Milionowa kara na koniec roku

Dodano: 4 stycznia 2021
(I)	Milionowa kara na koniec roku

Spółka ID Finance Poland będąca właścicielem portalu pożyczkowego MoneyMan.pl została ukarana karą w wysokości ponad 1 mln zł. Ukaranie jest wynikiem niewdrożenia odpowiednich środków technicznych i organizacyjnych, wskutek czego naruszona została reguła poufności danych. Szczegóły poniżej.

Zbagatelizowany sygnał o nieprawidłowościach

Spółce zarzucony został brak odpowiedniej reakcji na sygnało lukach w jej zabezpieczeniach. Jak ustalono, nie sprawdziła w odpowiednim czasie zawiadomienia o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Informację o zagrożeniu przekazał jeden ze specjalistów firmy zajmujący się cyberbezpieczeństwem. Wykrył on podatność i wskazał przykładowe, dostępne publicznie informacje.

W efekcie po kilku dniach osoba nieuprawniona skopiowała te dane i usunęła je z serwera. Jednocześnie za zwrot wykradzionych informacji zażądała okupu. Stało się to po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający (firmę hostingową), gdy nie przywrócono odpowiedniej konfiguracji zabezpieczeń.

Uwaga

O wycieku danych informowaliśmy tutaj>>

Zaniechano sprawdzenia zabezpieczeń

Jak wskazał organ nadzorczy, reakcja administratora była nieprawidłowa. Zamiast rzetelnie sprawdzić otrzymane informacje i monitorować podmiot przetwarzający czy należycie zajął się sprawą pod kątem sprawdzenia zabezpieczeń, spółka nabrała wątpliwości, czy nie jest to próba wyłudzenia od niej innych danych. Niestety nie sprawdzono od razu wykazanych luk w systemie przez co doszło do wspomnianego wycieku danych.

Dlaczego tak wysoka kara

W konsekwencji spółka została ukarana karą w wysokości 1 069 850 zł. Prezes UODO uznał, że gdyby administrator od razu odpowiednio zareagował na informację o tym, iż dane na jego serwerze są niezabezpieczone, wówczas nie doszłoby do naruszenia.

Uwaga

Administrator powinien utrzymywać zdolność do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń, aby mieć możliwość podjęcia odpowiednich działań. Oprócz tego powinien być w stanie szybko zbadać dany incydent pod kątem tego, czy doszło do naruszenia ochrony danych oraz podjąć odpowiednie działania zaradcze.

Co istotne, odpowiedzialności administratora nie wyłącza brak odpowiednio szybkiej reakcji ze strony podmiotu przetwarzającego. To administrator powinien bowiem mieć zdolność do wykrywania naruszeń, zaradzania im oraz ich zgłaszania.

Oprócz zwłoki administratora wpływ na wymiar kary miała także skala naruszenia jak i zakres wykradzionych danych. Wyciek niezaszyfrowanych haseł umożliwił bowiem posłużenie się tymi danymi do zalogowania na kontach klientów, jeżeli w innych serwisach posługiwali się tym samym loginem (np. e-mail) i hasłem.

Źródło:

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel