Případ Uber a GDPR

V denním tisku jsme si mohli přečíst o dalším z mnoha úniků dat. Tentokrát se případ týká populární služby Uber a unikly osobní údaje cca 57 milionů zákazníků a řidičů. Ukradená byla jména zákazníků, jejich adresy, mobilní telefony i e-mailové adresy. U řidičů i jejich řidičské průkazy a další informace. Uber útok rok tajil, dvojici hackerů vyplatil 100 tisíc dolarů za zničení ukradených dat a celý incident zamaskovali jako součást vyplácení odměn za nalezení bezpečnostních chyb

Příklad na GDPR

K únikům dat dochází relativně často a právě proto začíná od května platit nové nařízení EU nazývané GDPR o ochraně osobních údajů. Jak by se toto nařízení vztahovalo na podobný incident v budoucnosti?

  1. GDPR vyžaduje výslovný souhlas uživatele se zpracováním dat. Navíc nařizuje v mnoha případech mazání osobních údajů (na žádost klienta, navíc společnost je povinna průběžně mazat data, která nejsou nezbytně nutná atp.) – je tedy pravděpodobné, že postižených by bylo výrazně méně
  2. Nově se mezi osobní údaje řadí i další informace, například IP adresy atp. Ale v tomto případě nevíme, zda byly součástí úniku
  3. Data by měla být šifrována a anonymizována – výrazně se tak snižuje možnost, že by i v případě zcizení mohlo dojít ke zneužití dat
  4. Je třeba prověřovat, kam se data ukládají a zda tam k nim nemá přístup třetí osoba. V tomto případě byly například data uloženy na cloudu jiné společnosti
  5. Po zjištění narušení bezpečnosti je společnost povinna incident nahlásit do 72 hodin regulátorovi a informovat postižené klienty
  6. Společnosti by hrozila vysoká pokuta, v tomto případě i s několika přitěžujícími okolnostmi (např. utajování). Maximální sankce se mohou vyšplhat až na 20 milionů Eur nebo 4 % celosvětového ročního obratu. Navíc by mohla být společnost žalována od fyzických osob o náhradu škody

Na příkladu je dobře vidět, proč se GDPR zavádí. Rizika úniku dat by se snížila, stejně jako počet postižených osob a zároveň by společnosti za podobné chování hrozily výrazně vyšší sankce…

Zdroj:
https://m.zive.cz/uber-tajil-masivni-unik-57-milionu-zaznamu-hackerum-zaplatil-za-mlceni/a-190612
https://byznys.lidovky.cz/hackeri-ukradli-uberu-data-57-milionu-zakazniku-a-ridicu-pg8-/doprava.aspx?c=A171122_070623_ln-doprava_ELE