Uber ukarany w dwóch państwach UE
Jaka jest różnica pomiędzy 100 mln USD a 492 tys. USD? Stwierdzając w sposób przewrotny, wynosi dokładnie 25 maja 2018 roku. Wyjaśniając to dziwne zadanie matematyczne, należy wytłumaczyć, że wskazana w poprzednim zdaniu wyższa kwota groziłaby Uberowi w Wielkiej Brytanii, gdyby wyciek danych z 2016 roku, o którym pisaliśmy (w tym miejscu: https://ubezpieczenia-cyber.pl/jadac-uberem-jestes-bezpieczny/) nastąpił po 25 maja, czyli po wejściu w życie przepisów RODO. A tak, ICO (ang. Information Commissioner’s Office), tj. tamtejszy odpowiednik polskiego Urzędu Ochrony Danych Osobowych, nałożył karę na amerykańskiego przewoźnika w wysokości 492 tys. dolarów.
Kara nie tylko za wyciek
Zgodnie z wyliczeniami ekspertów, podjętymi w toku postępowania przeciwko Uberowi, sprawa wycieku danych dotyczyła ok. 2,7 mln klientów z Wielkiej Brytanii (w tym także ok. 82 000 kierowców pracujących dla Ubera). W wyniku tego incydentu przestępcy uzyskali dostęp do takich informacji jak: imię i nazwisko, adres e-mail, numer telefonu, informacji o płatnościach.
Wpływ na wysokość wymierzonej kary miał nie tylko sam fakt wycieku danych, ale również postępowanie firmy podjęte po powzięciu informacji o incydencie. Jak podkreślają urzędnicy ICO, władze przewoźnika kompletnie zlekceważyły skutki, jakie niósł za sobą atak. Nie podjęto żadnych działań mających na celu poinformowanie poszkodowanych klientów oraz udzielenie im pomocy. Informacje o ataku podano do publicznej wiadomości dopiero rok(!) po incydencie. Dodatkowo, próbowano dogadać się z przestępcami, płacąc im okup wynoszący 100 tys. dolarów.
Uber w „czepku urodzony”
Uber ma niesamowite szczęście, że wyciek nastąpił w 2016 roku i brytyjski organ ds. ochrony danych osobowych podejmował swoją decyzję jeszcze na gruncie starej ustawy o ochronie danych osobowych z 1996 roku, a nie na podstawie nowych przepisów wynikających z RODO. Przypomnijmy, że zgodnie z tym aktem kara za naruszenia może wynieść do 4% rocznego obrotu przedsiębiorstwa. W przypadku Ubera oznaczałoby to możliwość nałożenia sankcji do 100 mln dolarów. Taka wysokość mogłaby oznaczać poważne konsekwencje dla poprawnego funkcjonowania firmy.
Wcześniej podobną karę na amerykańską firmę nałożył Urząd Ochrony Danych Osobowych w Holandii (Autoriteit Persoonsgegevens). W tym przypadku sankcja wynosiła 600 tys. euro. Szacuje się, że w Holandii sprawa mogła dotyczyć 174 tys. klientów.