Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/8

Kraj:

Hiszpania

Data wydania decyzji:

10.12.2024 r.

Podmiot kontrolowany:

GENERALI ESPAÑA, SOCIEDAD ANONIMA DE SEGUROS Y REASEGUROS

Wysokość kary (EUR):

4.000.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit f), art. 25, art. 32, art. 35 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie danych osobowych wynikało z ataku na formularz obsługi klientów aplikacji SMC firmy Generali España, który przeprowadzono przy użyciu skradzionych danych do logowania od brokera ubezpieczeniowego. W wyniku błędu w oprogramowaniu atakujący uzyskali dostęp nie tylko do danych klientów tego brokera, ale również do informacji o byłych klientach firmy. System nie posiadał odpowiednich mechanizmów monitorowania oraz śledzenia działań użytkowników, co opóźniło wykrycie skali naruszenia. Dane osobowe obejmujące m.in. imiona, nazwiska, numery identyfikacyjne, numery telefonów, adresy, daty urodzenia oraz numery kont bankowych zostały później odnalezione w sprzedaży na grupie Telegram.

 

Opis wydarzeń

  1. Wykrycie ataku: W październiku 2022 r. zaobserwowano przeciążenie systemu spowodowane dużą liczbą zapytań o dane klientów. Ustalono, że atak wykorzystuje skradzione dane do logowania przez brokera. Podjęto działania polegające na zmianie haseł i zablokowaniu dostępu.
  2. Brak natychmiastowej reakcji: Początkowo zakładano, że naruszenie dotyczyło jedynie 37 klientów brokera, wobec czego nie zgłoszono incydentu do hiszpańskiego organu nadzorczego.
  3. Ujawnienie większej skali wycieku: W listopadzie 2022 r. odkryto, że na grupie Telegram pojawiła się baza danych zawierająca dane 24 315 byłych klientów Generali. Stwierdzono również, że naruszenie dotyczyło znacznie większej liczby osób niż pierwotnie zakładano.
  4. Powiadomienie poszkodowanych: Od 15 do 28 listopada 2022 r. Generali rozpoczęło wysyłanie powiadomień e-mailowych i listownych do osób potencjalnie poszkodowanych (łącznie ponad 1,6 miliona osób).
  5. Zidentyfikowane uchybienia: W związku z zaistniałym naruszeniem analiza zabezpieczeń ujawniła brak przeprowadzonej analizy ryzyka, niewykonanie obowiązkowej oceny skutków przetwarzania danych, brak wdrożenia mechanizmu dwuskładnikowego uwierzytelniania oraz nieprawidłowe zarządzanie dostępem brokerów do danych byłych klientów.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Poprawa zabezpieczeń dostępu: Wdrożenie mechanizmu wieloskładnikowego uwierzytelniania oraz lepszego zarządzania dostępem użytkowników do danych klientów.
  2. Monitorowanie i śledzenie aktywności: Wprowadzenie systemów umożliwiających pełną rejestrację i analizę prób dostępu do danych.
  3. Ograniczenie przechowywania danych: Wdrożenie ścisłych zasad dotyczących przechowywania danych byłych klientów.
  4. Ocena ryzyka i ochrona danych od początku procesu: Przeprowadzenie regularnych analiz ryzyka oraz obowiązkowych ocen skutków przetwarzania danych osobowych.
  5. Szybsza reakcja na incydenty: Wdrożenie procedur pozwalających na wcześniejsze wykrywanie i reagowanie na incydenty, co pozwoli na minimalizację skutków naruszeń.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO