Spółka ID Finance Polska (serwis MoneyMan.pl) utraciła dane osobowe klientów, co wynikało z luki w zabezpieczeniach systemu i braku szybkiej reakcji. W związku z tym Urząd Ochrony Danych Osobowych nałożył na nią karę w wysokości 1mln zł.
Luki w zabezpieczeniach
Do naruszenia doszło po restarcie jednego z serwerów, kiedy to nie przywrócono odpowiedniej konfiguracji zabezpieczeń. Administrator został powiadomiony o potencjalnym zagrożeniu, aczkolwiek nie potraktował go poważnie. Dzięki temu kilka dni później osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera. Za zwrot wykradzionych informacji zażądała okupu. Wtedy to spółka podjęła się analizy zabezpieczeń, zajęła się luką i zgłosiła zajście do organu nadzoru.
Stanowisko UODO
Zdaniem Urzędu, do naruszenia mogłoby nie dojść gdyby administrator od razu odpowiednio zareagował na informację o tym, iż dane na jego serwerze są niezabezpieczone. UODO w decyzji podkreślił, że po wykryciu incydentu bezpieczeństwa należy przeprowadzić wstępne postępowanie, które ma doprowadzić do jak najszybszego ustalenia czy doszło do naruszenia. Organ nadzoru uznał też, że brak odpowiednio szybkiej reakcji ze strony podmiotu przetwarzającego na doniesienie o luce w systemie nie wyłącza odpowiedzialności administratora za naruszenie ochrony danych.
Nałożona kara
UODO wymierzając karę, uwzględnił skalę naruszenia, jak i zakres wykradzionych danych. Ponadto z uwagi na fakt, że wyciekły też niezaszyfrowane hasła, istnieje możliwość posłużenia się tymi danymi do zalogowania się na różnych kontach klientów, jeżeli w innych serwisach posługiwali się tym samym loginem i hasłem. Podczas nakładania kary istotna dla organu była zwłoka administratora w podjęciu działań zapobiegawczych. Wysokość kary powinna spełnić funkcję represyjną, ale i prewencyjną. Organ twierdzi, iż powinna ona zapobiec podobnym naruszeniom w przyszłości w ukaranej spółce. A co więcej ma też ona stanowić przestrogę dla innych podmiotów i w konsekwencji zapewnić większy poziom staranności w przechowywaniu danych osobowych.