Intensywne zakończenie roku w UODO - tym razem ukarane ID Finance Poland

Pod koniec 2020 roku Prezes UODO zintensyfikował swoje działania. W Sylwestra Urząd poinformował, że na spółkę ID Finance Poland – właściciela portalu pożyczkowego MoneyMan.pl – została nałożona kara w wysokości miliona złotych.

W samym grudniu organ nadzorczy nałożył również dwie inne kary pieniężne (kolejno na Virgin Mobile Polska oraz TUiR WARTA) przy czym ta ostania powinna szczególnie dać do myślenia administratorom lekceważącym sygnały dotyczące możliwych wycieków danych.

Kara została nałożona za naruszenie polegające na niewdrożeniu przez spółkę – zarówno w fazie projektowania procesu przetwarzania, jak  i w czasie samego przetwarzania – odpowiednich  środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków, co skutkowało uzyskaniem przez osoby trzecie nieuprawnionego dostępu do przetwarzanych danych osobowych.

Naruszenie dotyczyło problemów związanych z działaniem serwera Spółki, na którym przetwarzane były dane osobowe 140 699 klientów Spółki, którzy w całości lub w części przeszli proces rejestracji w serwisie moneyman.pl.

Kategorie danych objętych przedmiotem naruszenia

Zakres danych objętych naruszeniem był szeroki i obejmował: imię i nazwisko, poziom wykształcenia, adres e-mail, dane dotyczące zatrudnienia, adres e-mail osoby, której klient chce polecić pożyczkę, dane dotyczące zarobków, dane dotyczące stanu cywilnego, numer telefonu (stacjonarnego, komórkowego, wcześniej używanego numeru telefonu), numer PESEL, narodowość, numer NIP, hasło, miejsce urodzenia, adres korespondencyjny, adres zameldowania, numer telefonu do miejsca pracy oraz numer rachunku bankowego.

Przebieg naruszenia

Przedmiotowe naruszenie miało miejsce u podmiotu przetwarzającego Spółki, który realizował na jej rzecz usługi mające charakter hostingu.  Naruszenie spowodowane było błędnym działaniem serwera w związku z jego restartem przez podmiot przetwarzający. Powodem restartu były dane z monitoringu zasobów, które kazały sądzić, że serwer nie funkcjonuje optymalnie. W trakcie restartu serwera doszło do zresetowania ustawień oprogramowania odpowiadającego za bezpieczeństwo serwera. Po restarcie podmiot przetwarzający nie zweryfikował prawidłowości konfiguracji zabezpieczeń, w konsekwencji czego dane osobowe znajdujące się na serwerze były publicznie dostępne.

Pierwszy sygnał o naruszeniu a zawiadomienie Prezesa UODO

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Pierwszy sygnał o naruszeniu Spóła otrzymała od niezależnego konsultanta w zakresie cyberbezpieczeństwa. W przedmiotowej wiadomości e-mail znajdowała się informacja, że serwer z danymi klientów Spółki korzystających z witryny internetowej moneyman.pl. jest publicznie dostępny. Spółka następnie przekazała tę wiadomość do przedstawiciela podmiotu przetwarzającego, podważając jednak wiarygodność przedmiotowej wiadomości i opatrując ją komentarzem sugerującym, że może to być próba wyłudzenia poufnych informacji.

W dalszych krokach podmiot przetwarzający zmierzał do ustalenia, czy otrzymana informacja jest wiarygodna oraz czy udzielenie odpowiedzi nie zagraża bezpieczeństwu zasobów informatycznych Spółki. Zanim administrator uzyskał potwierdzenie w tym zakresie od podmiotu przetwarzającego, do Spółki zwróciła się nieustalona osoba trzecia, która poinformowała Spółkę, że pobrała publicznie dostępne dane oraz usunęła je z serwera Spółki oraz zażądała okupu w zamian za zwrot danych.

Podmiot przetwarzający potwierdził pobranie danych, ustalono skalę naruszenia oraz podjęto działania zaradcze, tj. m.in. przywrócono prawidłową konfigurację serwera (zamknięcie portu) oraz dokonano resetu haseł użytkowników portalu moneyman.pl. Dopiero po zaistnieniu opisanych zdarzeń Spółka dokonała wstępnego zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych.

Co na to UODO?

UODO w treści swojej decyzji niejednokrotnie podkreślił, iż Spółka dopuściła się zwłoki w zgłoszeniu naruszenia. Po dokonanej analizie stanu faktycznego Urząd wskazał, że znaczącym zaniedbaniem po stronie Spółki było zlekceważenie otrzymanej informacji o tym, że dane Spółki są publicznie dostępne. Sposób sformułowania przedmiotowej wiadomości i dokładnie opisane kategorie danych powinny być dla Spółki impulsem do dokładnej analizy i uwzględnienia zawartych w tej wiadomości informacji sugerujących, że udostępniona może być cała baza danych klientów Spółki.

Kontrola UODO - dla nas to rutyna!

Zdaniem UODO administrator, z zachowaniem należytej ostrożności, powinien niezwłocznie dążyć do uzyskania od nadawcy wiadomości dalszych informacji oraz podjąć działania weryfikacyjne również we własnym zakresie.

Co istotne, UODO wskazuje, że jeśli zaistniałyby okoliczności wskazujące, że otrzymanej informacji nie można szybko i skutecznie zweryfikować, mając na względzie ryzyko dla praw i wolności osób fizycznych, Spółka powinna bez zbędnej zwłoki zgłosić naruszenie organowi nadzorczemu.

UODO w decyzji wskazuje, że weryfikacja otrzymanej wiadomości zajęła około 10 dni. Zwłoka, której zdaniem Prezesa UODO dopuścił się administrator, skutkowała pobraniem danych osobowych 140 699 klientów Spółki, ich usunięciem oraz pozostawieniem wiadomości z żądaniem uiszczenia okupu.

Ponadto UODO podkreśla, że brak szybkiej reakcji ze strony podmiotu przetwarzającego nie zdejmuje z administratora odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych, gdyż zdolność do wykrywania naruszeń, zaradzania im oraz ich terminowego zgłaszania powinna być postrzegana jako kluczowy element środków technicznych i organizacyjnych, w tym każdej polityki w zakresie bezpieczeństwa danych.

UODO zwrócił również uwagę na brak procedury stwierdzenia naruszenia. Zasadność posiadania przedmiotowej procedury Urząd argumentował faktem, że administrator jest zobligowany do sprawnego i szybkiego stwierdzania naruszenia ochrony danych, a taka procedura może to w znaczący sposób ułatwić. Ponadto UODO dopatrzył się braku cyklicznej weryfikacji posiadanej przez administratora procedury dotyczącej zgłaszania naruszeń, pod kątem jej skuteczności.

Niezaszyfrowane hasła użytkowników

Istotnym zaniedbaniem po stronie Spółki było również przechowywanie niezaszyfrowanych haseł w systemach informatycznych. UODO podkreśla, że przechowywanie haseł w postaci niejawnej (np. poprzez zastosowanie funkcji skrótu, zwanej też haszowaniem) jest jednym z najczęściej spotykanych środków mających zapewnić poufność hasła i ograniczyć jego znajomość wyłącznie do osoby, która się nim posługuje.

Urząd zwrócił również uwagę, że w przedmiotowej sprawie taka sytuacja mogła doprowadzić np. do oszustwa dotyczącego tożsamości, naruszenia dobrego imienia czy straty finansowej. Ponadto użytkownik mógł korzystać z takiej samej nazwy użytkownika (np. adres e-mail) i hasła w innych serwisach.

Okoliczności mające wpływ na wymiar kary

Na wysokość nałożonej kary miały wpływ m.in.:

  1. liczba osób (140 699 osób) oraz szeroki zakres danych dotkniętych naruszeniem, co spowodowało wysokie ryzyko wystąpienia negatywnych skutków w przyszłości dla osób, których dane dotyczą;
  2. czas trwania naruszenia – potwierdzenie nieprawidłowości przekazanych Spółce w wiadomości sugerującej, że serwer Spółki z danymi klientów jest publicznie dostępny, trwało około 10 dni;

    Migracje, chmury, systemy.
    RODO w IT.

    Szkolenie RODO w IT dla inspektorów ochrony danych oraz managerów i pracowników IT. Zapraszamy!
    SPRAWDŹ TERMINY
  3. umyślny charakter naruszenia – zdaniem UODO Spółka dopuściła się rażącego zaniedbania skutkującego naruszeniem poufności danych, co stanowi istotną okoliczność obciążającą, wpływającą na wysokość kary administracyjnej;
  4. wysoki stopień odpowiedzialności administratora – UODO podkreślił, że na administratorze ciąży prawny obowiązek sprawnego i terminowego stwierdzenia naruszenia oraz ewentualnego zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Zdaniem Urzędu administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania danych osobowych klientów w sytuacjach, w których otrzymuje pierwszy sygnał o nieprawidłowościach w przetwarzaniu danych osobowych.

Podsumowanie

Istotnym wnioskiem płynącym z decyzji Prezesa UODO jest konieczność terminowego zgłaszana naruszeń organowi nadzorczemu, nawet jeśli administrator potrzebuje więcej czasu na zweryfikowanie informacji związanych z możliwym naruszeniem. Dalsza analiza okoliczności naruszenia może odbywać się po dokonaniu wstępnego zgłoszenia naruszenia do organu nadzorczego. Ma to znaczenie przede wszystkim z punktu widzenia zminimalizowania ryzyka dla praw i wolności osób fizycznych. W niniejszej sprawie Spółka nie podjęła działań w sposób wystarczający, lekceważąc przy tym otrzymany sygnał o nieprawidłowościach. Tym samym od powzięcia informacji o potencjalnym naruszeniu ochrony danych do podjęcia faktycznych kroków w tym zakresie, w tym m. in. zgłoszenia naruszenia do Prezesa UODO, minął termin znacznie dłuższy niż przewidziane prawem 72 godziny.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".