Ochrona danych osobowych. 1 mln zł kary dla serwisu pożyczkowego za zwłokę w analizie luk w systemie

Karę 1 mln zł nałożono na spółkę ID Finance Poland, właściciela portalu pożyczkowego MoneyMan.pl, m.in. za brak odpowiedniej reakcji na sygnał o lukach w jej zabezpieczeniach, co doprowadziło do utraty danych klientów - poinformował w czwartek Urząd Ochrony Danych Osobowych.

Ukarana firma nie podeszła odpowiedzialnie do wycieku danychUkarana firma nie podeszła odpowiedzialnie do wycieku danych
Źródło zdjęć: © Pixabay
Martyna Kośka
oprac.  Martyna Kośka

UODO jest zdania, że ukarana spółka nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera.

Za zwrot wykradzionych informacji zażądała okupu. Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych organowi nadzoru.

Prezes UODO uznał więc, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, przez co doszło do naruszenia zasady poufności danych i nałożył na spółkę karę w wysokości ponad 1 mln zł – czytamy w komunikacie na stronie internetowej.

Odpowiadał za wdrożenie RODO. "To moja porażka"

UODO, nakładając karę za to, że w wyniku szeregu zaniedbań administratora doszło do naruszenia poufności danych osobowych, wziął pod uwagę skalę naruszenia, jak i zakres wykradzionych danych. Uwzględnił też fakt, że wyciekły także niezaszyfrowane hasła użytkowników, więc istnieje możliwość posłużenia się tymi danymi do zalogowania się na różnych kontach, jeżeli użytkownicy w innych serwisach posługiwali się tym samym loginem (np. e-mail) i hasłem.

SGGW ukarana za wyciek danych kandydatów na studia. Ma zapłacić 50 tys. zł
SGGW ukarana za wyciek danych kandydatów na studia. Ma zapłacić 50 tys. zł

Przy wymierzaniu wysokości kary organ wziął też pod uwagę zwłokę administratora w podjęciu działań zapobiegawczych.

Według Urzędu do naruszenia doszło po tym, jak po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający (firmę hostingową) nie przywrócono odpowiedniej konfiguracji zabezpieczeń. Administrator został powiadomiony o tym fakcie przez jednego ze specjalistów zajmujących się cyberbezpieczeństwem, który wykrył podatność i wskazał przykładowe, dostępne publicznie informacje.

Jednak - zdaniem UODO - administrator zamiast rzetelnie sprawdzić jego doniesienia i monitorować podmiot przetwarzający, czy należycie zajął się sprawą pod kątem sprawdzenia zabezpieczeń, miał wątpliwości, czy nie jest to próba wyłudzenia od niego innych danych. Wskazywał to w korespondencji do podmiotu przetwarzającego. Przez to nie zajęto się od razu sprawdzeniem wskazanych luk w systemie i kilka dni później doszło do wykradzenia danych z tego serwera.

Wyciek danych w Virgin Mobile. Atak hakerski na operatora
Wyciek danych w Virgin Mobile. Atak hakerski na operatora

UODO ocenił, że do tego naruszenia nie doszłoby, gdyby administrator od razu odpowiednio zareagował na informację o tym, iż dane na jego serwerze są niezabezpieczone. Administrator powinien utrzymywać zdolność do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń, aby mieć możliwość podjęcia odpowiednich działań, uznał organ.

Ponadto administrator powinien być w stanie szybko zbadać dany incydent pod kątem tego, czy doszło do naruszenia ochrony danych oraz podjąć odpowiednie działania zaradcze.

Źródło artykułu: money.pl
Wybrane dla Ciebie
Tankowce zawracają z Cieśniny Ormuz. Orlen wydał oświadczenie ws. ropy
Tankowce zawracają z Cieśniny Ormuz. Orlen wydał oświadczenie ws. ropy
LOT zawraca samolot. ZEA zamykają przestrzeń
LOT zawraca samolot. ZEA zamykają przestrzeń
Napięcie w Cieśninie Ormuz. "Żaden statek nie przepłynie"
Napięcie w Cieśninie Ormuz. "Żaden statek nie przepłynie"
Ataki pogłębiają kryzys Iranu. Gospodarka pod rosnącą presją
Ataki pogłębiają kryzys Iranu. Gospodarka pod rosnącą presją
Ropa po 150 dol.? Skandynawia kreśli czarne scenariusze
Ropa po 150 dol.? Skandynawia kreśli czarne scenariusze
Ataki Iranu obejmują Katar. To zagrożenie dla dostaw gazu do Polski? Minister Energii odpowiada
Ataki Iranu obejmują Katar. To zagrożenie dla dostaw gazu do Polski? Minister Energii odpowiada
Atak na Iran zamyka niebo. Loty masowo wstrzymywane
Atak na Iran zamyka niebo. Loty masowo wstrzymywane
Polska sprowadza LNG z Kataru. "Źródło ogromnej niestabilności"
Polska sprowadza LNG z Kataru. "Źródło ogromnej niestabilności"
Czy USA mają gotowy plan politycznej transformacji Iranu? [OPINIA]
Czy USA mają gotowy plan politycznej transformacji Iranu? [OPINIA]
Izrael i USA atakują Iran. Ministerstwo Infrastruktury reaguje
Izrael i USA atakują Iran. Ministerstwo Infrastruktury reaguje
USA i Izrael uderzają w Iran. Stawką jest bomba atomowa
USA i Izrael uderzają w Iran. Stawką jest bomba atomowa
Połączenia do Izraela. LOT podjął decyzję. Jest komunikat
Połączenia do Izraela. LOT podjął decyzję. Jest komunikat