Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/4

Kraj:

Francja

Data wydania decyzji:

08.01.2026 r.

Podmiot kontrolowany:

FREE MOBILE

Wysokość kary (EUR):

27.000.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. e), art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Nieautoryzowany dostęp do danych umożliwiły słabe zabezpieczenia przy zdalnym logowaniu. Do sieci VPN i systemu MOBO można było zalogować się tylko hasłem, bez dodatkowej weryfikacji użytkownika i urządzenia, a ruch nie był należycie monitorowany. W rezultacie atakujący uzyskał wgląd w bazy Free Mobile. Kontrola francuskiego organu nadzorczego wykazała też, że spółka przechowywała informacje o byłych abonentach znacznie dłużej, niż pozwalają na to przepisy, oraz że komunikaty do klientów były zbyt lakoniczne i nie wyjaśniały w pełni konsekwencji incydentu ani działań, które powinni podjąć.

 

Opis wydarzeń

  1. Cyberatak: W październiku 2024 r. atakujący uzyskał dostęp do sieci Free Mobile przez źle zabezpieczony VPN. Używając narzędzia MOBO, które nie wymagało certyfikatu urządzenia ani wieloskładnikowego logowania, przeszukiwał bazy abonentów i pobierał dane. Naruszenie dotknęło około 19,46 mln umów abonamentowych. Atakujący mógł zobaczyć dane identyfikacyjne, kontaktowe, kontraktowe oraz w niektórych przypadkach numer IBAN.
  2. Wykrycie i zgłoszenie: 21 października 2024 r. napastnik poinformował spółkę o swojej obecności w systemie. 23 października Free Mobile zgłosiła naruszenie do francuskiego organu nadzorczego i do 5 listopada uzupełniła dokumentację. Spółka powiadomiła o naruszeniu abonentów drogą mailową między 24 a 29 października, ale komunikat był ogólnikowy i nie wskazywał konkretnych ryzyk ani zaleceń.
  3. Kontrola, skargi i postępowanie: Francuski organ nadzorczy otrzymał 2 614 skarg od osób, których dane zostały naruszone. Zdecydował również o przeprowadzeniu kontroli, która miała miejsce 8 listopada.
  4. Ustalenia organu nadzorczego: Kontrola wykazała brak certyfikatów maszynowych i wieloskładnikowego uwierzytelniania przy dostępie do VPN, brak mechanizmów wykrywania nietypowej aktywności (system nie analizował logów z funkcji „wyszukiwanie” w MOBO), stosowanie niewystarczająco silnego algorytmu przechowywania haseł użytkowników MOBO, a także długotrwałe przechowywanie danych byłych abonentów bez mechanizmu ich selekcji lub usuwania. Z kolei powiadomienia do klientów nie spełniały wymogów art. 34 RODO.
  5. Decyzja – 8 stycznia 2026 r. francuski organ nadzorczy uznał Free Mobile za odpowiedzialną za naruszenie i nałożył na nią karę w wysokości 27 000 000 EUR oraz nakazał wdrożenie silnego uwierzytelniania i systemów monitorowania oraz bezpiecznego przechowywania haseł. Spółka została zobligowana również do usunięcia nadmiarowych danych i wdrożenia polityki retencji danych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Ocena ryzyka i adekwatne środki: Przed wyborem środków technicznych i organizacyjnych należy dokonać oceny ryzyka. Analiza powinna uwzględniać rodzaj i zakres danych oraz potencjalne skutki naruszeń, aby móc dobrać środki zapewniające odpowiedni poziom bezpieczeństwa.

  2. Silne uwierzytelnianie: Stosowanie mechanizmów wieloetapowego uwierzytelniania (MFA) dla usług dostępnych przez Internet, w tym sieci VPN i aplikacji przetwarzających dane osobowe.

  3. Monitorowanie i szybka detekcja: Wdrożenie narzędzi monitorujących (IDS/IPS, SIEM), regularne testowanie i aktualizowanie zabezpieczeń. Skuteczne wykrywanie anomalii pozwala ograniczyć zasięg incydentów.

  4. Procedury zgłaszania incydentów: Warto mieć przygotowane wzory powiadomień i procedury komunikacji z osobami poszkodowanymi. Informacje powinny obejmować opis zdarzenia, możliwe konsekwencje i zalecane działania ochronne.

  5. Polityka retencji danych: Wdrożenie procedur sortowania i automatycznego usuwania danych, aby przechowywać tylko dane niezbędne do konkretnego celu (np. wymogów rachunkowych). Należy regularnie przeglądać i dokumentować terminy retencji, eliminując zbędne informacje.

  6. Podnoszenie świadomości: Organizowanie szkoleń dla pracowników z zakresu bezpieczeństwa informacji, rozpoznawania phishingu i reagowania na incydenty. Świadomość personelu jest kluczowa dla redukcji ryzyka.

  7. Plan awaryjny i kopie zapasowe: Utrzymywanie aktualnych procedur reagowania na incydenty oraz tworzenia i przechowywania kopii zapasowych. Warto regularnie testować odtworzenie danych.

  8. Kontrola dostępu i segmentacja sieci: Stosowanie zasady najmniejszych uprawnień, segmentacji sieci i wykorzystywanie zapór oraz systemów IDS/IPS, aby ograniczyć ruch lateralny w sieci.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO