Штраф за позднее известие об утечке конфиденциальной информации

Нидерландское управление по защите данных на 475 тыс. евро (примерно $560 тыс.) оштрафовало сервис бронирования отелей Booking.com за несвоевременное оповещение регулятора об утечке конфиденциальной информации, передает The Record.

Согласно постановлению чиновников из Нидерландов (Booking.com зарегистрирован в этой стране), штраф был наложен в результате похищения конфиденциальной информации, произошедшего в конце 2018 г. Хакеры получили доступ к учетным данным сервиса Booking.com для сотрудников 40 отелей в Объединенных Арабских Эмиратах. Злоумышленники смогли украсть персональные данные 4109 человек, забронировавших номера.

В ходе атаки хакеры смогли просмотреть не только персональные данные, но также данные платежных карт 293 клиентов, в том числе 97 CVV-кодов. В последующем многие люди стали получать мошеннические звонки от неизвестных, которые пытались выведать дополнительные платежные данные.

Компания Booking.com узнала об инциденте 13 января 2019 г., но уведомила власти о нем только 7 февраля того же года, то есть спустя 22 дня после истечения положенного трехдневного срока, прописанного в регламенте GDPR.

«Это серьезное нарушение, - заявила Моник Вердье (Monique Verdier), вице-президент управления по защите информации Нидерландов. – К сожалению, утечка данных может произойти где угодно, даже если вы приняли все меры предосторожности. Но чтобы предотвратить причинение ущерба вашим клиентам и предупредить повторное нарушение такого рода, вы должны вовремя сообщить о случившемся».

Представители Booking.com подчеркнули, что уведомили пострадавших клиентов 4 февраля 2019 г., то есть еще раньше, чем голландского регулятора. При этом компания признает свою вину и не будет оспаривать штраф.