DPO On Demand

Nemčija: Prva globa po GDPR

21. novembra 2018 je v prvi globi, ki jo je izdal nemški nadzorni organ za varstvo podatkov za nemško deželo Baden-Württemberg po Splošni uredbi za varstvo podatkov (GDPR), naložil globo v višini 20.000 eurov ponudniku socialnih medijev za kršitev svojih obveznosti glede varnosti podatkov iz čl. 32 GDPR. Zelo dobro sodelovanje z LfDI je bilo ključnega pomena za izogib še višjemu znesku globe.
Ozadje LfDI je v izjavi za medije (izjava je v nemščini) navedel, da je družba kontaktirala LfDI z obvestilom o kršitvi podatkov po napadu hekerjev poleti 2018. Napad je povzročil nepooblaščen dostop in razkritje osebnih podatkov približno 330.000 uporabnikov, vključno z gesli in e-poštnimi naslovi. Po seznanitvi z incidentom je družba takoj obvestila svoje uporabnike o napadu na obsežen in popolnoma pregleden način (v skladu s členom 34 GDPR). V postopku z LfDI je družba po obvestilu o kršitvi podatkov nadzornemu organu (v skladu s členom 33 GDPR) razkrila svojo obdelavo podatkov in strukturo družbe ter svoje lastne varnostne napake na, kot so zapisali v svoji izjavi za javnost, "vzoren način." V tej preiskavi se je LfDI zavedala, da je družba shranila gesla v navadnem besedilu in v nešifriranem formatu, kar je pripomoglo k olajšanju napada. Družba je v teku postopka izvajala celovite ukrepe za izboljšanje IT varnostnega sistema in uporabila najsodobnejše pripomočke na področju varnosti svojih uporabniških podatkov. Poleg tega se je družba zavezala, da bo v sodelovanju z LfDI izvajala dodatne ukrepe za nadaljnje izboljšanje stopnje varnosti podatkov. Odločba LfDI LfDI je ugotovila, da je družba s shranjevanjem gesel v navadnem besedilu zavestno kršila svojo obveznost, da ustrezno šifrira osebne podatke v skladu

Vsebina članka je dostopna članom DPO Kluba.