Tysklands första sanktionsavgift har blivit nu tilldelats. Fallet är mycket intressant då det visar att det är viktigt att vara öppen och transparent mot tillsynsmyndigheten och att på allvar utreda ett intrång och förbättra sig troligtvis leder till mildare straff.
Den 21:a november utdömde Data Protection and Freedom of Information Baden-Wuerttemberg (LfDI) den första sanktionsavgiften i Tyskland under GDPR. Sanktionsavgiften blev 20.000€. En analys av hur man kommit fram till det beloppet kan visa på insikter hur Europas tillsynsmyndigheter resonerar i sin tillämpning av GDPR.
Bakgrunden till domen rör en site som heter “Knuddels.se” som hackades i september i år. Företaget som blev hackat rapporterade att ca 808,000 e-postadreser och lösenord hade läckt ut i hackerattacken och det kunde konstateras att denna data läckt ut från sidan. När företaget blivit medveten om intrånget och att data läckts ut rapporterade de detta till tillsynsmyndigheten, LfDI, i enlighet med kraven i GDPR. De meddelande även sina kunder om att intrånget hade skett och att deras lösenord var läckta. Vid den följande undersökningen framkom det dock att lösenorden som läckts ut inte var krypterade utan lagrats i ren text. Eftersom detta är ett tydligt brott mot GDPRs artikel 32.1 om att det måste finnas tillräckliga skyddsåtgärder för datat tilldömde tillsynsmyndigheten företaget en sankionsavgift på 20.000€.
Böter för lösenord i ren text, inte intrånget i sig
Värt att notera i detta fallet och intressant för att följa är att det var inte intrånget i sig som gav upphovet till sanktionsavgifterna. Det var att man medvetet brutit mot att skydda personuppgifterna som var brottet. Avgiften var även den låg i förhållande till maxbeloppet och ger en indikation hur tillsynsmyndigheten resonerar. Enligt LfDI hade det varit till företagets fördel hur de agerade vid indidenttillfället med en tidig rapport till myndigheten och en omedelbar och tydlig information till de drabbade individerna. Samarbetet mellan företaget och tillsynmyndigheten lyftes även den fram som en positiv faktor. Hur företaget hade agerat efter incidenten när man ökat sin skyddsnivå var även den en faktor som var förmildrande.
Slutsatser
Detta fall visar på hur samarbetet mellan tillsynsmyndighet och företaget kan mildra en eventuell sanktionsavgift. Vi kommer troligtvis i framtiden få se exempel på hur tillsynsmyndigheten resonerar när förutsättningarna är annorlunda. Om ni inte redan gjort det, se över era rutiner för incidenthantering. Gå igenom era system för så att ni når upp till en godtagbar säkerhetsnivå och om något skulle hända, var öppen mot både tillsynsmyndigheter och de registrerade.
Länkar
https://autoriteitpersoonsgegevens.nl/en/news/dutch-dpa-fine-data-breach-uber
https://iapp.org/news/a/germanys-first-fine-under-the-gdpr-offers-enforcement-insights/
