Ponad 1 mld złotych – kary na taką sumę w ciągu dwóch dni nałożył brytyjski odpowiednik Urzędu Ochrony Danych Osobowych (Information Commissioner Office) na dwie globalne firmy.
British Airways oraz sieć hoteli Marriott mają zapłacić odpowiednio 183 mln i 99 mln funtów brytyjskich. W obu przypadkach kary zastały nałożone za wyciek danych osobowych. Z baz danych obu firm zostało wykradzionych prawie 4% danych osobowych ludności na całym świecie. Największa ilość danych wyciekła z bazy Marriott – incydent dotyczy 339 mln klientów.
Co należy zrobić w przypadku wykrycia wycieku danych?
- Jeśli dojdzie do sytuacji naruszenia bezpieczeństwa danych osobowych kluczowe jest jak najszybsze jego wykrycie i poinformowanie – maksymalnie w ciągu 72 godzin - organ nadzorujący ochronę danych osobowych-– mówi Krzysztof Grabowski, Inspektor Danych Osobowych z międzynarodowej firmy doradczej Crowe.
W przypadku obu ukaranych przez ICO firm reakcja na incydent nie była natychmiastowa. Sieć Marriott czekała 4 lata na poinformowanie o tym zdarzeniu opinii publicznej i ofiar wycieku danych. British Airways wykrył naruszenie ponad 3 miesiące od momentu jego zajścia, co może świadczyć o niewystarczającym poziomie zabezpieczenia procesu.
Kiedy dochodzi do utraty wrażliwych danych czas jest decydujący. W obu sprawach do nieuprawnionych osób trafiły bowiem m.in. numery kard kredytowych klientów, a w przypadku sieci Marriott także numery paszportów.
- W sytuacji naruszenia ochrony danych osobowych należy w jak najkrótszym czasie zadbać o bezpieczeństwo osób poszkodowanych. Kluczowa w tym procesie jest komunikacja, skierowana na powiadomienie ofiar wycieku o incydencie i ostrzeżenie o potencjalnych ryzykach – dodaje Krzysztof Grabowski.
Przypadki wycieków danych w Polsce
Ponad 3 tys. skarg zgłoszono do Urzędu Ochrony Danych Osobowych w 2018 roku. W tym czasie zgłoszono także kilkanaście przypadków naruszeń bezpieczeństwa danych bardzo dużą skalę. W grudniu głośny na polskim rynku był przypadek masowego wycieku danych klientów sklepu internetowego Morele.net. (Według doniesień medialnych - przyp. red) Wśród wykradzionych informacji znajdowały się imiona i nazwiska, numer PESEL czy sytuacja finansowa 2,5 mln klientów firmy. Pięć miesięcy po poinformowaniu o wycieku danych osób poszkodowanych, opublikowano w internecie hasła i loginy klientów. Obecnie UODO wyjaśnia tą sprawę.
Za naruszenie wymogów RODO firmom grożą kary do 20 mln EUR lub sięgające 4 proc. rocznych globalnych obrotów przedsiębiorstwa.
Stanowisko morele.net:
Dokonywanie rejestracji oraz zakupów w sklepie morele.net nie wymaga podawania numeru PESEL ani informacji o sytuacji finansowej Klienta. Dane te wymagane są jedynie w przypadku wypełniania wniosków kredytowych, czyli dokonywania zakupów na raty.
W lutym 2019 do wszystkich Klientów, których we wskazywanym zakresie mógł dotyczyć nieuprawniony dostęp (kilkanaście tysięcy osób, które składało wniosek ratalny za pośrednictwem strony morele.net) wysłana została informacja z aktualizacją na temat dostępu do danych, w której morele.net przekazało pełniejszy obraz możliwych skutków incydentu oraz działań prewencyjnych, jakie Klienci mogą podjąć.