Prezes UODO nałożył ponad milion złotych kary na spółkę ID Finance Poland za wyciek danych osobowych użytkowników serwisu internetowego MoneyMan.pl. Kara została nałożona za brak egzekucji obowiązków przez administratora względem podmiotu przetwarzającego jego dane na podstawie umowy powierzenia przetwarzania danych osobowych. 

 

Przetwarzanie danych osobowych jest egzekwowane przez uprawnione do tego organy kontroli,
a niestosowanie się do obowiązujących w tym zakresie przepisów Ogólnego Rozporządzenia
o Ochronie Danych może być bardzo kosztowne, jak pokazuje przykład właściciela serwisu MoneyMan.pl. W decyzji UODO udzielił cennych wskazówek, jak powinna wyglądać współpraca między administratorem a podmiotem przetwarzającym dane osobowe. 

 

UODO przeprowadził kontrolę po wycieku danych, do którego doszło w wyniku braku przywrócenia właściwej konfiguracji zabezpieczeń po restarcie serwerów, na których przechowywane były dane osobowe. Podatność systemów została wykryta przez jednego ze specjalistów ds. cyberbezpieczeństwa, jednak administrator zignorował informację i nie sprawdził, czy jego dane osobowe przetwarzane przez procesora są należycie zabezpieczone. Dopiero, gdy lukę wykrył haker, który po skopiowaniu danych zażądał okupu i usunął je z serwerów, administrator zaczął analizować problem. W ten sposób nieuprawniony podmiot był w posiadaniu danych takich jak: imię i nazwisko, poziom wykształcenia, adres e-mail, dane dotyczące zatrudnienia, adres e-mail osoby, której klient chce polecić pożyczkę, dane dotyczące zarobków, dane dotyczące stanu cywilnego, numer telefonu (stacjonarnego, komórkowego, wcześniej używanego numeru telefonu), numer PESEL, narodowość, numer NIP, hasło, miejsce urodzenia, adres korespondencyjny, adres zameldowania, numer telefonu do miejsca pracy oraz numer rachunku bankowego.

 

Prezes UODO stwierdził naruszenie przepisów RODO polegające na niewdrożeniu zarówno w fazie projektowania procesu przetwarzania jak i w czasie samego przetwarzania, odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych oraz zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych.

 

Za najpoważniejsze naruszenie mające wpływ na wysokość nałożonej kary w ocenie Prezesa Urzędu uznano wysoką liczbę osób dotkniętych naruszeniem – 140 699 klientów spółki oraz zakres wykradzionych danych. Wyciekły niezaszyfrowane hasła, co może skutkować nieautoryzowanymi logowaniami w innych serwisach, jeżeli klienci spółki posługiwali się na nich tym samym hasłem oraz adresem e-mail. Wpływ na wysokość kary miał także długi okres czasu, jaki upłynął od momentu stwierdzenia naruszenia do podjęcia działań zapobiegawczych.

 

Jak pokazuje przykład spółki ID Finance Poland, przepisy dotyczące ochrony danych osobowych są egzekwowane przez uprawnione do tego organy, a kary nakładane za naruszenia w tym zakresie potrafią być wysokie. Jeśli są Państwo zainteresowani prawidłowym przetwarzaniem danych osobowych, zapraszamy do kontaktu. Nasz zespół ekspertów w zakresie ochrony danych osobowych chętnie udzieli Państwu wsparcia w tym zakresie.

Kontakt

Logo LinkedIn Logo LinkedIn

Krzysztof Jarosiński

Partner, radca prawny, audytor wiodący ISO 27001