GDPR Flash News: Fine on an online travel agency for reporting data breach late

Date: April 5, 2021

By Simeon Kretsis

Recently, the Dutch data protection authority fined an online travel agency for violating the data protection regulatory framework, as the agency notified the supervisory authority of a data breach incident, with a significant delay. The article refers to the relevant obligations imposed by the regulatory framework, as well as the reasons for which the fine was imposed. 

Below you may find the full article in Greek

 

GDPR: Πρόστιμο 475.000  σε διαδικτυακό ταξιδιωτικό πρακτορείο 

Του Συμεών Κρέτση

Η ολλανδική αρχή προστασίας προσωπικών δεδομένων πρόσφατα επέβαλε πρόστιμο ύψους 475.000 , στην εταιρεία διαχείρισης του διαδικτυακού ταξιδιωτικού πρακτορείου, λόγω καθυστερημένης αναφοράς περιστατικού παραβίασης προσωπικών δεδομένων, κατά παράβαση της σχετικής υποχρέωσης που απορρέει από τον GDPR και επιβάλει τη γνωστοποίηση του στην  εποπτική αρχή εντός προθεσμίας 72 ωρών. 

Σύμφωνα με το ιστορικό της υπόθεσης, από το περιστατικό παραβίασης, εκτέθηκαν περισσότεροι από 4.000 χρήστες των υπηρεσιών του πρακτορείου, καθώς διέρρευσαν προσωπικά δεδομένα τους όπως ονοματεπώνυμο, διεύθυνση, τηλέφωνο επικοινωνίας, στοιχεία κρατήσεων, ενώ για περίπου 300 από αυτούς διέρρευσαν και στοιχεία των πιστωτικών καρτών τους.  

Το διαδικτυακό ταξιδιωτικό πρακτορείο, ενημερώθηκε για το περιστατικό παραβίασης στις 13 Ιανουαρίου 2019, εντούτοις προέβη σε γνωστοποίηση στην αρμόδια εποπτική αρχή στις 7 Φεβρουαρίου 2019, σημειώνοντας χαρακτηριστική καθυστέρηση και ξεπερνώντας σημαντικά τη σχετική προθεσμία των 72 ωρών που υποχρεωτικά θέτει ο Γενικός Κανονισμός.  

Σημειώνεται ότι η εταιρεία, έλαβε ορισμένα μέτρα για τον περιορισμό της ζημίας των πελατών που εκτέθηκαν, καθώς προέβη σε ενημέρωση τους για το περιστατικό παραβίασης στις 4 Φεβρουαρίου 2019, πριν καν δηλαδή ενημερώσει την εποπτική αρχή, ενώ προσφέρθηκε για την αποκατάσταση τυχόν ζημιών που υπέστησαν ως συνέπεια του περιστατικού παραβίασης. 

Η αντιπρόεδρος της ολλανδικής αρχής προστασίας προσωπικών δεδομένων σε δήλωσή της για την υπόθεση σχολίασε ότι: «Πρόκειται για σοβαρή παράβασηΔυστυχώς, ένα περιστατικό παραβίασης δεδομένων μπορεί να συμβεί οπουδήποτε, ακόμα κι αν έχουν ληφθεί κατάλληλα προληπτικά μέτρα». «Η ταχύτητα αναφοράς είναι πολύ σημαντική» συμπλήρωσε. Υπογράμμισε δε εμφατικά για το εν λόγω περιστατικό «Μια τόσο μεγάλη εταιρεία, με πολύτιμα προσωπικά δεδομένα εκατομμυρίων πελατών στα συστήματά της, έχει μεγάλη ευθύνη. Οι πελάτες εμπιστεύονται τα προσωπικά τους δεδομένα στη συγκεκριμένη εταιρεία. Και αυτή πρέπει να κάνει ό,τι μπορεί για να τα προστατεύσει κατάλληλα». Η αντιπρόεδρος της αρχής κατέληξε υπογραμμίζοντας ότι η επάρκεια και καταλληλότητα των μέτρων προστασίας των προσωπικών δεδομένων δε σημαίνει μόνο λήψη και τήρηση κατάλληλων μέτρων ασφαλείας για την αποτροπή περιστατικών παραβίασης δεδομένων, αλλά και εφαρμογή κατάλληλων μεθόδων γρήγορης απόκρισης και άμεσης διαχείρισης αυτών για τις περιπτώσεις που θα προκύψουν.