Podstawa prawna naruszenia

Art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Naruszenie wynikało przede wszystkim z rażąco niewystarczającego zabezpieczenia systemu PCRM. Polegały one na błędnie skonfigurowanych uprawnieniach, które pozwalały użytkownikom portalu na dostęp do dokumentów osób trzecich. Firma ignorowała zalecenia audytów i nie usuwała znanych luk. Dodatkowo system oparto na nieaktualnych mechanizmach kryptograficznych oraz brakowało w nim wielopoziomowej ochrony, co pozwoliło na wykorzystanie podatności mimo pojedynczych zabezpieczeń.

Opis wydarzeń

1. Projekt PCRM i jego znaczenie: Spółka NEXPUBLICA FRANCE od 2019 r. dostarcza publicznym placówkom system PCRM służący do obsługi wniosków i świadczeń dla osób z niepełnosprawnościami. Aplikacja gromadziła szeroki zakres danych: numery identyfikacyjne, informacje o stanie zdrowia, opis niepełnosprawności i świadczeń oraz dane osobiste użytkowników. W 2021 r. audyty kodu wykazały liczne podatności, lecz firma nie podjęła kompleksowych działań naprawczych.

2. Incydenty bezpieczeństwa: Między 26 października a 14 listopada 2022 r. doszło do dwóch poważnych naruszeń. W pierwszym (26 października–8 listopada) błędna konfiguracja uprawnień pozwoliła 366 kontom przeglądać dane innych osób i co najmniej dwóch użytkowników realnie skorzystało z tej możliwości. W drugim (26 października–14 listopada) błąd w wyświetlaniu stron portalu spowodował, że dziewięć osób mogło zobaczyć około 5 000 rekordów, co w praktyce objęło dane nawet 14 170 osób. Ujawnione informacje obejmowały treść wniosków, opis przyznanych świadczeń, decyzje medyczno‑socjalne oraz dane kontaktowe. Choć spółka potwierdziła, że załączniki (np. skany dokumentów) nie były dostępne, brak szczegółowej rejestracji uniemożliwił dokładne ustalenie, jakie dane zostały naruszone.

3. Zgłoszenie do organu nadzorczego i postępowanie: Jeden z domów osób niepełnosprawnych zgłosił oba incydenty do francuskiego organu nadzorczego 29 listopada 2022 r., a w marcu 2023 r. doprecyzował skalę naruszenia. Francuski organ nadzorczy przeprowadził kontrolę u dawnej spółki‑matki oraz analizę raportów bezpieczeństwa. Ustalono, że wiele luk zidentyfikowanych w audytach pozostawało nieusuniętych, a system był ogólnie słabo zabezpieczony. Spółka argumentowała, że błędy wynikały z pojedynczych pomyłek, jednak organ nadzorczy stwierdził, że brakowało wielowarstwowej ochrony i nowoczesnych mechanizmów kryptograficznych, przez co jedna usterka otwierała drogę do nieautoryzowanego dostępu.

4. Decyzja i kara finansowa: 22 grudnia 2025 r. francuski organ nadzorczy uznał, że NEXPUBLICA FRANCE naruszyła art. 32 RODO poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych. Ze względu na liczbę osób dotkniętych incydentem, wrażliwość danych i fakt, że spółka jest wyspecjalizowanym dostawcą IT, francuski organ nadzorczy nałożył karę 1 700 000 EUR. Organ nadzorczy wskazał, że wysokość kary uwzględnia nie tylko rozmiar naruszenia, lecz także finansowe możliwości spółki oraz to, że większość luk była firmie znana od dłuższego czasu. Co istotne, francuski organ nadzorczy nie nałożył dodatkowych środków naprawczych, uznając, że spółka usunęła część podatności po incydentach, ale jednocześnie podkreśliła konieczność gruntownego wzmocnienia bezpieczeństwa, zwłaszcza w obszarze audytów i zarządzania podwykonawcami.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Przeprowadzanie analizy ryzyka i DPIA: Przed uruchomieniem aplikacji należy identyfikować potencjalne luki i scenariusze ataków a także stosować zasady privacy by design i by default.

2. Prowadzenie regularnych audytów i szybkie usuwanie luk: Warto wdrożyć testy statyczne i dynamiczne oraz testy podatności zgodnie z OWASP. Wyniki audytów należy traktować jako obowiązkowe do natychmiastowej implementacji.

3. Zastosowanie wielowarstwowej obrony: Należy łączyć uwierzytelnianie wieloskładnikowe, kontrolę ról, segmentację sieci i monitoring anomalii. Warto dbać o silne polityki haseł oraz rejestrowanie i analizę logów.

4. Korzystanie z nowoczesnej kryptografii: Stosowanie protokołu TLS 1.2/1.3 z silnymi algorytmami i unikanie przestarzałych funkcji (np. SHA‑1). Należy przechowywać dane w postaci zaszyfrowanej lub pseudonimizowanej.

5. Doprecyzowanie umów z podwykonawcami: W umowach powierzenia przetwarzania należy określić wymagane środki bezpieczeństwa, zapewnić sobie możliwość audytu i wymagać posiadania certyfikatów (np. ISO 27001).

6. Szkolenia i budowanie kultury bezpieczeństwa: Należy regularnie edukować zespół IT i użytkowników z zakresu ochrony danych, bezpiecznego kodowania i cyberhigieny. Warto również rozważyć wyznaczenie inspektora ochrony danych.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu