Milion złotych kary za RODO. Wyciekły dane klientów portalu pożyczkowego
Firma ID Finance Poland, właściciel serwisu pożyczkowego MoneyMan.pl, nie wykazała się refleksem i wpędziła się przez to w poważne kłopoty. Urząd Ochrony Danych Osobowych poinformował właśnie o wymierzeniu kary.
Fot. Gerd Altmann z Pixabay
Prezes UODO uznał, że ID Finance Poland nie zareagował na sygnały o lukach w zabezpieczeniach i naraził klientów na utratę danych, w tym loginów i haseł, dlatego nałożył na spółkę karę w wysokości ponad milion złotych.
Nadzór podkreślił, że nakładając karę, wziął pod uwagę skalę naruszenia, jak i zakres wykradzionych danych oraz zwłokę administratora w podjęciu działań zapobiegawczych.
Haker skopiował dane, usunął z serwera i zażądał okupu
Do wycieku doszło w marcu 2020 r. po tym, jak po restarcie serwera nie przywrócono właściwej konfiguracji zabezpieczeń. Podatność na atak wykrył jeden ze specjalistów ds. cyberbezpieczeństwa, który przekazał administratorowi przykłady dostępnych publicznie informacji.
Administrator zamiast sprawdzić, czy z zabezpieczeniami jest wszystko w porządku, uznał, że to próba wyłudzenia danych i zlekceważył doniesienie. Jego gapiostwo wykorzystał haker, który po skopiowaniu plików usunął je z sieci i za ich odzyskanie zażądał okupu.
UODO: administrator powinien zachować czujność
W opinii UODO do naruszenia nie doszłoby, gdyby administrator od razu zareagował na informację o tym, iż dane na serwerze są niezabezpieczone.
Urząd uznał przy tym, że brak reakcji ze strony podmiotu przetwarzającego na doniesienie o luce w systemie nie wyłącza odpowiedzialności administratora za naruszenie ochrony danych.
I dodał, że postępowanie wykazało, że administrator pobieżnie przeanalizował otrzymany sygnał, nie potraktował go z odpowiednią powagą i nie zobligował podmiotu przetwarzającego do należytego zajęcia się sprawą.
