1,5 mln kary za nienależyte zabezpieczenie przebudowywanej strony www

Ten materiał powstał dzięki Waszemu wsparciu. Postaw mi kawę na buycoffee.to

Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę w wysokości ponad 1,5 miliona złotych na spółkę Panek SA oraz dodatkową karę finansową na firmę ITCenter, odpowiedzialną za obsługę informatyczną przedsiębiorstwa. Decyzja jest wynikiem naruszenia przepisów RODO podczas przebudowy strony internetowej, co doprowadziło do wycieku danych osobowych ponad 21 tysięcy osób.

Przyczyny incydentu

Problem pojawił się podczas modernizacji witryny internetowej spółki Panek SA. W wyniku błędów organizacyjnych oraz braku odpowiedniej komunikacji pomiędzy administratorem danych a podmiotem przetwarzającym, pracownik ITCenter omyłkowo umieścił na nowej stronie internetowej pliki zawierające dane klientów pochodzące ze starej wersji serwisu. Pliki te zostały zindeksowane przez wyszukiwarkę Google i stały się publicznie dostępne.

Wśród ujawnionych informacji znalazły się imiona i nazwiska klientów, adresy e-mail, adresy zamieszkania oraz zaszyfrowane hasła dostępu do panelu klienta. Szacuje się, że incydent dotyczył około 21 453 osób, w tym klientów i pracowników spółki.

Brak odpowiednich zabezpieczeń i nadzoru

W toku postępowania UODO ustalił, że spółka Panek SA nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które zapewniłyby odpowiedni poziom bezpieczeństwa przetwarzania danych. Choć administrator danych posiadał wiedzę na temat standardowych praktyk wdrażania zmian w systemach informatycznych, nie prowadził on skutecznego nadzoru nad realizacją tych działań. Firma przyjęła również bezkrytycznie zapewnienia swojego podwykonawcy o spełnieniu wymogów bezpieczeństwa.

Co więcej, zastosowane środki techniczne nie były testowane ani[1] oceniane pod kątem skuteczności. Brak przeprowadzonej szczegółowej analizy ryzyka uniemożliwił identyfikację potencjalnych luk w zabezpieczeniach oraz wdrożenie adekwatnych środków ochronnych.

Odpowiedzialność obu stron

Podczas dochodzenia okazało się, że firma ITCenter nie otrzymała od administratora danych jasnych instrukcji dotyczących funkcjonalności strony internetowej, w tym informacji o jej roli w procesach rezerwacyjnych oraz jako bazie danych osobowych. W umowie powierzenia przetwarzania danych zabrakło kluczowych zapisów dotyczących wymagań bezpieczeństwa związanych ze stroną internetową.

Jednocześnie spółka Panek SA wskazała, że do incydentu nie doszłoby, gdyby nie błąd konfiguracji serwera, za który odpowiadała firma ITCenter.

Wnioski UODO

UODO podkreślił, że zarządzanie ryzykiem i analiza ryzyka są procesami wymagającymi współpracy pomiędzy administratorem a podmiotem przetwarzającym. Przed wprowadzeniem jakichkolwiek zmian w systemach IT konieczne jest dokładne planowanie, testowanie oraz ocena wpływu działań na bezpieczeństwo danych.

Wdrożenie odpowiednich środków technicznych i organizacyjnych powinno być oparte na wynikach analizy ryzyka oraz regularnie testowane pod kątem skuteczności. Każda zmiana w systemach przetwarzających dane osobowe powinna być przeprowadzana z najwyższą starannością, a jej efekty oceniane zarówno pod kątem funkcjonalności, jak i zgodności z przepisami RODO.

Konsekwencje i lekcje na przyszłość

Sprawa spółki Panek SA pokazuje, jak istotne jest przestrzeganie przepisów RODO i odpowiednie zarządzanie ryzykiem w zakresie ochrony danych osobowych. Kara finansowa w wysokości ponad 1,5 miliona złotych jest jasnym sygnałem dla innych podmiotów, że zaniedbania w tej dziedzinie mogą prowadzić do poważnych konsekwencji finansowych oraz utraty zaufania klientów.

Administratorzy danych muszą pamiętać, że powierzenie przetwarzania danych podmiotowi zewnętrznemu nie zwalnia ich z obowiązku nadzoru oraz odpowiedzialności za bezpieczeństwo przetwarzanych informacji. Wdrożenie skutecznych procedur i regularne ich testowanie jest niezbędne, aby zapobiec podobnym incydentom w przyszłości.

Słownik
1. ani. inaczej Automatic Number Identification lub caller id – numer telefonu dzwoniącego. Total 0 Shares Share 0 Tweet 0…


Ten materiał powstał dzięki Waszemu wsparciu. Postaw mi kawę na buycoffee.to

Add a comment

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *