Πρόστιμα πάνω από 1 εκατ. ευρώ στην Uber για παραβίαση προσωπικών δεδομένων

Κακές πρακτικές αντιμετώπισης περιστατικού παραβίασης προσωπικών δεδομένων (data breach)

27/11/2018

28/11/2018

Πρόστιμο ύψους 385.000 λιρών (~433.000 ευρώ) επέβαλε στην Uber το Γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα του Ηνωμένου Βασιλείου (ICO) για την ανεπαρκή προστασία των προσωπικών δεδομένων πελατών της κατά τη διάρκεια κυβερνοεπίθεσης.

Σύμφωνα με την βρετανική αρχή, μια σειρά κενών ασφαλείας που μπορούσαν να έχουν αποφευχθεί, επέτρεψε την πρόσβαση και τη λήψη προσωπικών δεδομένων περίπου 2.7 εκατομμυρίων πελατών από ένα σύστημα που λειτουργούσε σε cloud και διαχειριζόταν η αμερικανική μητρική εταιρεία της Uber.

Τα αρχεία περιλαμβάναν πλήρη ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου.

Παράλληλα, και η αρχή προστασίας δεδομένων της Ολλανδίας επέβαλε πρόστιμο ύψους 600.000 ευρώ στην Uber για το ίδιο περιστατικό.

Η ολλανδική ρυθμιστική αρχή ήταν επικεφαλής μιας διεθνούς ομάδας αρχών προστασίας δεδομένων, η οποία ήταν υπεύθυνη για τη διερεύνηση των επιπτώσεων της κυβερνοεπίθεσης στην Uber στην εκάστοτε δικαιοδοσία.

Διαβάστε επίσης: Online διαφήμιση και προσωπικά δεδομένα: Μία σημαντική απόφαση για το μέλλον του Ad Tech από την CNIL

Τα αρχεία των περίπου 82.000 οδηγών που εδρεύουν στο Ηνωμένο Βασίλειο, τα οποία περιελάμβαναν λεπτομέρειες για τις διαδρομές που πραγματοποίησαν και το ύψος των πληρωμών τους, εκλάπησαν επίσης κατά το περιστατικό του Οκτωβρίου - Νοεμβρίου του 2016.

Μεταξύ άλλων, η βρετανική αρχή σημείωσε ότι οι πελάτες και οι οδηγοί που επηρεάστηκαν από την παραβίαση δεδομένων δεν ενημερώθηκαν για το περιστατικό για διάστημα μεγαλύτερου του ενός έτους.

Αντ' αυτού, ο Uber πλήρωσε τους εισβολείς που ήταν υπεύθυνοι για την επίθεση 100.000 δολάρια για να καταστρέψουν τα δεδομένα που είχαν κατεβάσει.

Το περιστατικό αποτελεί μια σοβαρή παραβίαση της νομοθεσία περί προστασίας δεδομένων, η οποία μπορούσε να εκθέσει τους πελάτες και τους οδηγούς σε αυξημένο κίνδυνο απάτης.

«Η πληρωμή των επιτιθέμενων και η αποσιώπηση του περιστατικού δεν ήταν, κατά την άποψή μας, η κατάλληλη απάντηση στην κυβερνοεπίθεση. Αν και δεν υπήρχε υποχρέωση να αναφερθούν παραβιάσεις δεδομένων βάσει της παλαιάς νομοθεσίας (προ GDPR), οι κακές πρακτικές προστασίας δεδομένων της Uber και οι επακόλουθες αποφάσεις ήταν πιθανό να έχουν επιδεινώσει τη θέση των εμπλκόμενων προσώπων», σημείωσε ο Διευθυντής Ερευνών του ICO, Steve Eckersley.

Διαβάστε επίσης: Επιβλήθηκε το πρώτο πρόστιμο για παραβίαση του GDPR στη Γερμανία

 

Πηγή: https://ico.org.uk

Σύνδεση στο Lawspot

Enter your e-mail address or username.
Enter the password that accompanies your e-mail.
Ξεχάσατε τον κωδικό σας;
logo

Δεν έχετε λογαριασμό;

Μπορείτε να εγγραφείτε στο Lawspot ανεξαρτήτως ιδιότητας, ως δικηγόρος, συμβολαιογράφος ή και απλός χρήστης, συμπληρώνοντας τη σχετική φόρμα εδώ.

Αν είστε δικηγόρος, με την εγγραφή σας στο Lawspot.gr κερδίζετε σημαντικά οφέλη. Δείτε αναλυτικές πληροφορίες εδώ.