Niemal 3 mln zł kary za naruszenie RODO

Biznes
Niemal 3 mln zł kary za naruszenie RODO
Pxhere

Prezes Urzędu Ochrony Danych Osobowych nałożył 2,8 mln zł kary na spółkę Morele.net za niewystarczające zabezpieczenia danych osobowych - poinformował w czwartek wiceprezes UODO Mirosław Sanek. Według Urzędu skutkiem uchybień była kradzież danych ponad 2 mln osób.

Urząd stwierdził, że naruszenie miało "znaczną wagę i poważny charakter" oraz dotyczyło dużej liczby osób. W wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla osób, których dane dostały się w niepowołane ręce, na przykład tzw. kradzieży tożsamości.

 

Jako jeden z przejawów naruszenia UODO wymienił brak podwójnego uwierzytelniania klientów, w rezultacie czego do ataku hakerskiego można było z powodzeniem zastosować metodę "phishingu", czyli spreparowanej bramki płatności do wyłudzania danych uwierzytelniających.

 

PUODO: spółka naruszyła zasady RODO

 

Wiceprezes UODO na konferencji prasowej zwrócił uwagę, że większość skradzionych dane zawierała imię, nazwisko, telefon, e-mail, adres do doręczeń. Jednak - jak podkreślił - wyciekły też dane ok. 35 tys. osób z ich wniosków ratalnych. Zakres tych danych był szerszy - obejmował numery PESEL, dokumentów tożsamości, wykształcenie, adres zameldowania, źródło dochodu, wysokość zobowiązań kredytowych czy alimentacyjnych.

 

- Kara jest nie za to, że ktoś się włamał, ale za niewystarczające środki zabezpieczające. Nie karzemy podwójnie - oświadczył Sanek. Podkreślił, że "decyzja bazuje na złamaniu zasady poufności danych i nieadekwatnego zabezpieczenia danych.

 

W decyzji nakładającej karę Prezes UODO stwierdził, że spółka naruszyła zapisy rozporządzenia RODO, nie stosując wystarczających środków technicznych ochrony danych osobowych. W dodatku spółka nie wykazała, skąd wynikały zgody na przetwarzanie danych klientów w systemie spłat ratalnych - zaznaczył wiceprezes Urzędu.

 

"Zastosowano miarkowanie kary"

 

Sanek podkreślał, że decyzje zawsze podejmowane są na podstawie analizy konkretnego, jednostkowego przypadku. Po karę pieniężną, czyli najcięższy środek w arsenale Prezes UODO sięga, gdy uzna, że inne środki, np. upomnienie, są nieadekwatne.

 

- Zastosowano miarkowanie kary - firma nie doprowadziła do naruszeń w sposób celowy, nie możemy jej przypisać umyślności, nie możemy zarzucić unikania współpracy z organem - zaznaczył. Były to okoliczności łagodzące.

 

Urząd zwrócił także uwagę na nieskuteczne monitorowanie potencjalnych zagrożeń i brak procedur reagowania na wypadek pojawienia się nietypowego ruchu w sieci. Według UODO postępowanie wykazało także inne naruszenia, ale to brak odpowiednich zabezpieczeń i procedur przesądził o nałożeniu kary.

wka/ PAP

Chcesz być na bieżąco z najnowszymi newsami?

Jesteśmy w aplikacji na Twój telefon. Sprawdź nas!

Komentarze