Na czym polegało naruszenie?

Spółka ID Finance Poland nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach. Nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera. Za zwrot wykradzionych informacji zażądała okupu. Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych Prezesowi Urzędu Ochrony Danych Osobowych. 

Jaką karę nałożył Prezes Urzędu Ochrony Danych Osobowych?

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę ID Finance Poland (właściciela portalu pożyczkowego MoneyMan.pl) za to naruszenie karę pieniężną w wysokości 1.069.850,00 zł.

Dlaczego nałożono karę?

UODO, nakładając karę za to, że w wyniku szeregu zaniedbań Administratora doszło do naruszenia poufności danych osobowych, wziął pod uwagę skalę naruszenia, jak i zakres wykradzionych danych. Ponadto z uwagi na fakt, że wyciekły też niezaszyfrowane hasła, istnieje możliwość posłużenia się tymi danymi do zalogowania się na różnych kontach klientów, jeżeli w innych serwisach posługiwali się tym samym loginem (np. e-mail) i hasłem. Przy wymierzaniu wysokości kary organ wziął też pod uwagę zwłokę Administratora w podjęciu działań zapobiegawczych.

Na wymierzeniu tak wysokiej kary zaważyły następujące czynniki:

1. Po restarcie jednego z serwerów, który był obsługiwany przez podmiot przetwarzający (firmę hostingową) nie przywrócono odpowiedniej konfiguracji zabezpieczeń.
2. Brak odpowiedniej reakcji spółki na informację o tym, że dane na serwerze są niezabezpieczone – Administrator zamiast rzetelnie sprawdzić doniesienia jednego ze specjalistów zajmujących się cyberbezpieczeństwem i monitorować podmiot przetwarzający czy należycie zajął się sprawą pod kątem sprawdzenia zabezpieczeń, miał wątpliwości, czy nie jest to próba wyłudzenia od niego innych danych, co wskazywał w korespondencji do podmiotu przetwarzającego. Przez to nie zajęto się od razu sprawdzeniem wskazanych luk w systemie i kilka dni później doszło do kradzieży danych z tego serwera.
3. Brak wystarczających działań w zakresie analizy otrzymanych informacji o braku zabezpieczeń w celu podjęcia działań zaradczych – Administrator pobieżnie przeanalizował otrzymany sygnał i nie zobligował podmiotu przetwarzającego do należytego zajęcia się sprawą.
4. Brak odpowiednio szybkiej reakcji ze strony podmiotu przetwarzającego (firmy hostingowej) na informację o luce bezpieczeństwa. Organ nadzoru uznał, że brak szybkiej reakcji ze strony podmiotu przetwarzającego nie wyłącza odpowiedzialności administratora za naruszenie ochrony danych. To Administrator musi mieć zdolność do wykrywania naruszeń, zaradzania im oraz ich zgłaszania.  Więcej: https://uodo.gov.pl/pl/138/1809

​Czy można uniknąć takich kar? Nasza rekomendacja:

W uzasadnieniu Urzędu Ochrony Danych Osobowych czytamy: “Wysokość kary powinna spełnić funkcję represyjną, ale i prewencyjną. W ocenie organu powinna ona zapobiec podobnym naruszeniom w przyszłości zarówno w ukaranej spółce, jak i u innych administratorów.“ 

Zatem kolejny raz nałożenie kary przez Organ Nadzorczy wyznacza kierunek działań dla Administratorów danych i wskazuje obszary, które warto poddać audytowi w celu zweryfikowania poprawności stosowania organizacyjnych i technicznych środków zabezpieczeń.

Nasi Inspektorzy Ochrony Danych rekomendują następujące działania:

1. Weryfikację podmiotów, którym powierzamy przetwarzanie danych osobowych (np. firm hostingowych) pod kątem zapewnienia wystarczających gwarancji – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania.
2. Wdrożenie odpowiednich procedur w zakresie postępowania w przypadku otrzymania jakiejkolwiek informacji o możliwości wystąpienia naruszenia ochrony danych osobowych.
3. Zapewnienie personelowi szkoleń z zakresu cyberbezpieczeństwa.
4. Regularne testowanie wdrożonych środków technicznych i organizacyjnych w celu oceny ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia poprzez np. analizę ryzyka bezpieczeństwa informacji lub audyt cyberbezpieczeństwa.
5. Regularne badanie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów IT poprzez np. audyty bezpieczeństwa sieci polegające na badaniu podatności sieci komputerowej na próby ataków pod kątem luk bezpieczeństwa wykorzystywanego oprogramowania, zabezpieczeń sieciowych oraz konfiguracji.

Zadbaj o bezpieczeństwo Twoich danych osobowych i skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa.