Kupac luksuznog automobila primio je email od autokuće s informacijama o iznosu nužne uplate i računu na koji može uplatiti.
 
Međutim, neposredno nakon prvog emaila kupac dobiva još jedan s iste email adrese s novim, odnosno, ispravljenim računom za uplatu iznosa.
 
Nakon što je uplatio nemali iznos za svojeg limenog ljubimca na broj računa iz drugog emaila, saznaje da je autokuća bila hakirana, odnosno, da su napadači izveli prijevaru kompromitiranjem IT sustava autokuće i zlouporabom email adrese zaposlenika iste.
 
Kupac skupog vozila postao je žrtvom hakerskog napada i prijevare.
 
Pri tom je komunikacija autokuće prema kupcu bila vrlo loša, štoviše, izostala je.
 
Kupac je u okolnostima nedobivanja konkretnih informacija, poznavajući svoja prava iz GDPR-a, od autokuće zatražio svoje pravo pristupa vlastitim osobnim podacima, koje uključuje i davanje kopije svih osobnih podataka koje autokuća ima prikupljene o njemu, kao i informaciju koji osobni podaci su bili predmetom hakerskog napada.
 
Žalosno, ali autokuća je ignorirala taj zahtjev svog kupca i, naravno, kupac ih je prijavio nadzornom tijelu za zaštitu osobnih podataka.
 
I tu show počinje.
 
Autokuća je pokazala da ignorira GDPR obveze, prvenstveno u području osiguranja svih zaštitnih mjera na svojim sustavima i procedurama, kako se ne bi dogodila prijevara kupaca s uplatama na tuđe račune.
 
Od zaštite svojih sustava od kibernetičkih napada do procedura informiranja svojih kupaca o iznosu plaćanja, dugovanja i o broju računa na koje se uplate trebaju izvršiti.
 
Važno je ovdje uočiti da je glavna krivnja autokuće u izostanku sigurnosnih tehničkih i organizacijskih mjera u sustavima i procedurama, koje su morali dizajnirati s obzirom na prepoznavanje i procjenu rizika.
 
A kod trgovina luksuzne ili vrlo skupe robe trebalo bi biti lako prepoznati rizike zbog visokih iznosa koje kupci trebaju uplaćivati.
 
Također je autokuća pokazala nepoznavanje ili ignoriranje GDPR-a u smislu izvršenja obveze prijave povrede osobnih podataka nadzornom tijelu, kao i izravne komunikacije kupcu kojem je, uslijed ovog incidenta, nanesena velika materijalna šteta uslijed uplate na krivi račun.
 
U konačnici, autokuća se ogriješila i o obvezu izvršavanja zahtjeva za pristupom osobnim podacima svog kupca.
 
Više na linku:
 
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_33/2022&mtc=today
 
 
 
Photo by Harrison Haines from Pexels