GDPR Flash News: Fine of 225,000 euros in an online store

Date: February 25, 2021

By Simeon Kretsis

The article refers to the fine of 225,000 euros imposed by the French Data Protection Authority (CNIL) on an online store and the IT company providing the technical support, for leaking personal data of 40,000 customers. Following an investigation, the competent Authority concluded that no appropriate security measures had been taken to ensure a high level of protection of personal data. 

Below you may find the full article in Greek

 

CNILΠρόστιμο 225.000 ευρώ σε ηλεκτρονικό κατάστημα  και στην εταιρείας τεχνικής υποστήριξης του 

Του Συμεών Κρέτση

Η Γαλλική Αρχή Προστασίας Προσωπικών Δεδομένων (CNILεπέβαλε πρόστιμο 225.000 ευρώ σε εταιρεία, ιδιοκτήτρια ηλεκτρονικού καταστήματος, καθώς και στην εταιρεία πληροφορικής που παρείχε την τεχνική υποστήριξη, λόγω μη εφαρμογής επαρκών μέτρων ασφαλείας των προσωπικών δεδομένων των πελατών. 

Η Αρχή επιλήφθηκε της υπόθεσης, κατόπιν σειράς καταγγελιών που έλαβεαπό πελάτες του ηλεκτρονικού καταστήματος για παραβιάσεις των δεδομένων τους.  

Κατόπιν ελέγχου της Αρχήςδιαπιστώθηκε ότι η ηλεκτρονική σελίδα του εν λόγω καταστήματος είχε δεχθεί πολλαπλές κυβερνοεπιθέσεις credential stuffing. Σε αυτού του τύπου τις κακόβουλες επιθέσεις χρησιμοποιούνται credentials (διαπιστευτήρια πρόσβασης)δηλαδή συνδυασμοί ονόματος χρήστη και κωδικού πρόσβασης που έχουν διαρρεύσει σε ιστοσελίδες από προηγούμενες παραβιάσεις δεδομένων, με την πεποίθηση ότι ενδεχομένως οι χρήστες θα εξακολουθήσουν να χρησιμοποιούν τα ίδια credentials -παρ’ ότι αυτά έχουν αποκαλυφθεί- σε περισσότερους διαφορετικούς ιστοτόπους. Με σκοπό τη μεγιστοποίηση της αποτελεσματικότητας τους, οι χάκερς χρησιμοποιούν «έξυπνα» ψηφιακά εργαλεία (bots), τα οποία λειτουργούν πλήρως αυτοματοποιημένα, πραγματοποιώντας μεγάλης κλίμακας σχετικές επιθέσεις. 

Σύμφωνα με την αρμόδια εποπτική αρχή, τόσο η ιδιοκτήτρια εταιρεία του ηλεκτρονικού καταστήματος, όσο και η συνεργαζόμενη εταιρεία τεχνικής υποστήριξης, αν και εντόπισαν τα ζητήματα ασφαλείας, καθυστέρησαν στη λήψη αποτελεσματικών μέτρων για την πλήρη εξουδετέρωση των κινδύνων, με συνέπεια τη διαρροή προσωπικών δεδομένων 40.000 πελατών.  

Η Γαλλική Αρχή λαμβάνοντας υπόψη το σύνολο των στοιχείων της υπόθεσης, επέβαλε πρόστιμο 150.000 ευρώ στην ιδιοκτήτρια εταιρεία του ηλεκτρονικού καταστήματος και 75.000 ευρώ στην εταιρεία πληροφορικής η οποία παρείχε τεχνική υποστήριξη σε αυτό, με το σκεπτικό ότι η ευθύνη διασφάλισης υψηλού επιπέδου προστασίας και ασφαλούς επεξεργασίας των προσωπικών δεδομένων αποτελεί υποχρέωση τόσο του Υπευθύνου επεξεργασίας (ιδιοκτήτη ιστοτόπου), όσο και του Εκτελούντος την επεξεργασία (εταιρεία τεχνικής υποστήριξης). 

Ο καταλογισμός ευθυνών και προστίμων τόσο στον Υπεύθυνο επεξεργασίας, όσο και στον Εκτελούντα αποτελεί προσέγγιση η οποία εδράζεται ακλόνητα στο Γενικό Κανονισμό Προστασίας Δεδομένων. Η κατανομή δε του προστίμου -το οποίο για τον Υπεύθυνο Επεξεργασίας είναι διπλάσιο από το αντίστοιχο του εκτελούντος-, επισημαίνει εμφατικά τις σημαντικές υποχρεώσεις του Υπευθύνου Επεξεργασίας, ο οποίος, και στο πλαίσιο της αρχής της λογοδοσίας, ευθύνεται όχι μόνο για την επιλογή των κατάλληλων συνεργατών, αλλά και για τη διαρκή εποπτεία τους.