Kara w wysokości 2 830 410 zł – Polska podejmuje działania następcze – uwagi dotyczące ochrony danych

Kara w wysokości 2 830 410 zł – Polska podejmuje działania następcze – uwagi dotyczące ochrony danych

Polski organ nadzorujący ochronę danych osobowych UODO nałożył karę pieniężną w wysokości stanowiącej równowartość 660 000,00 EUR na spółkę Morele.net Sp. dowód wyrażenia zgody na przetwarzanie danych nałożone. Firma z siedzibą w Krakowie prowadzi różnorodne sklepy internetowe i przechowuje dane klientów w centralnej bazie danych. Według UODO dotknięte są 2,2 mln klientów.

fakty

Kara jest spowodowana m.in. dwoma zdarzeniami, które miały miejsce pod koniec 2018 roku. Osoby nieuprawnione uzyskały dostęp do bazy klientów spółki i zawartych w niej danych osobowych klientów. Firma została o tym poinformowana przez swoich klientów, którzy otrzymali SMS-a z informacją o konieczności uiszczenia dodatkowej opłaty w wysokości 1 zł za realizację zamówienia.

Firma zgłosiła do polskiego organu ochrony danych osobowych nieautoryzowany dostęp do bazy danych swoich klientów. Wskazuje, że łącznie 35 000 klientów ma dostęp także do danych związanych z umowami płatności ratalnych. Dotyczyło to m.in. informacji o numerze seryjnym dowodu osobistego, miesięcznych dochodach netto, stanie cywilnym oraz obowiązkach alimentacyjnych.

Ponadto o naruszeniu powiadomiono ogółem 2,2 miliona klientów, których to dotyczyło.

Naruszenie poufności

Polski organ nadzorczy zarzuca spółce naruszenie art. 5 ust. 1 lit. f), 24 ust. 1, 25 ust. 1, 32 ust. 1 b, d, f RODO poprzez zastosowanie środków nieskutecznych technicznych i organizacyjnych aspektów dostępu kontrola i uwierzytelnianie („dostęp i uwierzytelnianie„) wybrał. Organ nadzorczy ochrony danych twierdzi, że są to niezbędne środki bezpieczeństwa, mające na celu uniemożliwienie nieuprawnionego dostępu do systemu informatycznego przeznaczonego do przetwarzania danych osobowych – oczywiście z uwzględnieniem aktualnego stanu wiedzy. Organ nadzorujący ochronę danych odwołuje się w tym zakresie do zaleceń ENISA (Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji), Fundacji OWASP oraz NIST (Krajowego Instytutu Standardów i Technologii), które zalecają dwuetapowy mechanizm uwierzytelniania dla systemów z dostępem do danych osobowych.

Ponadto wybór mechanizmu uwierzytelniania musi być zawsze poprzedzony odpowiednią analizą ryzyka z odpowiednią oceną potrzeby ochrony. Przedsiębiorstwo nie dopełniło tego obowiązku w odpowiedni sposób. Firma powinna jednak była w wystarczającym stopniu zdawać sobie sprawę z zagrożeń związanych z phishingiem, co CERT Polska podkreślała już w swoich raportach rocznych za lata 2016-2018.

Naruszenie legalności i odpowiedzialności

Dodatkowo Polski Organ Nadzoru Ochrony Danych zarzuca spółce naruszenie art. 5 ust. 1 lit. a) pkt 2, 6 ust. 1 lit. a, 7 ust. 1 RODO poprzez brak możliwości udowodnienia, że ​​uzyskała (jeżeli dotyczy) zgody osób, których dane dotyczą, na przetwarzanie danych wynikających z umów płatności ratalnych. Organ nadzorczy ochrony danych pominął następujące informacje: treść zgody, datę jej udzielenia, załączoną informację o ochronie danych, ewentualne wycofanie zgody. Ponadto w grudniu 2018 roku po przeprowadzeniu analizy ryzyka spółka usunęła z bazy odpowiednie dane dotyczące umów ratalnych, jednak zdaniem organu nadzorczego ds. ochrony danych usunięcie to nie zostało dostatecznie udokumentowane.

Obliczanie kary

Przy ustalaniu kary brana jest pod uwagę skala naruszenia (2,2 mln klientów) oraz fakt, że firma w ramach prowadzonej działalności przetwarza dane osobowe w sposób profesjonalny i w związku z tym musi wyznaczać standardy. Kluczową rolę odgrywają wyższe standardy bezpieczeństwa.

Uwzględniono jednak także okoliczności łagodzące, takie jak dobra współpraca z organem nadzorczym, brak możliwych do zidentyfikowania wcześniejszych naruszeń RODO oraz brak możliwych do zidentyfikowania korzyści finansowych dla spółki w naruszeniach.

Decyzja nie jest jeszcze ostateczna. Spółka zapowiedział podjęcie działań w związku z nałożoną karą.

Wniosek

Sprawa pokazuje, że wybór środków technicznych i organizacyjnych mających na celu ochronę danych osobowych musi zawsze opierać się na ocenie potrzeb w zakresie ochrony opartej na ryzyku. Co więcej, po raz kolejny pokazuje to, że odpowiedzialności wynikającej z RODO nie należy lekceważyć. Jeśli nie można dostarczyć wymaganych dokumentów potwierdzających, będzie to obowiązkiem firmy.

Ale jak zawsze dobra współpraca z organem nadzorczym wydaje się opłacać; jest to co najmniej uważane za okoliczność łagodzącą dla przedsiębiorstwa. Odpowiednią współpracę z organami nadzorczymi należy zatem obecnie uznać za dobrą praktykę.

Grayson Hayes

„Komunikator. Profesjonalny badacz kawy. Irytująco skromny fanatyk popkultury. Oddany student. Przyjazny ćpun mediów społecznościowych”.

Related Posts

Czołgi bojowe przyszłości – Pistorius w Paryżu

Czołgi bojowe przyszłości – Pistorius w Paryżu

Niemcy i Francja, wspólnie opracowując zaawansowany system walki lądowej, chcą przygotować się na zagrożenia militarne nadchodzących dziesięcioleci. Minister obrony Boris Pistorius (SPD) i jego francuski odpowiednik Sébastien Lecornu podpisali w Paryżu porozumienie („Memorandum of Understanding”), które określa także od dawna

Borgwarner kupuje Delphi Technologies

Borgwarner kupuje Delphi Technologies

Przejęcie Delphi Technologies przez Borgwarner nastąpi poprzez odkup wszystkich udziałów. Frédéric Lissalde, prezes i dyrektor generalny Borgwarner, chce stworzyć wiodącą firmę zajmującą się systemami napędowymi, dobrze ustawioną na przyszłość. „Jesteśmy pewni, że wspólnie możemy szybciej opracować oferty w tematycznym obszarze

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *