Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/1

Kraj:

Polska

Data wydania decyzji:

17.12.2020 r.

Podmiot kontrolowany:

ID Finance Poland Sp. z o.o. w likwidacji

Wysokość kary (EUR):

235.300

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 25 ust. 1, art. 32 ust. 1 lit. b), art. 32 ust. 1 lit. d), art. 32 ust. 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez ID Finance Poland Sp. z o.o. w likwidacji miało miejsce z powodu niewdrożenia odpowiednich środków technicznych i organizacyjnych. W szczególności, problem dotyczył błędnej konfiguracji serwera po jego restarcie, co spowodowało publiczny dostęp do danych osobowych klientów, ich pobranie oraz usunięcie z serwera.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: W marcu 2020 r. ID Finance Poland zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych (UODO) naruszenie ochrony danych osobowych klientów serwisu moneyman.pl.
  2. Zakres danych: Naruszenie dotyczyło danych osobowych 140 699 klientów, w tym imion, nazwisk, adresów e-mail, numerów PESEL, numerów telefonów, danych dotyczących zatrudnienia i zarobków, oraz haseł przechowywanych w otwartym tekście.
  3. Przyczyna techniczna: Restart serwera przez podmiot przetwarzający (IDFT) spowodował zresetowanie ustawień zabezpieczeń, co umożliwiło nieautoryzowany dostęp do danych.
  4. Reakcja na incydent: Po wykryciu naruszenia, Spółka podjęła działania zaradcze, takie jak resetowanie haseł użytkowników, przywrócenie prawidłowej konfiguracji serwera oraz poinformowanie klientów o incydencie.
  5. Działania UODO: Prezes UODO przeprowadził postępowanie administracyjne, które wykazało liczne nieprawidłowości w zakresie ochrony danych osobowych przez Spółkę.
  6. Wysokość kary: 1 069 850 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie odpowiednich środków technicznych i organizacyjnych: Zapewnienie, że wszystkie serwery i systemy są odpowiednio zabezpieczone, a procedury restartu serwerów są dokładnie przetestowane i nie powodują naruszeń bezpieczeństwa.
  2. Regularne testowanie i ocena skuteczności środków bezpieczeństwa: Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa danych osobowych.
  3. Szkolenia dla pracowników: Regularne szkolenia dla pracowników w zakresie procedur bezpieczeństwa danych oraz reagowania na incydenty.
  4. Szybka reakcja na sygnały o naruszeniach: Natychmiastowa reakcja na wszelkie sygnały o potencjalnych naruszeniach, przeprowadzanie szybkich i skutecznych analizy oraz podejmowanie odpowiednich działań zaradczych.
  5. Zgłaszanie naruszeń: W przypadku stwierdzenia naruszenia, niezwłoczne zgłoszenie do UODO oraz informowanie osób, których dane dotyczą, o naruszeniu bezpieczeństwa ich danych osobowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO