Pozdě hlášený bezpečnostní incident? Ve Španělsku pokuta 3,2 milionu eur.
autoři: Mgr. Michal Nulíček, LL.M., FCIArb, Mgr. Filip Beneš a Mgr. Vojtěch Bartoš
Pozdě hlášený bezpečnostní incident
Společnost provozující nákupní řetězce oznámila španělskému dozorovému úřadu (AEPD) pět porušení zabezpečení (bezpečnostních incidentů), která se týkala 119 tisíc subjektů údajů. Všechna byla spojena s neoprávněným přístupem k zákaznickým účtům ve věrnostním programu a aplikaci.
Několikaměsíční zpoždění a vysoké riziko
Společnost porušení zabezpečení dozorovému úřadu ale nahlásila až s několikaměsíčním zpožděním. Subjekty údajů o tom neinformovala vůbec, přestože porušení zabezpečení pro ně představovalo vysoké riziko. Šetření AEPD také odhalilo, že společnost nezavedla vhodná bezpečnostní opatření (např. ve věrnostní aplikaci nebyla vícefaktorová autentizace pro přihlášení). AEPD společnosti za toto pochybení uložil pokutu v celkové výši 3,2 milionu eur. (Více informací zde)
