Rekordowa kara wymierzona przez UODO!

Dodano: 20 września 2019
87db0216482722ef6adfadffd7854ee1465dc127-xlarge(1)

Ponad 2,8 mln zł – taką karę wymierzył Prezes Urzędu Ochrony Danych Osobowych spółce Morele.net. Jak uzasadnił organ nadzoru, karę wymierzono w wyniku zastosowania nieodpowiednich środków bezpieczeństwa przetwarzania danych, przez co dane ok. 2,2 mln osób uległy wyciekowi. Szczegóły w artykule.

Jakie uchybienia doprowadziły do ukarania

Jak wskazał Prezes Urzędu Ochrony Danych Osobowych, przede wszystkim nie zastosowano odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci. W konsekwencji doszło do naruszenia o znacznej wadze i poważnym charakterze, które na dodatek dotyczyło dużej skali osób. Wygenerowało duże ryzyko dla osób, których dane wyciekły m.in. kradzieży tożsamości.

Wyciekowi uległy przede wszystkim takie dane osobowe jak: imię i nazwisko, numer telefonu, e-mail, adres doręczeń. Co więcej, w przypadku około 35 tys. osób wyciekowi uległy dane osobowe z ich wniosków ratalnych – m.in. numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych. Reasumując, doszło do nieuprawnionego dostępu do danych klientów i do uzyskania tych danych. Przyczyną było zastosowanie nieodpowiedniego środka uwierzytelniania dostępu do danych. Dodatkowe środki zabezpieczenia technicznego zostały wprawdzie wdrożone, ale dopiero po naruszeniu. Spółce zarzucono również nienależyte monitorowanie potencjalnych zagrożeń. To właśnie te uchybienia zadecydowały o nałożeniu tak wysokiej kary.

Naruszenie zasady poufności

W konsekwencji Prezes UODO wskazał, że spółka nie zastosowała wystarczających środków technicznych ochrony danych, co godzi w art. 5 ust. 1 lit f RODO (zasada poufności) i wymierzył karę w kwocie ponad 2,8 mln zł. Prezes UODO zaznaczył, że przy wymiarze kary uwzględnił okoliczności łagodzące tj. podjęcie przez spółkę działań zmierzających do usunięcia naruszenia, dobrą współpracę z administratorem oraz to, że wcześniej spółka nie dopuściła się naruszenia przepisów o ochronie danych osobowych.

Z uwagi na tak wysoką kwotę kary można spodziewać się zaskarżenia decyzji. O sprawie będziemy informować na bieżąco.

Uwaga

Decyzję można pobrać tutaj>>

Źródło:
  • Strona internetowa Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl).
  • Decyzja Prezesa Urzędu Ochrony Danych Osobowych z 10 września 2019 r. (ZSPR.421.2.2019).

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel