2021年4月2日，旅行预订网站Booking因未在GDPR规定的期限内报告数据泄露行为，被处以475000欧元罚款。

荷兰数据保护局（AP）说，犯罪分子窃取了4000位客户的个人数据，并获得了283张信用卡的详细信息。

2019年1月13日，Booking接到数据泄露通知，但直到同年2月7日才向荷兰数据保护局报告，这违反了GDPR下必须在72小时内报告数据泄露事件的规定，而是迟了22天。

据悉，早在2018年Booking即已遭遇数据泄露问题。在2018年12月，犯罪分子获得了通过预订网站在该国预订酒店房间的4109人的数据。其中包括他们的姓名，地址和电话号码，以及有关其预订的详细信息。罪犯还看到了283人的信用卡详细信息（包括信用卡安全码在内的97例）。犯罪分子还曾试图通过冒充Booking员工来获取其他受害者的信用卡详细信息。

美联社副总裁莫妮克·威尔第（Monique Verdier）将未能通知的行为描述为“严重违反行为”。

她说：“为了防止损害客户和重复发生此类数据泄露，企业必须及时报告此情况。对于那些泄漏事件的受害者来说，这种速度（时效）非常重要。接到报告后，AP可以帮助减小威胁，例如，命令公司立即警告受影响的客户，以防止犯罪分子有数周的时间继续试图欺骗客户。”（本文出自SCA安全通信联盟，转载请注明出处。）