PARTNERZY PORTALU partner portalu partner portalu partner portalu

RODO w praktyce. Widzisz błąd, napraw go od ręki. Inaczej kara

Karę w wysokości ponad 1 mln zł na spółkę ID Finance Poland nałożył prezes Urzędu Ochrony Danych Osobowych. Przyczyną była niezdolność do szybkiego stwierdzenia zagrożenia i jego usunięcia, która spowodowała utratę danych.

  • Autor:KDS
  • 7 sty 2021 11:53
RODO w praktyce. Widzisz błąd, napraw go od ręki. Inaczej kara
Brak odpowiednio szybkiej reakcji ze strony podmiotu przetwarzającego na doniesienie o luce w systemie nie wyłącza odpowiedzialności administratora za naruszenie ochrony danych. (Fot. Pixabay)
REKLAMA
  • UODO zaznacza, że administrator pobieżnie przeanalizował otrzymany sygnał, nie potraktował go z odpowiednią powagą.
  • Co więcej nie zobligował podmiotu przetwarzającego dane osobowe do należytego zajęcia się sprawą.
  • Za to przewinienie UODO nałożył na firmę karę w wysokości 1 mln zł. 

Jak wyjaśnia UODO, ukarana spółka (właściciel portalu pożyczkowego MoneyMan.pl) nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach. Nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera. Za zwrot wykradzionych informacji zażądała okupu. Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych organowi nadzoru.

UODO ustalił, że do naruszenia doszło po tym, jak po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający (firmę hostingową) nie przywrócono odpowiedniej konfiguracji zabezpieczeń.

Czytaj więcej: Problemy z RODO? Wszystko co rekruterzy muszą wiedzieć

Jak podaje urząd, administrator został powiadomiony o tym przez jednego ze specjalistów zajmujących się cyberbezpieczeństwem, który wykrył podatność i wskazał przykładowe, dostępne publicznie informacje. Administrator zamiast sprawdzić jego doniesienia i monitorować podmiot przetwarzający czy należycie zajął się sprawą pod kątem sprawdzenia zabezpieczeń, miał wątpliwości, czy nie jest to próba wyłudzenia od niego innych danych, co wskazywał w korespondencji do podmiotu przetwarzającego. Przez to nie zajęto się od razu sprawdzeniem wskazanych luk w systemie i kilka dni później doszło do wykradzenia danych z serwera.

UODO zaznaczył, że administrator pobieżnie przeanalizował otrzymany sygnał, nie potraktował go z odpowiednią powagą i nie zobligował podmiotu przetwarzającego do należytego zajęcia się sprawą.

- Brak odpowiednio szybkiej reakcji ze strony podmiotu przetwarzającego na doniesienie o luce w systemie nie wyłącza odpowiedzialności administratora za naruszenie ochrony danych. To administrator musi mieć zdolność do wykrywania naruszeń, zaradzania im oraz ich zgłaszania – to kluczowy element środków technicznych i organizacyjnych - wskazał UODO.

Materiał chroniony prawem autorskim - zasady przedruków określa regulamin.
PODOBAŁO SIĘ? PODZIEL SIĘ NA FACEBOOKU

Słowa kluczowe

Więcej

KOMENTARZE (0)

Do artykułu: RODO w praktyce. Widzisz błąd, napraw go od ręki. Inaczej kara

Dodając komentarz, oświadczasz, że akceptujesz regulamin forum

Redakcja poleca

  • PARTNER SERWISU partner portalu

Najnowsze

Popularne

Nie przegap żadnej nowości!

Subskrybuj newsletter PulsHR.pl Zamawiając newsletter akceptujsz Politykę prywatności portalu


REKLAMA

Używamy ciasteczek, by ułatwić korzystanie z naszego serwisu.
Klikając jakikolwiek odnośnik na tej stronie wyrażasz zgodę na ustawienie plików cookie.

Nie, chcę się dowiedzieć więcej »

Tak, zgadzam się

Drogi Użytkowniku!

W związku z odwiedzaniem naszych serwisów internetowych możemy przetwarzać Twój adres IP, pliki cookies i podobne dane nt. aktywności lub urządzeń użytkownika. O celach tego przetwarzania zostaniesz odrębnie poinformowany w celu uzyskania na to Twojej zgody. Jeżeli dane te pozwalają zidentyfikować Twoją tożsamość, wówczas będą traktowane dodatkowo jako dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady 2016/679 (RODO).

Administratora tych danych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz w Polityce Prywatności pod tym linkiem.

Jeżeli korzystasz także z innych usług dostępnych za pośrednictwem naszych serwisów, przetwarzamy też Twoje dane osobowe podane przy zakładaniu konta, rejestracji na eventy, zamawianiu prenumeraty, newslettera, alertów oraz usług online (w tym Strefy Premium, raportów, rankingów lub licencji na przedruki).

Administratorów tych danych osobowych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz również w Polityce Prywatności pod tym linkiem. Dane zbierane na potrzeby różnych usług mogą być przetwarzane w różnych celach, na różnych podstawach oraz przez różnych administratorów danych.

Pamiętaj, że w związku z przetwarzaniem danych osobowych przysługuje Ci szereg gwarancji i praw, a przede wszystkim prawo do sprzeciwu wobec przetwarzania Twoich danych. Prawa te będą przez nas bezwzględnie przestrzegane. Jeżeli więc nie zgadzasz się z naszą oceną niezbędności przetwarzania Twoich danych lub masz inne zastrzeżenia w tym zakresie, koniecznie zgłoś sprzeciw lub prześlij nam swoje zastrzeżenia pod adres odo@ptwp.pl.

Zarząd PTWP-ONLINE Sp. z o.o.

Przejdź do serwisu