3 декабря 2018
Немецкий онлайн-сервис для знакомств и романтического общения Knuddels.de (название можно примерно перевести как «обнимашки») стал первой в стране «жертвой» Общего регламента по защите данных (GDPR). В июле нынешнего года сервис подвергся хакерской атаке. В ее результате была допущена утечка примерно 808 тысяч электронных адресов пользователей, а также свыше 1,8 миллиона их имен и паролей. Компания уведомила всех пользователей Knuddels.de об инциденте, осуществила смену паролей, приняла дополнительные меры по укреплению безопасности и известила о происшествии власти.
Позже выяснилось, что компания до инцидента вообще не предпринимала никакие меры защиты персональных данных пользователей. Пароли хранились вообще в виде простого текста.
Тем не менее, Управление по защите персональных данных и обеспечению свободы информации (LfDI) федеральной земли Баден-Вюртемберг наложило на компанию штраф за нарушение GDPR. Впрочем, сумма штрафа составила всего 20 тысяч евро. Ранее многие компании испытывали панический ужас перед вступлением GDPR в силу. Регламент предусматривает штрафы до 20 миллионов евро либо до 4 процентов от годового дохода компании за финансовый год. Глава LfDI Баден-Вюртемберга Штефан Бринк в этой связи подчеркнул, что целью GDPR является вовсе не взыскание максимальных штрафов, а укрепление мер по защите персональных данных пользователей. Он также отметил, что сервис Knuddels.de почти образцово проявил себя в ситуации с инцидентом, выполнив все требования в самые короткие сроки. И все же штраф был наложен за нарушение пункта «а» статьи 32 GDPR, которая предписывает хранить персональные данные пользователей исключительно в зашифрованном виде.
Источник https://www.tcinet.ru/press-centre/technology-news/6302/
Комментарии специалиста
Учитывая, что право ЕС, в том числе и нормы GDPR, является прецедентным, этот пример становится одним из первых «кейсов», которые будут формировать правоприменительную практику, и ориентиром как для контролирующих органов других стран ЕС, так и компаний, подпадающих под регулирование GDPR, при привлечении к ответственности в данной сфере. Он показывает, к чему нужно готовиться в случае подобных нарушений.
Однако нужно принимать во внимание тот факт, что инициатором проверки контролирующих органов и наказания за установленные нарушения, стала сама компания, понимая объем и серьезность произошедшей «утечки» данных. Это, а также принятые компанией меры по устранению последствий нарушения, в большей степени и повлияли на размер штрафа. Данный случай в связи с этим не раскрывает процедуру привлечения к ответственности и возможные санкции, если бы при подобных обстоятельствах первоначально поступили бы жалобы субъектов персональных данных.
