Ισπανία: Πρόστιμο 2 εκατ. ευρώ στην Hyundai Motor España για παραβίαση δεδομένων άνω του ενός εκατομμυρίου πελατών

Πρόστιμο 2.000.000 ευρώ επέβαλε η ισπανική αρχή προστασίας δεδομένων AEPD στην HYUNDAI MOTOR ESPAÑA S.L.U. για παραβίαση της αρχής της ακεραιότητας και εμπιστευτικότητας των δεδομένων του άρθρου 6 παρ.1στ’ ΓΚΠΔ, μετά από σοβαρό περιστατικό παραβίασης δεδομένων που οδήγησε σε μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα άνω του ενός εκατομμυρίου προσώπων.

Η AEPD επελήφθη της υπόθεσης μετά από γνωστοποίηση παραβίασης από τον υπεύθυνο επεξεργασίας, την οποία ακολούθησαν και οι καταγγελίες τριών φυσικών προσώπων, που είχαν ενημερωθεί για την παραβίαση αυτή. Η παραβίαση συνδέθηκε με κυβερνοεπίθεση σε πληροφοριακό σύστημα που τελούσε υπό τη διαχείριση εταιρείας του ίδιου ομίλου, που είναι εγκατεστημένη στη Γερμανία και ενεργούσε ως εκτελών την επεξεργασία. Από τα στοιχεία του φακέλου προέκυψε ότι ο επιτιθέμενος εκμεταλλεύθηκε γνωστή ευπάθεια του λογισμικού, για την οποία είχαν ήδη εκδοθεί διορθωτικές ενημερώσεις, χωρίς όμως να έχουν εγκατασταθεί.

Η επίθεση έλαβε χώρα στις 17 Ιανουαρίου 2023 και είχε ως αποτέλεσμα την εξαγωγή δεδομένων περίπου 1.012.730 προσώπων. Τα δεδομένα που εκτέθηκαν περιλάμβαναν ονοματεπώνυμα, ημερομηνίες γέννησης, στοιχεία επικοινωνίας, καθώς και πληροφορίες σχετικές με οχήματα, όπως αριθμούς πλαισίου. Δεν επηρεάστηκαν οικονομικά δεδομένα ούτε αριθμοί ταυτότητας, ενώ διαπιστώθηκε ότι τα δεδομένα δεν ήταν κρυπτογραφημένα κατά τον χρόνο της παραβίασης.

Η εταιρεία έλαβε γνώση του περιστατικού στις 24 Φεβρουαρίου 2023, προχώρησε σε απομόνωση των συστημάτων και γνωστοποίησε την παραβίαση στην αρχή στις 27 Φεβρουαρίου 2023, συμπληρώνοντας τα στοιχεία τέσσερις ημέρες αργότερα. Η ενημέρωση των θιγόμενων, πελατών και δυνητικών πελατών, πραγματοποιήθηκε μεταγενέστερα, με αποστολή ηλεκτρονικών μηνυμάτων τον Απρίλιο και επιστολών τον Μάιο του ίδιου έτους.

Κατά την εξέταση της υπόθεσης, η AEPD διαπίστωσε ότι η παραβίαση κατέστη δυνατή λόγω ανεπαρκών τεχνικών και οργανωτικών μέτρων ασφάλειας. Καθοριστικό ρόλο στη διαπίστωση αυτή έπαιξε η χρήση μη αναβαθμισμένου λογισμικού με γνωστές ευπάθειες, σε συνδυασμό με την απουσία αποτελεσματικής προστασίας των δεδομένων, λάθη τα οποία επέτρεψαν την πρόσβαση τρίτου στα δεδομένα αυτά. Επιπλέον, το γεγονός ότι τα δεδομένα βρίσκονταν σε μη κρυπτογραφημένη μορφή κατά τη διαδικασία διαμοιρασμού τους με τρίτους ελήφθη υπόψη ως στοιχείο επιβαρυντικό.

Η ισπανική αρχή έκρινε ότι η συμπεριφορά της εταιρείας συνιστά παραβίαση θεμελιώδους αρχής του ΓΚΠΔ και αξιολόγησε την παράβαση ως ιδιαίτερα σοβαρή, λαμβάνοντας υπόψη τον μεγάλο αριθμό των υποκειμένων, τη φύση των δεδομένων και τους κινδύνους που απορρέουν από την απώλεια ελέγχου επί αυτών. Σημειώθηκε επίσης ότι η παράβαση συνδέεται με αμέλεια, καθώς δεν είχαν ληφθεί τα αναγκαία μέτρα για την αντιμετώπιση γνωστών κινδύνων ασφάλειας.

Μετά την κοινοποίηση της πρότασης επιβολής προστίμου, η εταιρεία γνωστοποίησε την πρόθεσή της να προβεί σε οικειοθελή πληρωμή του προστίμου και κατέβαλε το ποσό των 1.600.000 ευρώ, επωφελούμενη της προβλεπόμενης μείωσης κατά 20%. Κατόπιν τούτου, η διαδικασία περατώθηκε, με ταυτόχρονη επιβεβαίωση της παράβασης και διατήρηση της υποχρέωσης λήψης των αναγκαίων διορθωτικών μέτρων εντός προθεσμίας έξι μηνών .