גרמניה: קנס GDPR ענק בשל אבטחת מידע לקויה של ספקית אינטרנט

רשות הגנת הפרטיות הפדרלית בגרמניה הטילה קנס בסך 10 מיליון אירו על ספקית אינטרנט וסלולר במדינה בשל אבטחה לקויה של מידע אישי של לקוחותיה. הקנס הוטל בעקבות תלונה על כך שמי שצלצל למוקד השירות של החברה יכול היה לקבל גישה למידע על לקוח באמצעות ציון שם הלקוח ותאריך לידתו - ללא כל אמצעי הגנה נוסף שנועד להבטיח כי רק הלקוח שעליו המידע יכול לקבל גישה למידע. רשות הפרטיות ראתה בכך הפרה של עיקרון אבטחת המידע ב-GDPR המחייב בעל מאגר מידע לנקוט אמצעי אבטחה נאותים שימנעו גישה לא מורשית למידע.

בקביעת גובה הקנס, רשות הגנת הפרטיות נתנה משקל רב לחומרת ההפרה מבחינת הסיכון לפרטיות המידע - סיכון שהקיף את כל מאגר הלקוחות הנרחב של החברה. הרשות ציינה לטובה את שיתוף הפעולה של החברה לאחר גילוי הליקויים ואת מאמציה לתקן את הליקוי בזריזות. החברה, מצידה, הודיעה כי תערער על גובה הקנס שלטעמה אינו מידתי. מקור: בנק אינפו סקיוריטי (מאת: מתיו שוורץ).