АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

11 декабря 2019

Германия: выписан один из крупнейших штрафов по GDPR

Федеральный уполномоченный Германии по защите данных и свободе информации (BfDI) на 9,55 млн евро (около $10,6 млн) оштрафовал провайдера телекоммуникационных услуг 1&1 Telecommunications. По мнению регулятора, компания не обеспечила защиту клиентских данных при работе колл-центра, сообщает BankInfoSecurity.

Это шестой по величине штраф, назначенный за нарушения в области защиты данных, подпадающие под действия общеевропейского регламента GDPR.

1&1 Telecommunications — один из ведущих в Германии поставщиков услуг передачи данных по технологии DSL и мобильной связи. В BfDL заявляют, что штраф на компанию наложен на основании того, что при звонках в ее колл-центр для получения информации о клиенте достаточно было назвать его имя и дату рождения. По мнению регулятора, это явно недостаточный уровень аутентификации, таким образом можно было получить достаточно подробные сведения о постороннем человеке. Нарушение не просто позволило скомпрометировать определенный набор данных, но поставило под угрозу всю клиентскую базу. В этом BfDL усматривает нарушение статьи 32 GDPR, согласно которой компания-оператор данных обязана принимать все необходимые организационные и технические меры по защите информации.

Представители регулятора отмечают, что штраф в размере 9,55 млн относительно низкий. Он назначен с учетом того, что 1&1 сотрудничал с уполномоченным органом и достаточно оперативно решил проблему, введя трехуровневую аутентификацию. Кроме того, в ближайшее время оператор предложит каждому клиенту персональный PIN-код.

В компании 1&1 сообщили, что намерены обжаловать решение BfDL. Специалист компании по защите данных Джулия Цирфас (Julia Zirfas) говорит, что штраф абсолютно несоразмерен величине нарушения. По ее словам, он нарушает принципы немецкого кодекса о равноправии и соразмерности ответственности характеру допущенного нарушения.

Джонатан Армстронг (Jonathan Armstrong), юрист лондонской компании Cordery, специализирующейся на обеспечении соответствия установленным требованиям (compliance), ожидает, что компании будут массово обжаловать штрафы в области GDPR, назначаемые регуляторами по нарушениям, подобным тому, что допустил провайдер 1&1. «Методика расчета штрафов в подобных случаях неясна», — подчеркивает Армстронг.

Подпишитесь на рассылку INFOWATCH