Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/20

Kraj:

Holandia

Data wydania decyzji:

10.12.2020 r.

Podmiot kontrolowany:

Booking.com B.V.

Wysokość kary (EUR):

475.000

Podstawa prawna naruszenia

Art. 33 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Booking.com B.V. (Booking) dokonało naruszenia polegającego na niezgłoszeniu incydentu związanego z naruszeniem ochrony danych osobowych w ciągu 72 godzin od momentu, gdy dowiedziało się o incydencie.

 

Opis wydarzeń

  1. Incydent:
    • 9 stycznia 2019 roku jedna z placówek w Zjednoczonych Emiratach Arabskich zgłosiła, że nieznana osoba podszywająca się pod pracownika Booking próbowała uzyskać dane karty kredytowej gościa.
    • 13 stycznia 2019 roku ta sama placówka zgłosiła kolejny podobny incydent.
    • 20 stycznia 2019 roku zgłoszono trzeci incydent, a także podobne zgłoszenia z innych placówek.
  2. Reakcja Booking:
    • Booking nie przekazało tych zgłoszeń do swojego zespołu ds. bezpieczeństwa do 31 stycznia 2019 roku.
    • Zespół ds. bezpieczeństwa zakończył swoje pierwsze dochodzenie 4 lutego 2019 roku, a 6 lutego 2019 roku zespół ds. prywatności uznał, że doszło do naruszenia ochrony danych, które należy zgłosić do organu nadzorczego.
    • Booking zgłosiło naruszenie do holenderskiego organu nadzorczego (Autoriteit Persoonsgegevens) 7 lutego 2019 roku, co oznacza, że zgłoszenie było opóźnione o 22 dni.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zgłaszanie naruszeń: Wszelkie podejrzenia naruszeń danych osobowych należy zgłaszać do odpowiednich zespołów wewnętrznych oraz do właściwych organów nadzorczych w ciągu 72 godzin od stwierdzenia naruszenia.
  2. Procedury wewnętrzne: Ulepszenie procedur wewnętrznych, aby zapewnić, że wszelkie incydenty są natychmiast eskalowane do zespołu ds. bezpieczeństwa.
  3. Szkolenia: Regularne szkolenia dla pracowników na temat procedur zgłaszania naruszeń i znaczenia szybkiego działania w przypadku podejrzenia naruszenia ochrony danych.
  4. Współpraca z organami nadzorczymi: Utrzymywanie otwartej i przejrzystej komunikacji z organami nadzorczymi oraz szybkie reagowanie na ich zalecenia i pytania.

 

JAB BRONIĆ SIĘ PRZED ATAKAMI SOCJOTECHNICZNYMI?

  1. Zawsze pytaj osobę, która się z Tobą kontaktuje, dlaczego musisz podać określone dane.
  2. Zweryfikuj tożsamość osoby, która się z Tobą kontaktuje. Jeśli wzbudzi Twoją wątpliwość, rozłącz się i zadzwoń na ogólny telefon podany na autentyczniej stronie firmy Konsultanta.
  3. Weryfikuj adres strony w przeglądarce oraz sprawdź, czy połączenie jest szyfrowane i strona posiada certyfikat bezpieczeństwa (adres rozpoczyna się od https:/ oraz pojawia się symbol zamkniętej kłódki).
  4. W przypadku linków znajdujących się na stronach internetowych lub w przysłanych wiadomościach e-mail sprawdź jaki adres kryje się pod linkiem, ale także dokąd prowadzi (po najechaniu na dany link u dołu przeglądarki powinien wyświetlić się faktyczny adres, pod który kieruje odnośnik).
  5. Aktualizuj oprogramowanie – zarówno system operacyjny, programy i aplikacje, z których korzystasz oraz oprogramowanie antywirusowe.
  6. Nie stosuj jednego hasła do logowania w różnych miejscach. Tam, gdzie jest to możliwe wykorzystuj weryfikację wieloskładnikową.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO