την ολοκλήρωση της έρευνας, ενώ η εταιρεία προσφέρθηκε να καλύψει οποιαδήποτε ζημία τους προκύψει από την παραβίαση αυτή.