Prepozna prijava kršitve varstva osebnih podatkov

Splošna uredba o varstvu podatkov določa, da mora upravljavec osebnih podatkov, v primeru kršitve varstva osebnih podatkov brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej uradno obvesti pristojni nadzorni organ, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov. Kadar uradno obvestilo nadzornemu organu ni podano v 72 urah, se mu priloži navedbo razlogov za zamudo. Informacijski pooblaščenec zaradi odsotnosti ZVOP-2 v primeru ugotovljenih kršitev določb Splošne uredbe zavezancem ni mogel izrekati sankcij za kršitve, zato smo glede tega opazovali dogajanje v tujini.

Leta 2019 je bilo upravljavcu spletnega portala Booking.com naznanjena kršitev varstva osebnih podatkov in slednjega ni naznanil pristojnemu nadzornemu organu v predpisanem času. Upravljavec je namreč s svojo prijavo zamudil približno 22 dni. Nato je upravljavec obvestil uporabnike, ki jih je kršitev varstva podatkov prizadela in sprejel ustrezne ukrepe za odpravo napak v varstvu podatkov.

Napadalci spletnega portala Booking.com so pridobili osebne podatke več kot 4000 posameznikov in podatke iz kreditnih kartic skoraj 300 posameznikov. Uporabljali so tehnike vpogleda v podatke s prepričevanjem osebja na terenu in pretvarjanjem, da so zaposleni pri Booking.com in potrebujejo podatke iz kreditne kartice strank.

Nadzorni organ je izpostavil nujnost pravočasnega poročanja, saj se tako sproži postopek informiranja žrtev. Slednje lahko prepreči napadalce, da bi imeli več tednov časa izvršiti goljufijo. Družbe, ki hranijo tako velike zbirke osebnih podatkov imajo sorazmerno večjo odgovornost do zadevnih posameznikov. Upravljavec mora ne le zagotoviti ustrezno varstvo, ampak tudi hitro ukrepati v primeru kršitve varstva podatkov.

Ker ima upravljavec spletnega portala Booking.com uporabnike po celem svetu, gre za zadevo mednarodnega pomena in je bil poleg nacionalnega nadzornega organa vključen tudi Evropski nadzornik za varstvo osebnih podatkov.

Kršitelju je bila izdana globa v višini 475,000 EUR.