Επίπληξη στην εταιρεία DIMERA GROUP ΕΜΠΟΡΙΟ ΑΘΛΗΤΙΚΩΝ ΕΙΔΩΝ ΜΕΠΕ
Η εταιρεία «DIMERA GROUP ΕΜΠΟΡΙΟ ΑΘΛΗΤΙΚΩΝ ΕΙΔΩΝ ΜΟΝΟΠΡΟΣΩΠΗ ΕΤΑΙΡΕΙΑ ΠΕΡΙΟΡΙΣΜΕΝΗΣ ΕΥΘΥΝΗΣ» υπέβαλε στην Αρχή γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα, σύμφωνα με το άρ. 33 του Γενικού Κανονισμού (ΕΕ) 2016/679. Το εν λόγω περιστατικό αφορούσε επίθεση ασφαλείας η οποία ήταν αποτέλεσμα κακόβουλης εξωτερικής ενέργειας («hacking»). H DIMERA υπέβαλε την ως άνω γνωστοποίηση στην Αρχή εντός 72 ωρών από τη στιγμή που έλαβε γνώση του περιστατικού και πραγματοποίησε αμέσως ενέργειες για τη διερεύνηση και αντιμετώπισή του, ενώ επίσης ενημέρωσε τα πρόσωπα (πελάτες τους ηλεκτρονικού της καταστήματος) των οποίων τα δεδομένα διέρρευσαν.
Η Αρχή, εξετάζοντας τη γνωστοποίηση στο σύνολό της, όπως αυτή συμπληρώθηκε, αλλά και τα μέτρα ασφάλειας που ήταν σε εφαρμογή πριν από το περιστατικό, απηύθυνε, με την απόφαση 67/2018, επίπληξη στη DIMERA σύμφωνα με το άρ. 58 παρ. 2 στοιχ. β’ του ΓΚΠΔ για παραβίαση του άρ. 32 του ΓΚΠΔ αναφορικά με την ασφάλεια της επεξεργασίας –και, κατ’ επέκταση και του άρ. 5 παρ. 1 στοιχ. στ’ του ΓΚΠΔ– λόγω του ότι η εταιρεία δεν είχε λάβει μέριμνα για επικαιροποίηση (ενημέρωση) του χρησιμοποιούμενου λογισμικού, δεν διέθετε επαρκείς μηχανισμούς για την ανίχνευση αυτών των επιθέσεων και δεν διέθετε διαδικασίες για την τακτική αξιολόγηση των μέτρων ασφάλειας. Η Αρχή έλαβε υπόψη για την εν λόγω απόφαση ότι η εταιρεία αμέσως μόλις έλαβε γνώση του περιστατικού προέβη σε όλες τις απαραίτητες ενέργειες, υλοποιώντας και μέτρα ασφάλειας για τη θωράκιση της ασφάλειας στο μέλλον.
