31.12.2020 On the last day of 2020 the President of UODO imposed a PLN 1 million penalty on ID Finance Poland, the owner of a fast loans portal moneyman.pl.<\/p>\n
Firma zap\u0142aci milionow\u0105 kar\u0119 za utracone dane osobowe<\/strong> Jak stwierdzi\u0142 UODO, sp\u00f3\u0142ka (w\u0142a\u015bciciel portalu po\u017cyczkowego MoneyMan.pl) nie zareagowa\u0142a odpowiednio na sygna\u0142 o lukach w jej zabezpieczeniach. Nie sprawdzi\u0142a odpowiednio szybko informacji o tym, \u017ce na jednym z jej serwer\u00f3w dost\u0119pne s\u0105 dane jej klient\u00f3w. Takiego zawiadomienia nie potraktowa\u0142a z odpowiedni\u0105 powag\u0105, przez co kilka dni po otrzymanym przez sp\u00f3\u0142k\u0119 sygnale, osoba nieuprawniona skopiowa\u0142a te dane, a nast\u0119pnie usun\u0119\u0142a je z serwera. Za zwrot wykradzionych informacji za\u017c\u0105da\u0142a okupu. Dopiero wtedy sp\u00f3\u0142ka rozpocz\u0119\u0142a analizowanie zabezpiecze\u0144 na swoich serwerach i jednocze\u015bnie zg\u0142osi\u0142a naruszenie ochrony danych organowi nadzoru. W ramach post\u0119powania UODO ustali\u0142, \u017ce do naruszenia dosz\u0142o po tym, jak po restarcie jednego z serwer\u00f3w obs\u0142ugiwanego przez podmiot przetwarzaj\u0105cy (firm\u0119 hostingow\u0105) nie przywr\u00f3cono odpowiedniej konfiguracji zabezpiecze\u0144. Administrator zosta\u0142 powiadomiony o tym przez jednego ze specjalist\u00f3w zajmuj\u0105cych si\u0119 cyberbezpiecze\u0144stwem, kt\u00f3ry wykry\u0142 podatno\u015b\u0107 i wskaza\u0142 przyk\u0142adowe, dost\u0119pne publicznie informacje. – Administrator zamiast rzetelnie sprawdzi\u0107 jego doniesienia i monitorowa\u0107 podmiot przetwarzaj\u0105cy czy nale\u017cycie zaj\u0105\u0142 si\u0119 spraw\u0105 pod k\u0105tem sprawdzenia zabezpiecze\u0144, mia\u0142 w\u0105tpliwo\u015bci, czy nie jest to pr\u00f3ba wy\u0142udzenia od niego innych danych, co wskazywa\u0142 w korespondencji do podmiotu przetwarzaj\u0105cego. Przez to nie zaj\u0119to si\u0119 od razu sprawdzeniem wskazanych luk w systemie i kilka dni p\u00f3\u017aniej dosz\u0142o do wykradzenia danych z tego serwera – czytamy w raporcie UODO.<\/p>\n Zabrak\u0142o szybkiej reakcji administratora<\/strong><\/p>\n Zdaniem Urz\u0119du, do tego naruszenia nie dosz\u0142oby, gdyby administrator od razu odpowiednio zareagowa\u0142 na informacj\u0119 o tym, i\u017c dane na jego serwerze s\u0105 niezabezpieczone. Zdaniem UODO administrator powinien utrzymywa\u0107 zdolno\u015b\u0107 do szybkiego i skutecznego stwierdzenia wyst\u0105pienia wszelkich narusze\u0144, aby mie\u0107 mo\u017cliwo\u015b\u0107 podj\u0119cia odpowiednich dzia\u0142a\u0144. Ponadto administrator powinien by\u0107 w stanie szybko zbada\u0107 dany incydent pod k\u0105tem tego, czy dosz\u0142o do naruszenia ochrony danych oraz podj\u0105\u0107 odpowiednie dzia\u0142ania zaradcze.<\/p>\n Organ nadzoru uzna\u0142 te\u017c, \u017ce brak odpowiednio szybkiej reakcji ze strony podmiotu przetwarzaj\u0105cego na doniesienie o luce w systemie nie wy\u0142\u0105cza odpowiedzialno\u015bci administratora za naruszenie ochrony danych. To administrator musi mie\u0107 zdolno\u015b\u0107 do wykrywania narusze\u0144, zaradzania im oraz ich zg\u0142aszania \u2013 to kluczowy element \u015brodk\u00f3w technicznych i organizacyjnych. W ocenie UODO sp\u00f3\u0142ka, mimo szybkiego przekazania podmiotowi przetwarzaj\u0105cemu informacji o potencjalnej luce w zabezpieczeniach serwera, nie podj\u0119\u0142a dzia\u0142a\u0144 w spos\u00f3b wystarczaj\u0105cy. Post\u0119powanie wykaza\u0142o, \u017ce administrator pobie\u017cnie przeanalizowa\u0142 otrzymany sygna\u0142, nie potraktowa\u0142 go z odpowiedni\u0105 powag\u0105 i nie zobligowa\u0142 podmiotu przetwarzaj\u0105cego do nale\u017cytego zaj\u0119cia si\u0119 spraw\u0105.<\/p>\n UODO podkre\u015bla, \u017ce nak\u0142adaj\u0105c kar\u0119 za to, \u017ce w wyniku szeregu zaniedba\u0144 administratora dosz\u0142o do naruszenia poufno\u015bci danych osobowych, wzi\u0105\u0142 pod uwag\u0119 skal\u0119 naruszenia, jak i zakres wykradzionych danych. Ponadto z uwagi na fakt, \u017ce wyciek\u0142y te\u017c niezaszyfrowane has\u0142a, istnieje mo\u017cliwo\u015b\u0107 pos\u0142u\u017cenia si\u0119 tymi danymi do zalogowania si\u0119 na r\u00f3\u017cnych kontach klient\u00f3w, je\u017celi w innych serwisach pos\u0142ugiwali si\u0119 tym samym loginem (np. e-mail) i has\u0142em. Przy wymierzaniu wysoko\u015bci kary organ wzi\u0105\u0142 te\u017c pod uwag\u0119 zw\u0142ok\u0119 administratora w podj\u0119ciu dzia\u0142a\u0144 zapobiegawczych.<\/p>\n – Wysoko\u015b\u0107 kary powinna spe\u0142ni\u0107 funkcj\u0119 represyjn\u0105, ale i prewencyjn\u0105. W ocenie organu powinna ona zapobiec podobnym naruszeniom w przysz\u0142o\u015bci zar\u00f3wno w ukaranej sp\u00f3\u0142ce, jak i u innych administrator\u00f3w – czytamy w uzasadnieniu Urz\u0119du Ochrony Danych Osobowych.<\/p>\n Wyb\u00f3r dostawcy po analizie stosowanych zabezpiecze\u0144<\/strong><\/p>\n – Kolejna kara Prezesa UODO dotycz\u0105ca naruszenia bezpiecze\u0144stwa informacji (cybernetycznego) i ponownie problem dotyczy podwykonawcy (procesora). Okazuje si\u0119, \u017ce wiele wysokich kar zwi\u0105zana jest z wyciekami danych, kt\u00f3re stanowi\u0105 konsekwencj\u0119 niestosowania wystarczaj\u0105cych zabezpiecze\u0144 sieci i informacji, g\u0142\u00f3wnie przez profesjonalnych podwykonawc\u00f3w, a w zasadzie podwykonawc\u00f3w, kt\u00f3rzy powinni by\u0107 profesjonalistami – komentuje Artur Piechocki – radca prawny, partner zarz\u0105dzaj\u0105cy w APLAW. <\/em><\/p>\n Ekspert w tym kontek\u015bcie przytacza tre\u015b\u0107 motywu 81 RODO: \u201eadministrator powinien, powierzaj\u0105c podmiotowi przetwarzaj\u0105cemu czynno\u015bci przetwarzania, korzysta\u0107 z us\u0142ug wy\u0142\u0105cznie podmiot\u00f3w przetwarzaj\u0105cych, kt\u00f3re zapewniaj\u0105 wystarczaj\u0105ce gwarancje – w szczeg\u00f3lno\u015bci je\u017celi chodzi o wiedz\u0119 fachow\u0105, wiarygodno\u015b\u0107 i zasoby – wdro\u017cenia \u015brodk\u00f3w technicznych i organizacyjnych odpowiadaj\u0105cych wymogom niniejszego rozporz\u0105dzenia, w tym wymogom bezpiecze\u0144stwa przetwarzania\u201d.<\/em><\/p>\n – Decyzja o wyborze dostawcy us\u0142ug elektronicznych, nawet najprostszego hostingu, powinna zosta\u0107 podj\u0119ta na podstawie analizy stosowanych przez dostawc\u0119 zabezpiecze\u0144 oraz faktycznie wdro\u017conych i dzia\u0142aj\u0105cych procedur. Zarz\u0105dzanie ryzykiem nie mo\u017ce ograniczy\u0107 si\u0119 do samego przedsi\u0119biorstwa administratora, ale powinno rozci\u0105ga\u0107 si\u0119 na us\u0142ugi dostarczane przez procesora, szczeg\u00f3lnie w czasach powszechnego outsourcingu, SaaS, SECaaS – stwierdza Artur Piechocki.<\/em><\/p>\n
\nNie mo\u017cna zwleka\u0107 ze sprawdzeniem potencjalnych luk w systemach – ostrzega prezes Urz\u0119du Ochrony Danych Osobowych, informuj\u0105c jednocze\u015bnie o karze w wysoko\u015bci 1 mln z\u0142 dla sp\u00f3\u0142ki ID Finance Poland, w\u0142a\u015bciciela portalu szybkich po\u017cyczek, za brak szybkiego stwierdzenia zagro\u017cenia i jego usuni\u0119cia, co doprowadzi\u0142o do utraty danych.<\/p>\n
\nPo restarcie nie przywr\u00f3cono zabezpiecze\u0144<\/p>\n
\nBrak wystarczaj\u0105cych dzia\u0142a\u0144<\/p>\n