Prekasna prijava povrede zaštite osobnih podataka

Opća uredba o zaštiti podataka propisuje da, u slučaju povrede osobnih podataka, voditelj obrade mora obavijestiti nadležno nadzorno tijelo bez nepotrebnog odgađanja, a po mogućnosti najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako je malo vjerojatno da su prava i slobode pojedinaca ugroženi kršenjem zaštite osobnih podataka. Ako se takvo obavješćivanje ne može postići u roku od 72 sata, obavijest bi trebala biti popraćena razlozima kašnjenja, a informacije se mogu pružiti u fazama bez nepotrebnog daljnjeg odgađanja. U vezi s ovom obvezom voditelja obrade, primijetili smo zanimljiv primjer iz inozemstva, koji ćemo opisati u nastavku.

U 2019. godini voditelju obrade web portala Booking.com najavljen je prekršaj zaštite osobnih podataka kojeg on u propisanom roku nije prijavio nadležnom nadzornom tijelu. Naime, voditelj obrade je sa svojom prijavom propustio oko 22 dana. Voditelj obrade je nakon toga obavijestio korisnike pogođene povredom zaštite podataka i poduzeo odgovarajuće mjere kako bi ispravio pogreške u zaštiti podataka.

Napadači web portala Booking.com pridobili su osobne podatke više od 4.000 pojedinaca i podatke o kreditnim karticama gotovo 300 pojedinaca. Koristili su tehnike uvida u podatke uvjeravajući pojedince na terenu i pretvarajući se da su zaposlenici Booking.com-a i da im trebaju podaci o kreditnoj kartici korisnika.

Nadležno nadzorno tijelo je naglasilo potrebu za pravodobnim izvještavanjem jer bi se time pokrenuo proces informiranja žrtava. Ovo posljednje može spriječiti napadače da imaju nekoliko tjedana za prijevaru. Tvrtke koje posjeduju tako velike baze podataka imaju relativno veću odgovornost prema pojedincima o kojima je riječ. Voditelj obrade mora ne samo osigurati odgovarajuću zaštitu, već i brzo poduzeti mjere u slučaju kršenja zaštite podataka.

Budući da voditelj web stranice Booking.com-a ima korisnike u cijelom svijetu, ovo je pitanje od međunarodnog značaja, a osim nacionalnog nadzornog tijela, uključen je bio i Europski nadzornik za zaštitu podataka.

Prekršitelj je kažnjen sa 475.000 eura.