Den tyske meldings-plattformen knuddels.de er bøtelagt med 20 000 euro etter at de har lagret passord i klartekst og fått eksponert brukerdata etter et hackerangrep. Det skal være den første offisielle GDPR-boten som er utstedt i Tyskland. Det skriver Tellerreport.
Overtredelsesgebyrene settes etter flere krav som er nevnt i artikkel 83 i forordningen.
Mange hensyn å ta
– Det er mange hensyn som må tas når et gebyr som dette vedtas, sier juridisk seniorrådgiver Rozemarijn van der Hilst-Ytreland til digi.no. Hun har ansvar for koordinering av internasjonale saker i Datatilsynet.
808 000 epostadresser og nærmere to millioner brukernavn og passord skal ha kommet på avveie. Passordene skal i etterkant av hendelsen ha blitt publisert på internett.
Siden selskapet selv varslet om hendelsen, vil dette være formildende omstendigheter som påvirket boten på 195 000 kroner i positiv forstand.
– Angrepet var en real stresstest for oss. Det ble fort klart for oss at tilliten mellom oss og brukerne bare kunne gjenvinnes ved å vise åpenhet og raskt forbedre vår egen IT-sikkerhet, sier administrerende direktør Holger Kujath i det tyske selskapet til Tellerreport.
20 juli.
EUs nye personvernforordning trådte i kraft her til lands 20. juli. Folk flest har merket regelverket gjennom en hel rekke eposter fra bedrifter som endrer personvernsvilkårene.
Kort fortalt skal GDPR gi vanlige folk bedre kontroll over hvilke personopplysninger ulike selskaper samler inn om dem. I kjernen av regelverket ligger et krav om samtykke. Det er også svært skjerpede krav til håndtering av uønskede hendelser.
Konsekvensene for brudd på lovverket kan ende med bøter.
Selskaper kan bli ilagt et overtredelsesgebyr på opp til på opptil 20 millioner euro – eller fire prosent av den årlige globale omsetningen dersom dette utgjør mer.
Bøter i milliard-klassen
For store internasjonale selskaper betyr det at bøtene kan vokse til milliard-størrelse.
Det er tidligere gitt store GDPR-bøter etter at lovverket ble tatt i bruk i EU 20. mai i år. Et sykehus i Portugal er bøtelagt med 400 000 euro (3,9 millioner kroner) i oktober etter at noen av de ansatte opprettet falske profiler og snoket i pasientjournaler.
I Østerrike ble et advokatfirma bøtelagt med 4 800 euro (46 000 kroner) for å overvåke på offentlig sted uten å opplyse om dette.
– Hvis virksomhetene samarbeider med myndighetene kan dette få utslag på gebyrenes størrelse. Personvernrådet har gitt veiledning om de nærmere momenter som må vurderes.
– Gebyrene vil kunne variere blant annet på bakgrunn av størrelsen på virksomheten og dens omsetning, kommenterer seniorrådgiver Rozemarijn van der Hilst-Ytreland i Datatilsynet til digi.no.
Ikke avgjort
Hun forteller at saken i Portugal enda ikke er avgjort, og at sykehuset har anket GDPR-gebyret.
GDPR-kommisær Stefan Brink i den tyske delstaten Baden-Württemberg forteller at knuddels.de raskt var på ballen og informerte brukerne etter alle kunstens regler om datalekkasjen, men at passordhåndteringen i forkant av hendelsen ikke var akseptabel.
Brink forteller til Tellerreport at det tyske selskapet har jobbet godt med sikkerhetsrutinene i etterkant av hendelsen, og roser dem for åpenheten.
– Selskaper som handler åpent og viser at de jobber for å forbedre sikkerheten kan komme styrket ut av denne type hendelser, påpeker GDPR-kommisæren til Tellerreport.
