Milion złotych kary za RODO. Wyciekły dane klientów portalu pożyczkowego
Firma ID Finance Poland, właściciel serwisu pożyczkowego MoneyMan.pl, nie wykazała się refleksem i wpędziła się przez to w poważne kłopoty. Urząd Ochrony Danych Osobowych poinformował właśnie o wymierzeniu kary.
Fot. Gerd Altmann z Pixabay
Prezes UODO uznał, że ID Finance Poland nie zareagował na sygnały o lukach w zabezpieczeniach i naraził klientów na utratę danych, w tym loginów i haseł, dlatego nałożył na spółkę karę w wysokości ponad milion złotych.
Nadzór podkreślił, że nakładając karę, wziął pod uwagę skalę naruszenia, jak i zakres wykradzionych danych oraz zwłokę administratora w podjęciu działań zapobiegawczych.
Wysokość kary powinna spełnić funkcję represyjną, ale i prewencyjną. W ocenie organu powinna ona zapobiec podobnym naruszeniom w przyszłości zarówno w ukaranej spółce, jak i u innych administratorów
– podkreślił urząd.
Haker skopiował dane, usunął z serwera i zażądał okupu
Do wycieku doszło w marcu 2020 r. po tym, jak po restarcie serwera nie przywrócono właściwej konfiguracji zabezpieczeń. Podatność na atak wykrył jeden ze specjalistów ds. cyberbezpieczeństwa, który przekazał administratorowi przykłady dostępnych publicznie informacji.
Administrator zamiast sprawdzić, czy z zabezpieczeniami jest wszystko w porządku, uznał, że to próba wyłudzenia danych i zlekceważył doniesienie. Jego gapiostwo wykorzystał haker, który po skopiowaniu plików usunął je z sieci i za ich odzyskanie zażądał okupu.
Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych organowi nadzoru.
– wskazał urząd.
UODO: administrator powinien zachować czujność
W opinii UODO do naruszenia nie doszłoby, gdyby administrator od razu zareagował na informację o tym, iż dane na serwerze są niezabezpieczone.
Urząd uznał przy tym, że brak reakcji ze strony podmiotu przetwarzającego na doniesienie o luce w systemie nie wyłącza odpowiedzialności administratora za naruszenie ochrony danych.
To administrator musi mieć zdolność do wykrywania naruszeń, zaradzania im oraz ich zgłaszania – to kluczowy element środków technicznych i organizacyjnych
– wyjaśnił urząd.
I dodał, że postępowanie wykazało, że administrator pobieżnie przeanalizował otrzymany sygnał, nie potraktował go z odpowiednią powagą i nie zobligował podmiotu przetwarzającego do należytego zajęcia się sprawą.
