Karę w wysokości ponad 1 mln zł na spółkę ID Finance Poland nałożył prezes Urzędu Ochrony Danych Osobowych. Przyczyną była niezdolność do szybkiego stwierdzenia zagrożenia i jego usunięcia, która spowodowała utratę danych.

- UODO zaznacza, że administrator pobieżnie przeanalizował otrzymany sygnał, nie potraktował go z odpowiednią powagą.
- Co więcej nie zobligował podmiotu przetwarzającego dane osobowe do należytego zajęcia się sprawą.
- Za to przewinienie UODO nałożył na firmę karę w wysokości 1 mln zł.
Jak wyjaśnia UODO, ukarana spółka (właściciel portalu pożyczkowego MoneyMan.pl) nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach. Nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera. Za zwrot wykradzionych informacji zażądała okupu. Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych organowi nadzoru.
UODO ustalił, że do naruszenia doszło po tym, jak po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający (firmę hostingową) nie przywrócono odpowiedniej konfiguracji zabezpieczeń.
Czytaj więcej: Problemy z RODO? Wszystko co rekruterzy muszą wiedzieć
Jak podaje urząd, administrator został powiadomiony o tym przez jednego ze specjalistów zajmujących się cyberbezpieczeństwem, który wykrył podatność i wskazał przykładowe, dostępne publicznie informacje. Administrator zamiast sprawdzić jego doniesienia i monitorować podmiot przetwarzający czy należycie zajął się sprawą pod kątem sprawdzenia zabezpieczeń, miał wątpliwości, czy nie jest to próba wyłudzenia od niego innych danych, co wskazywał w korespondencji do podmiotu przetwarzającego. Przez to nie zajęto się od razu sprawdzeniem wskazanych luk w systemie i kilka dni później doszło do wykradzenia danych z serwera.
UODO zaznaczył, że administrator pobieżnie przeanalizował otrzymany sygnał, nie potraktował go z odpowiednią powagą i nie zobligował podmiotu przetwarzającego do należytego zajęcia się sprawą.


KOMENTARZE (0)