Booking.com получил штраф в €475 000 за то, что слишком поздно сообщил об утечке данных

Штраф был наложен за инцидент, который произошел в декабре 2018 года. Во время хакерской атаки злоумышленники получили доступ к 40 учетным записям сотрудников гостиницы из ОАЭ. Хакерам удалось собрать данные о 4109 пользователях, которые забронировали номера в эмиратском отеле. Злоумышленники также получили данные банковских карт 283 человек, включая код безопасности 97 карт. К тому же хакеры позвонили нескольким пользователям сервиса и выдавали себя за сотрудников Booking.com, чтобы собрать дополнительные реквизиты карт.

В решении регулятора указано, что информацию о взломе компания получила 13 января 2019 года, однако уведомила ведомство лишь 7 февраля того же года, то есть спустя 22 дня после установленного срока. Согласно правилам о защите данных (GDPR), принятым в ЕС, компания обязана сообщить о найденой проблеме в течении 72 часов.

«Утечка данных, к сожалению, может произойти где угодно, даже если вы приняли хорошие меры предосторожности. Но чтобы предотвратить угрозу безопасности для ваших клиентов и предотвратить повторение такого нарушения, вы должны сообщить об этом вовремя», — заявила Моник Вердье, вице-президент Управления по защите данных в Нидерландах.

Booking.com признала вину и не оспаривала штраф. Также в компании заявили, что возместили урон пострадавшим клиентам и партнерам, это повлияло на конечную сумму штрафа: его размер снизился на 50 тысяч евро. Сервис уведомил клиентов об утечке данных 4 февраля 2019 года, до того, как известил о нарушении нидерландского регулятора.