Our comment on PUODO’s penalty on ID Finance Poland, the owner of fast loans portal, for the personal data breach

31.12.2020 On the last day of 2020 the President of UODO imposed a PLN 1 million penalty on ID Finance Poland, the owner of a fast loans portal moneyman.pl.

Firma zapłaci milionową karę za utracone dane osobowe
Nie można zwlekać ze sprawdzeniem potencjalnych luk w systemach – ostrzega prezes Urzędu Ochrony Danych Osobowych, informując jednocześnie o karze w wysokości 1 mln zł dla spółki ID Finance Poland, właściciela portalu szybkich pożyczek, za brak szybkiego stwierdzenia zagrożenia i jego usunięcia, co doprowadziło do utraty danych.

Jak stwierdził UODO, spółka (właściciel portalu pożyczkowego MoneyMan.pl) nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach. Nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera. Za zwrot wykradzionych informacji zażądała okupu. Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych organowi nadzoru.
Po restarcie nie przywrócono zabezpieczeń

W ramach postępowania UODO ustalił, że do naruszenia doszło po tym, jak po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający (firmę hostingową) nie przywrócono odpowiedniej konfiguracji zabezpieczeń. Administrator został powiadomiony o tym przez jednego ze specjalistów zajmujących się cyberbezpieczeństwem, który wykrył podatność i wskazał przykładowe, dostępne publicznie informacje. – Administrator zamiast rzetelnie sprawdzić jego doniesienia i monitorować podmiot przetwarzający czy należycie zajął się sprawą pod kątem sprawdzenia zabezpieczeń, miał wątpliwości, czy nie jest to próba wyłudzenia od niego innych danych, co wskazywał w korespondencji do podmiotu przetwarzającego. Przez to nie zajęto się od razu sprawdzeniem wskazanych luk w systemie i kilka dni później doszło do wykradzenia danych z tego serwera – czytamy w raporcie UODO.

Zabrakło szybkiej reakcji administratora

Zdaniem Urzędu, do tego naruszenia nie doszłoby, gdyby administrator od razu odpowiednio zareagował na informację o tym, iż dane na jego serwerze są niezabezpieczone. Zdaniem UODO administrator powinien utrzymywać zdolność do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń, aby mieć możliwość podjęcia odpowiednich działań. Ponadto administrator powinien być w stanie szybko zbadać dany incydent pod kątem tego, czy doszło do naruszenia ochrony danych oraz podjąć odpowiednie działania zaradcze.

Organ nadzoru uznał też, że brak odpowiednio szybkiej reakcji ze strony podmiotu przetwarzającego na doniesienie o luce w systemie nie wyłącza odpowiedzialności administratora za naruszenie ochrony danych. To administrator musi mieć zdolność do wykrywania naruszeń, zaradzania im oraz ich zgłaszania – to kluczowy element środków technicznych i organizacyjnych.
Brak wystarczających działań

W ocenie UODO spółka, mimo szybkiego przekazania podmiotowi przetwarzającemu informacji o potencjalnej luce w zabezpieczeniach serwera, nie podjęła działań w sposób wystarczający. Postępowanie wykazało, że administrator pobieżnie przeanalizował otrzymany sygnał, nie potraktował go z odpowiednią powagą i nie zobligował podmiotu przetwarzającego do należytego zajęcia się sprawą.

UODO podkreśla, że nakładając karę za to, że w wyniku szeregu zaniedbań administratora doszło do naruszenia poufności danych osobowych, wziął pod uwagę skalę naruszenia, jak i zakres wykradzionych danych. Ponadto z uwagi na fakt, że wyciekły też niezaszyfrowane hasła, istnieje możliwość posłużenia się tymi danymi do zalogowania się na różnych kontach klientów, jeżeli w innych serwisach posługiwali się tym samym loginem (np. e-mail) i hasłem. Przy wymierzaniu wysokości kary organ wziął też pod uwagę zwłokę administratora w podjęciu działań zapobiegawczych.

– Wysokość kary powinna spełnić funkcję represyjną, ale i prewencyjną. W ocenie organu powinna ona zapobiec podobnym naruszeniom w przyszłości zarówno w ukaranej spółce, jak i u innych administratorów – czytamy w uzasadnieniu Urzędu Ochrony Danych Osobowych.

Wybór dostawcy po analizie stosowanych zabezpieczeń

– Kolejna kara Prezesa UODO dotycząca naruszenia bezpieczeństwa informacji (cybernetycznego) i ponownie problem dotyczy podwykonawcy (procesora). Okazuje się, że wiele wysokich kar związana jest z wyciekami danych, które stanowią konsekwencję niestosowania wystarczających zabezpieczeń sieci i informacji, głównie przez profesjonalnych podwykonawców, a w zasadzie podwykonawców, którzy powinni być profesjonalistami – komentuje Artur Piechocki – radca prawny, partner zarządzający w APLAW.

Ekspert w tym kontekście przytacza treść motywu 81 RODO: „administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania”.

– Decyzja o wyborze dostawcy usług elektronicznych, nawet najprostszego hostingu, powinna zostać podjęta na podstawie analizy stosowanych przez dostawcę zabezpieczeń oraz faktycznie wdrożonych i działających procedur. Zarządzanie ryzykiem nie może ograniczyć się do samego przedsiębiorstwa administratora, ale powinno rozciągać się na usługi dostarczane przez procesora, szczególnie w czasach powszechnego outsourcingu, SaaS, SECaaS – stwierdza Artur Piechocki.

Prawo.pl:
https://www.prawo.pl/biznes/utracone-dane-osobowe-milion-zl-kary-dla-firmy,505551.html
Opracowanie: Krzysztof Sobczak (prawo.pl)