Trwa ładowanie...
Notowania
Przejdź na
oprac. Martyna Kośka
|

Ochrona danych osobowych. 1 mln zł kary dla serwisu pożyczkowego za zwłokę w analizie luk w systemie

3
Podziel się:

Karę 1 mln zł nałożono na spółkę ID Finance Poland, właściciela portalu pożyczkowego MoneyMan.pl, m.in. za brak odpowiedniej reakcji na sygnał o lukach w jej zabezpieczeniach, co doprowadziło do utraty danych klientów - poinformował w czwartek Urząd Ochrony Danych Osobowych.

Ochrona danych osobowych. 1 mln zł kary dla serwisu pożyczkowego za zwłokę w analizie luk w systemie
Ukarana firma nie podeszła odpowiedzialnie do wycieku danych (Pixabay)
bEJkyiyd

UODO jest zdania, że ukarana spółka nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera.

Za zwrot wykradzionych informacji zażądała okupu. Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych organowi nadzoru.

Prezes UODO uznał więc, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, przez co doszło do naruszenia zasady poufności danych i nałożył na spółkę karę w wysokości ponad 1 mln zł – czytamy w komunikacie na stronie internetowej.

bEJkyiyf
Zobacz także: Odpowiadał za wdrożenie RODO. "To moja porażka"

UODO, nakładając karę za to, że w wyniku szeregu zaniedbań administratora doszło do naruszenia poufności danych osobowych, wziął pod uwagę skalę naruszenia, jak i zakres wykradzionych danych. Uwzględnił też fakt, że wyciekły także niezaszyfrowane hasła użytkowników, więc istnieje możliwość posłużenia się tymi danymi do zalogowania się na różnych kontach, jeżeli użytkownicy w innych serwisach posługiwali się tym samym loginem (np. e-mail) i hasłem.

bEJkyiyl

Przy wymierzaniu wysokości kary organ wziął też pod uwagę zwłokę administratora w podjęciu działań zapobiegawczych.

Według Urzędu do naruszenia doszło po tym, jak po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający (firmę hostingową) nie przywrócono odpowiedniej konfiguracji zabezpieczeń. Administrator został powiadomiony o tym fakcie przez jednego ze specjalistów zajmujących się cyberbezpieczeństwem, który wykrył podatność i wskazał przykładowe, dostępne publicznie informacje.

Jednak - zdaniem UODO - administrator zamiast rzetelnie sprawdzić jego doniesienia i monitorować podmiot przetwarzający, czy należycie zajął się sprawą pod kątem sprawdzenia zabezpieczeń, miał wątpliwości, czy nie jest to próba wyłudzenia od niego innych danych. Wskazywał to w korespondencji do podmiotu przetwarzającego. Przez to nie zajęto się od razu sprawdzeniem wskazanych luk w systemie i kilka dni później doszło do wykradzenia danych z tego serwera.

bEJkyiym

UODO ocenił, że do tego naruszenia nie doszłoby, gdyby administrator od razu odpowiednio zareagował na informację o tym, iż dane na jego serwerze są niezabezpieczone. Administrator powinien utrzymywać zdolność do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń, aby mieć możliwość podjęcia odpowiednich działań, uznał organ.

Ponadto administrator powinien być w stanie szybko zbadać dany incydent pod kątem tego, czy doszło do naruszenia ochrony danych oraz podjąć odpowiednie działania zaradcze.

Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl
bEJkyiyG
Źródło:
money.pl
KOMENTARZE
(3)
Pytacz
9 miesięcy temu
Mam pytanie czy UODO ten pozyskany milion przekażę pokrzywdzonym osobom jako rekompensatę do podziału, czy jak zawsze pójdzie na nagrody dla tych którym się zawsze należą???
Pinokio
10 miesięcy temu
Nawet nie wiecie ile waszych danych lata sobie po necie, na nie publicznych stronach. Administratorzy to zwykle mają takie żeczy gdzieś.
brx
10 miesięcy temu
UODO nakłada na firmę finansową 1mln. kary za masowy wyciek danych osobowych a UOKiK nakłada na jednego przedsiębiorcę w jednym roku dwie kary łącznie ponad 800mln zł za nieprawidłowe umowy z dostawcami. Gdzie tu współmierność.
bEJkyiyH