Jak stwierdził UODO, spółka (właściciel portalu pożyczkowego MoneyMan.pl) nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach. Nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera. Za zwrot wykradzionych informacji zażądała okupu. Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych organowi nadzoru.

Po restarcie nie przywrócono zabezpieczeń

W ramach postępowania UODO ustalił, że do naruszenia doszło po tym, jak po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający (firmę hostingową) nie przywrócono odpowiedniej konfiguracji zabezpieczeń. Administrator został powiadomiony o tym przez jednego ze specjalistów zajmujących się cyberbezpieczeństwem, który wykrył podatność i wskazał przykładowe, dostępne publicznie informacje. - Administrator zamiast rzetelnie sprawdzić jego doniesienia i monitorować podmiot przetwarzający czy należycie zajął się sprawą pod kątem sprawdzenia zabezpieczeń, miał wątpliwości, czy nie jest to próba wyłudzenia od niego innych danych, co wskazywał w korespondencji do podmiotu przetwarzającego. Przez to nie zajęto się od razu sprawdzeniem wskazanych luk w systemie i kilka dni później doszło do wykradzenia danych z tego serwera - czytamy w raporcie UODO.

 


Zabrakło szybkiej reakcji administratora

Zdaniem Urzędu, do tego naruszenia nie doszłoby, gdyby administrator od razu odpowiednio zareagował na informację o tym, iż dane na jego serwerze są niezabezpieczone. Zdaniem UODO administrator powinien utrzymywać zdolność do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń, aby mieć możliwość podjęcia odpowiednich działań. Ponadto administrator powinien być w stanie szybko zbadać dany incydent pod kątem tego, czy doszło do naruszenia ochrony danych oraz podjąć odpowiednie działania zaradcze.

Czytaj także: RODO: Swobodny przepływ danych do Wlk. Brytanii w dodatkowym okresie przejściowym>>

Organ nadzoru uznał też, że brak odpowiednio szybkiej reakcji ze strony podmiotu przetwarzającego na doniesienie o luce w systemie nie wyłącza odpowiedzialności administratora za naruszenie ochrony danych. To administrator musi mieć zdolność do wykrywania naruszeń, zaradzania im oraz ich zgłaszania – to kluczowy element środków technicznych i organizacyjnych.

Brak wystarczających działań

W ocenie UODO spółka, mimo szybkiego przekazania podmiotowi przetwarzającemu informacji o potencjalnej luce w zabezpieczeniach serwera, nie podjęła działań w sposób wystarczający. Postępowanie wykazało, że administrator pobieżnie przeanalizował otrzymany sygnał, nie potraktował go z odpowiednią powagą i nie zobligował podmiotu przetwarzającego do należytego zajęcia się sprawą.

UODO podkreśla, że nakładając karę za to, że w wyniku szeregu zaniedbań administratora doszło do naruszenia poufności danych osobowych, wziął pod uwagę skalę naruszenia, jak i zakres wykradzionych danych. Ponadto z uwagi na fakt, że wyciekły też niezaszyfrowane hasła, istnieje możliwość posłużenia się tymi danymi do zalogowania się na różnych kontach klientów, jeżeli w innych serwisach posługiwali się tym samym loginem (np. e-mail) i hasłem. Przy wymierzaniu wysokości kary organ wziął też pod uwagę zwłokę administratora w podjęciu działań zapobiegawczych.

- Wysokość kary powinna spełnić funkcję represyjną, ale i prewencyjną. W ocenie organu powinna ona zapobiec podobnym naruszeniom w przyszłości zarówno w ukaranej spółce, jak i u innych administratorów - czytamy w uzasadnieniu Urzędu Ochrony Danych Osobowych.

Wybór dostawcy po analizie stosowanych zabezpieczeń

- Kolejna kara Prezesa UODO dotycząca naruszenia bezpieczeństwa informacji (cybernetycznego) i ponownie problem dotyczy podwykonawcy (procesora). Okazuje się, że wiele wysokich kar związana jest z wyciekami danych, które stanowią konsekwencję niestosowania wystarczających zabezpieczeń sieci i informacji, głównie przez profesjonalnych podwykonawców, a w zasadzie podwykonawców, którzy powinni być profesjonalistami - komentuje Artur Piechocki - radca prawny, partner zarządzający w APLAW. 

Ekspert w tym kontekście przytacza treść motywu 81 RODO: „administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje - w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby - wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania”.

- Decyzja o wyborze dostawcy usług elektronicznych, nawet najprostszego hostingu, powinna zostać podjęta na podstawie analizy stosowanych przez dostawcę zabezpieczeń oraz faktycznie wdrożonych i działających procedur. Zarządzanie ryzykiem nie może ograniczyć się do samego przedsiębiorstwa administratora, ale powinno rozciągać się na usługi dostarczane przez procesora, szczególnie w czasach powszechnego outsourcingu, SaaS, SECaaS - stwierdza Artur Piechocki. Więcej>>