Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę administracyjną w wysokości ponad miliona złotych na ID Finance Poland Sp. z o.o. w likwidacji będącą właścicielem portalu pożyczkowego MoneyMan.pl. W wyniku błędu popełnionego przez procesora spółki tj. firmę hostingową, doszło do utraty zabezpieczeń bazy danych klientów zawierającej m.in. ich numery PESEL i niezaszyfrowane hasła, a następnie ich wycieku. Spółka zidentyfikowała naruszenie i dokonała jego zgłoszenia, w wyniku którego urząd podjął kontrolę.
dlaczego na spółkę została nałożona kara?
Prezes UODO zarzucił ID Finance Poland Sp. z o.o., że nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających odpowiednie bezpieczeństwo danych osobowych swoich klientów i ich ochronę. Baza danych nie była odpowiednio zabezpieczona przed ich ujawnieniem np. poprzez szyfrowanie haseł.
Dodatkowo, organ uznał, że w spółce nie wdrożono środków zapewniających szybkie i skuteczne stwierdzenie naruszenia ochrony danych. Co prawda opracowano politykę zgłaszania naruszeń, ale była ona bardzo ogólna i nie podlegała okresowemu sprawdzaniu jej skuteczności. W rezultacie w ocenie Prezesa UODO spółka przyczyniła się niezapewnienia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
Prezes UODO podkreślił, że administrator, po powzięciu informacji o możliwym incydencie bezpieczeństwa, powinien przeprowadzić jego krótkotrwałą weryfikację, a jeżeli ustali, że doszło do naruszenia - dokonać jego zgłoszenia i przedsięwziąć czynności zaradcze. Pełna analiza naruszenia może być kontynuowana już po jego zgłoszeniu. Według Prezesa UODO spółka nieadekwatnie zareagowała na pierwsze zawiadomienie o możliwym wycieku danych, skupiając się na weryfikacji jego autentyczności zamiast podjęcia środków zabezpieczających dane ich klientów. Skutkiem takiego działania miała być eskalacja naruszeń.
powierzenie przetwarzania danych osobowych nie zwalnia z odpowiedzialności
Mimo, że do wycieku danych osobowych doszło u podmiotu przetwarzającego, odpowiedzialność za naruszenie ponosi administrator danych, który odpowiada za zapewnienie odpowiednich środków bezpieczeństwa danych. W toku postępowania spółka podnosiła, że jej odpowiedzialność za naruszenie należy rozpatrywać jedyni w kontekście poprawności powierzenia danych osobowych do przetwarzania tj. powierzenie ich podmiotowi zapewniającemu odpowiednią gwarancję korzystaniaz jego usług. Ze stanowiskiem tym nie zgodził się Prezes UODO.
Spółka może zaskarżyć decyzję do wojewódzkiego sądu administracyjnego.
