Amenda protectia datelor pt Uber – 385000 Lire sterline

Autoritatea de supraveghere britanica a aplicat o amenda de 385.000 de lire sterline pentru nerespectarea legii de protecția a datelor personale de către compania de distribuire a căilor de transport Uber deoarece nu a protejat informațiile personale ale clienților în timpul unui atac cibernetic.

O serie de defecte de securitate a datelor care pot fi evitate au permis accesarea și descărcarea de către atacatori a unor detalii personale de aproximativ 2.7 milioane de clienți britanici dintr-un sistem de stocare bazat pe nor, operat de compania-mamă americană Uber. Acestea includ nume complete, adrese de e-mail și numere de telefon.

Înregistrările a aproape 82.000 de șoferi din Marea Britanie – care au inclus detalii despre călătoriile făcute și cât au fost plătite – au fost luate, de asemenea, în timpul incidentului din octombrie și noiembrie 2016.

Investigația autoritatii de supraveghere britanice a constatat că „precompletarea credentială”, un proces prin care perechi de nume de utilizator și parolă compromise sunt injectate pe site-uri web până când sunt potrivite cu un cont existent, a fost folosit pentru a obține accesul la stocarea datelor Uber.

Cu toate acestea, clienților și șoferilor afectați nu li sa spus despre incident mai mult de un an. În schimb, Uber a plătit atacatorilor responsabili 100.000 de dolari pentru a distruge datele pe care le-au descărcat.

Directorul de Investigații Steve Eckersley a spus:

„Acesta nu a fost doar un eșec serios al securității datelor de la Uber, ci o ignorare totală a clienților și șoferilor ale căror informații personale au fost furate. În acel moment nu s-au luat măsuri pentru a informa pe nimeni afectat de încălcare sau pentru a oferi ajutor și asistență. Asta le-a lăsat vulnerabile. „

Incidentul, o încălcare gravă a principiului șapte din Legea privind protecția datelor din 1998, a avut potențialul de a expune clienții și șoferii afectați la risc crescut de fraudă. A ieșit la lumină când un anunț făcut de compania însăși a fost raportat de mass-media în noiembrie 2017.

Dl Eckersley a adăugat:

„Plătirea atacatorilor și apoi păstrarea liniștită a acestora după aceea nu a fost, în opinia noastră, un răspuns adecvat la atacurile cibernetice.

„Deși nu exista nicio obligație legală de a raporta încălcări ale datelor în conformitate cu vechea legislație, practicile slabe ale Uber de protecție a datelor și deciziile și comportamentele ulterioare ar fi putut complica suferința celor afectați”.

Autoritatea pentru protecția datelor pentru Țările de Jos, Autoriteit Persoonsgegevens, a emis, de asemenea, o amendă pentru Uber astăzi, conform propriei sale legislații înainte de GDPR. Autoritatea de reglementare din Țările de Jos a fost membrul conducător al unei echipe internaționale de lucru, care a inclus Autoritatea britanica și care a cooperat la investigarea efectelor incidentului în jurisdicțiile lor respective.

Urmareste noutatile GDPR
Acest articol a fost publicat în Spețe și măsuri aplicate și etichetat cu , , . Salvează legătura permanentă.



Pentru a evita sancțiuni uriașe financiare și de imagine vă recomandăm să verificați GRATUIT online dacă compania / instituția dvs. trebuie să fie conformă cu GDPR – Regulamentul European 679/2016 și dacă trebuie să externalizați un DPO sau să aveți desemnat o persoana pe pozitia de DPO Responsabil cu protectia datelor cu caracter personal, specializat ulterior prin urmarea unui  Curs DPO Autorizat Certificat.


Dacă întâmpinați greutăți în implementarea GDPR, puteți aplea la echipa de specialiști GDPR sau puteți cotracta serviciile profesionale de consultanță GDPR de specialitate cu un simplu click.


Pentru a să sprijini, echipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.