Ochrona danych osobowych /

RODO: Ponad milion złotych kary za brak wdrożenia odpowiednich środków technicznych i organizacyjnych ochrony danych

Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę administracyjną w wysokości ponad miliona złotych na ID Finance Poland Sp. z o.o. w likwidacji będącą właścicielem portalu pożyczkowego MoneyMan.pl. W wyniku błędu popełnionego przez procesora spółki tj. firmę hostingową, doszło do utraty zabezpieczeń bazy danych klientów zawierającej m.in. ich numery PESEL i niezaszyfrowane hasła, a następnie ich wycieku. Spółka zidentyfikowała naruszenie i dokonała jego zgłoszenia, w wyniku którego urząd podjął kontrolę.

dlaczego na spółkę została nałożona kara?

Prezes UODO zarzucił ID Finance Poland Sp. z o.o., że nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających odpowiednie bezpieczeństwo danych osobowych swoich klientów i ich ochronę. Baza danych nie była odpowiednio zabezpieczona przed ich ujawnieniem np. poprzez szyfrowanie haseł.

Dodatkowo, organ uznał, że w spółce nie wdrożono środków zapewniających szybkie i skuteczne stwierdzenie naruszenia ochrony danych. Co prawda opracowano politykę zgłaszania naruszeń, ale była ona bardzo ogólna i nie podlegała okresowemu sprawdzaniu jej skuteczności. W rezultacie w ocenie Prezesa UODO spółka przyczyniła się niezapewnienia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.

Prezes UODO podkreślił, że administrator, po powzięciu informacji o możliwym incydencie bezpieczeństwa, powinien przeprowadzić jego krótkotrwałą weryfikację, a jeżeli ustali, że doszło do naruszenia – dokonać jego zgłoszenia i przedsięwziąć czynności zaradcze. Pełna analiza naruszenia może być kontynuowana już po jego zgłoszeniu. Według Prezesa UODO spółka nieadekwatnie zareagowała na pierwsze zawiadomienie o możliwym wycieku danych, skupiając się na weryfikacji jego autentyczności zamiast podjęcia środków zabezpieczających dane ich klientów. Skutkiem takiego działania miała być eskalacja naruszeń.

powierzenie przetwarzania danych osobowych nie zwalnia z odpowiedzialności

Mimo, że do wycieku danych osobowych doszło u podmiotu przetwarzającego, odpowiedzialność za naruszenie ponosi administrator danych, który odpowiada za zapewnienie odpowiednich środków bezpieczeństwa danych. W toku postępowania spółka podnosiła, że jej odpowiedzialność za naruszenie należy rozpatrywać jedyni w kontekście poprawności powierzenia danych osobowych do przetwarzania tj. powierzenie ich podmiotowi zapewniającemu odpowiednią gwarancję korzystaniaz jego usług. Ze stanowiskiem tym nie zgodził się Prezes UODO.

Spółka może zaskarżyć decyzję do wojewódzkiego sądu administracyjnego.


Autor team leader DKP Legal anna szymielewicz
check full info of team member: Anna Szymielewicz

Skontaktuj się z nami

Flaga Polski.ZIELONA GÓRAPOLSKA
Jana Sobieskiego 2/3
65-071 Zielona Góra
+48 61 853 56 48kancelaria@dudkowiak.com
Flaga Polski.KRAKÓWPOLSKA
Opolska 110
31-355 Kraków
+48 61 853 56 48krakow@dudkowiak.com
Flaga Polski.WROCŁAWPOLSKA
Swobodna 1
50-088 Wrocław
+48 61 853 56 48wroclaw@dudkowiak.com
Flaga Polski.WARSZAWAPOLSKA
Rondo ONZ 1
00-124 Warszawa
+48 22 300 16 74warszawa@dudkowiak.com
Flaga Polski.POZNAŃPOLSKA
Młyńska 16
61-729 Poznań
+48 61 853 56 48poznan@dudkowiak.com