80 milliós bírság adatvédelmi incidensre figyelmeztetés ignorálásért
A Lengyel Adatvédelmi Hatóság (UODO) még a 2020. év egyik utolsó döntéseként 1 millió zlotyi (~80 millió Ft) adatvédelmi bírságot szabott ki egy lengyel cégre. A kérdéses cég a MoneyMan.pl oldal tulajdonosa, az oldal elsősorban kölcsönök folyósításával foglalkozik. Ez a lengyel Hatóság eddigi harmadik legnagyobb bírsága, melynek összege elsősorban az adatkezelő magatartása miatt lett ilyen magas.
A bírságot megfelelő technikai és szervezeti intézkedések (GDPR 32. cikk) meghozatalának elmulasztása miatt szabta ki az UODO, miután a cég késlekedve válaszolt egy megkeresésre, amely szerint ügyfeleinek adatai nyilvánosan elérhetők voltak. A késlekedés következményekképp az adatokról egy ismeretlen személy másolatot készített, majd a nyilvánosan elérhető adatokat törölte, visszaállításukért pedig váltságdíjat követelt. Csak mindezek után kezdett el a cég az adatvédelmi incidenssel komolyan foglalkozni, melyet követően értesítette a Hatóságot is.
Az UODO vizsgálata feltárta, hogy az incidens azért történhetett meg, mert a cég egyik szerverét újra kellett indítani, és az újraindítást követően nem kerültek visszaállításra a szerver biztonsági funkciói. Az adatkezelőt értesítette a hibáról az egyik erre szakosodott adatbiztonsági szakembere, aki egy mintát is szolgáltatott a publikusan megtekinthető adatokról.
Az adatkezelő azonban a figyelmeztetést követően nem ellenőrizte a hiba meglétét, mivel kétségei voltak azzal kapcsolatban, hogy a bejelentett incidens valós-e; sejtése szerint ezzel csak további adatokat akartak tőle kicsalni, amit szerinte megerősít az adatfeldolgozójával folytatott levelezése is. Ennek következtében nem született azonnali válasz az értesítésre, csak napokkal később, amikorra a kérdéses adatokat már ellopták a cég szervereiről.
A Hatóság álláspontja szerint az incidens megelőzhető lett volna, ha az adatkezelő megfelelően reagál arra bejelentésre, hogy az egyik szervere nem biztonságos. Minden adatkezelőtől elvárja a Hatóság, hogy képes legyen a rendszerei hibáira és az azt ért támadásokra gyorsan és megfelelően reagálni. Ezen felül képesnek kell lennie az adatvédelmi incidensek gyors kivizsgálására, és az okainak elhárítására is.
Az adatkezelő késlekedő eljárása nem ad neki felmentést az incidenssel kapcsolatos felelősségek alól. A megfelelő szervezeti és technikai intézkedések alkalmazása többek között azt is jelenti, hogy kell lennie egy megfelelő eljárásrendnek, belső szabályozásnak, mely hasonló esetekben előírja a munkavállalóknak, hogy hogyan kell felderíteni és kezelni a bejelentést és adott esetben az incidenst, illetve azzal kapcsolatban a megfelelő tájékoztatásoknak eleget tenni.
Az UODO megállapította, hogy ebben a konkrét esetben az adatkezelő nem tett eleget kötelezettségének, amikor késlekedve reagált a rendszerében felmerült hiányosságra. Nem vette komolyan az incidensre irányuló figyelmeztetést és hanyag magatartása megakadályozta abban, hogy arra megfelelően reagáljon.
A bírság kiszabásakor a Hatóság figyelembe vette az adatkezelő hanyag hozzáállását, illetve az incidens méretét és az abban érintett adatok mennyiségét. Az adatvédelmi incidensben feltehetően felhasználónevek és jelszavak is nyilvánosságra kerültek, így a támadók képesek lehetnek ezek felhasználásával az érintettek más felhasználói fiókjaiba is belépni, ahol esetleg hasonló jelszavakat használtak. Az UODO súlyosbító körülményként értékelte az adatkezelő késedelmes eljárását az ügyben.