Kara PUODO dla firmy ID Finance Poland

Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną karę.

W jakiej wysokości, dla jakiej firmy i dlaczego?

Karę 1 mln złotych otrzymała firma ID Finance Poland za zwłokę w analizie luk w systemie, czyli brak odpowiedniej reakcji na sygnał o lukach w jej zabezpieczeniach, co doprowadzało do utraty danych klientów.

Zdaniem UODO spółka zbyt długo zwlekała ze sprawdzeniem informacji o tym, że na jednym z jej serwerów dostępne są dane osobowe jej klientów. Osoba nieuprawniona w czasie zwłoki spółki w działaniu skopiowała dane i usunęła je z serwera, a za zwrot skopiowanych danych zażądała zapłaty.

Według Urzędu do naruszenia doszło po tym, jak po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający nie przywrócono odpowiedniej konfiguracji zabezpieczeń. Jak widać na tym przykładzie, jest to kolejna kara naruszenia bezpieczeństwa informacji – cybernetycznego i podwykonawców. Zgodnie z motywem 81 RODO „administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności, jeśli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogą niniejszego rozporządzenia, w tym wymogą bezpieczeństwa przetwarzania”.

Dlatego też wybór dostawcy usług nawet najprostszego hostingu powinien być podjęty na podstawie analizy stosowanych przez dostawcę zabezpieczeń oraz wdrożonych faktycznie procedur przez podwykonawcę – procesora.

Obecnie zarządzanie ryzykiem nie może ograniczać się do samego przedsiębiorstwa administratora, ale również powinno się rozciągać na usługi dostarczane przez procesora, szczególnie w czasach powszechnego outsourcingu.

Obecnie nakładanie wysokich kar przez PUODO za naruszenie bezpieczeństwa dotyczącego przetwarzania danych osobowych wynikać może z pewnego rodzaju fiskalizmu, ale może być to również jedyna droga do zapewnienia prywatności użytkowników Internetu, tak bardzo dziś popularnego.

Tatiana Einbacher

Inspektor Ochrony Danych Osobowych

Udostępnij ten post dalej!

Przeczytaj pozostałe wpisy na blogu!

Dokumentacja RODO

Prowadzenie dokumentacji ochrony danych to obowiązek, który nie ogranicza się do posiadania wewnętrznych procedur na wypadek kontroli UODO. Funkcją dokumentacji jest przede wszystkim uświadamianie pracowników, w jaki sposób powinni postępować z danymi

Czytaj więcej

Jak zadbać o bezpieczeństwo haseł w małej firmie

Temat haseł to jedna z rzeczy, która łączy pracowników w firmie. Niewiele jest osób, które nie narzekają na ich ilość do zapamiętania. Tam, gdzie konieczność zmiany hasła występuje co 30