Obowiązek informacyjny rodo

KOMPAS FORSAFE 2020/1

Kraj:

Polska

Data wydania decyzji:

10.09.2019 r.

Podmiot kontrolowany:

Morele.net

Wysokość kary (EUR):

660.000

Podstawa prawna naruszenia

Art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

  1. Naruszenie zasady poufności danych: Morele.net nie zapewniło odpowiednich środków technicznych i organizacyjnych, co doprowadziło do uzyskania nieuprawnionego dostępu do danych osobowych klientów.
  2. Naruszenie zasady legalności, rzetelności i rozliczalności: Firma nie była w stanie wykazać, że dane osobowe z wniosków ratalnych były przetwarzane zgodnie z prawem.

 

Opis wydarzeń

  1. Listopad 2018: Klienci Morele.net zaczęli otrzymywać fałszywe SMS-y z prośbą o dokonanie dodatkowej opłaty. Wiadomości zawierały link do fałszywej bramki płatności DotPay.
  2. Zgłoszenie naruszenia: Firma zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych (UODO) oraz poinformowała klientów o incydencie.
  3. Kontrola UODO: W styczniu 2019 roku przeprowadzono kontrolę w Morele.net, która wykazała liczne uchybienia w zakresie ochrony danych osobowych.
  4. Stwierdzenie naruszeń: UODO stwierdził, że Morele.net naruszyło przepisy dotyczące ochrony danych osobowych, w tym zasady poufności i legalności przetwarzania danych.
  5. Kara pieniężna: Nałożono na firmę karę pieniężną w wysokości 2 830 410 PLN (równowartość 660 000 EUR).
  6. Działania naprawcze: Morele.net podjęło działania mające na celu poprawę zabezpieczeń technicznych i organizacyjnych, w tym wprowadzenie dodatkowych środków zabezpieczających.
  7. Powiadomienie klientów: Firma ponownie poinformowała klientów o naruszeniu, wysyłając zawiadomienia do około 2 200 000 osób.
  8. Analiza ryzyka: UODO stwierdził, że Morele.net nie przeprowadziło odpowiedniej analizy ryzyka i nie monitorowało skutecznie zagrożeń dla danych osobowych.
  9. Brak dokumentacji: Firma nie posiadała udokumentowanej analizy procesu przetwarzania danych z wniosków ratalnych oraz nie była w stanie wykazać, że pozyskała odpowiednie zgody na przetwarzanie tych danych.
  10. Wnioski UODO: UODO uznał, że Morele.net nie spełniło wymogów dotyczących bezpieczeństwa przetwarzania danych osobowych, co przyczyniło się do naruszenia praw i wolności osób fizycznych.
  11. Wysokość kary: 2 830 410 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wzmocnienie środków technicznych i organizacyjnych:
    • Dwustopniowe uwierzytelnianie: Wprowadzenie mechanizmu dwustopniowego uwierzytelniania dla wszystkich systemów przetwarzających dane osobowe.
    • Regularne audyty bezpieczeństwa: Przeprowadzanie regularnych audytów bezpieczeństwa przez zewnętrznych specjalistów oraz wdrażanie ich rekomendacji.
    • Monitorowanie ruchu sieciowego: Zastosowanie zaawansowanych narzędzi do monitorowania ruchu sieciowego i natychmiastowe reagowanie na nietypowe zdarzenia.
  2. Szkolenia i świadomość pracowników:
    • Szkolenia z zakresu ochrony danych: Regularne szkolenia dla pracowników dotyczące najlepszych praktyk w zakresie ochrony danych osobowych.
    • Symulacje ataków phishingowych: Przeprowadzanie symulacji ataków phishingowych, aby zwiększyć świadomość pracowników na temat zagrożeń.
  3. Dokumentacja i analiza ryzyka:
    • Formalizacja analizy ryzyka: Wprowadzenie formalnych procedur analizy ryzyka dla wszystkich procesów przetwarzania danych osobowych.
    • Dokumentacja procesów: Utrzymywanie szczegółowej dokumentacji dotyczącej procesów przetwarzania danych, w tym zgód na przetwarzanie danych.
  4. Komunikacja z klientami:
    • Transparentność: Zapewnienie transparentnej komunikacji z klientami w przypadku naruszeń danych, w tym szczegółowe informacje o podjętych działaniach naprawczych.
    • Powiadomienia o naruszeniach: Szybkie i skuteczne powiadamianie klientów o naruszeniach danych oraz udzielanie im wskazówek dotyczących minimalizacji ryzyka.
  5. Wdrożenie polityki prywatności:
    • Privacy by Design: Wdrażanie zasady ochrony danych w fazie projektowania (Privacy by Design) dla wszystkich nowych systemów i procesów.
    • Regularne przeglądy polityki prywatności: Regularne przeglądy i aktualizacje polityki prywatności, aby zapewnić zgodność z obowiązującymi przepisami.
  6. Zarządzanie incydentami:
    • Procedury zarządzania incydentami: Opracowanie i wdrożenie szczegółowych procedur zarządzania incydentami bezpieczeństwa danych.
    • Testowanie procedur: Regularne testowanie procedur zarządzania incydentami, aby zapewnić ich skuteczność w sytuacjach kryzysowych.
  7. Współpraca z organami nadzorczymi:
    • Proaktywna współpraca: Proaktywna współpraca z organami nadzorczymi, w tym regularne raportowanie działań naprawczych i audytów bezpieczeństwa.
    • Zgłaszanie naruszeń: Natychmiastowe zgłaszanie wszelkich naruszeń ochrony danych osobowych do odpowiednich organów.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO