Ile zdaniem PUODO powinna wynosić kara za brak zawiadomienia o przypadkowym wysłaniu polisy ubezpieczeniowej do nieuprawnionego odbiorcy? To już wiemy. Jaka zatem może grozić kara za wyciek danych osobowych tysięcy-tysięcy użytkowników serwisu internetowego, brak prawidłowego zabezpieczenia tych danych, brak prawidłowych procedur — można powiedzieć: pewnego rodzaju olejstwo? O tym dowiadujemy się z decyzji Prezesa Urzędu Ochrony Danych Osobowych nr DKN.5130.1354.2020 z 17 grudnia 2020 r. w/s spółki ID Finance Poland sp. z o.o.
Sprawa dotyczyła odpowiedzialności pożyczkodawcy (spółki ID Finance Poland sp. z o.o., dziś w likwidacji) za wyciek danych osobowych użytkowników serwisu internetowego MoneyMan.pl.
Zaczęło się od tego, że pracownik firmy hostingowej (formalnie podmiotu przetwarzającego — firmy IDFT, której nie umiem zlokalizować, acz czuję, że to jakiś podmiot powiązany z IDFP) zrestartował serwer, ale nie sprawdził, że po restarcie dane nie były prawidłowo zabezpieczone; po jakimś czasie inspektor ochrony danych ID Finance Poland otrzymał wiadomość (po angielsku) od „niezależnego konsultanta w zakresie cyberbezpieczeństwa” o tym, że dane dane klientów są publiczne dostępne w internecie; iod przekazał temat dyrektorowi finansowemu i poprosił o kontakt do IDFT; dyrektor postanowił sam zwrócić się do IDFT, ale wiadomość do IDFT opatrzył „komentarzem sugerującym”, że może być to próba wyłudzenia poufnych informacji; mniej-więcej w tym samym czasie nieustalona osoba „dokonała pobrania i usunięcia” bazy danych i zażądała okupu; ID Finance Poland realnie zareagowała dopiero po otrzymaniu pytania od redaktora portalu zaufanatrzeciastrona.pl (linkuję, chociaż treść decyzji nie linkuje ;-) — teraz wreszcie IDFT zidentyfikowała problem i poinformowała administratora, że doszło do naruszenia poufności danych osobowych wskutek nieprawidłowej konfiguracji zapory sieciowej („podmiot ten nie miał do czynienia z taką sytuacją”), w konsekwencji czego potwierdzono wyciek, podjęto działania zaradcze (w tym powiadomiono użytkowników) i zresetowano ich hasła…
Z przykrością informujemy, że na skutek błędu podmiotu trzeciego współpracującego z ID Finance Poland sp. z. o. o. doszło do nieuprawnionego dostępu osoby trzeciej do danych osobowych części użytkowników portalu MoneyMan.pl.
Spółka podjęła natychmiastowe działania celem zabezpieczenia danych, zidentyfikowania przyczyny incydentu oraz niezwłocznie po jej zidentyfikowaniu usunęła jego źródło.
Zgodnie z przepisami RODO, informacja o incydencie wraz z wszelkimi wymaganymi danymi została przekazana Prezesowi Urzędu Ochrony Danych Osobowych.
W dniu 16 marca br. do tych z Państwa, których danych dotyczył nieuprawniony dostęp, zostały wysłane wiadomości e-mail zawierające szczegółowe informacje na temat zdarzenia, jego możliwych konsekwencji oraz podjętych przez nas kroków.
Brak wiadomości z dnia 16 marca br. zatytułowanej „Informacja MoneyMan na temat bezpieczeństwa danych osobowych” oznacza, że incydent nieuprawnionego dostępu nie dotyczył Państwa danych osobowych. * [*Prosimy o sprawdzenie skrzynek pocztowych, w tym folderu SPAM.]
Pragniemy zapewnić, że dołożyliśmy wszelkiej staranności, aby dane osobowe naszych Klientów były przetwarzane w sposób gwarantujący pełne bezpieczeństwo. Stwierdzony incydent miał charakter incydentalny i wynikał wyłącznie z niezamierzonego błędu ludzkiego.
Najmocniej przepraszamy za zaistniałą sytuację oraz wszelkie niedogodności z niej wynikające.
… a także przesłano do PUODO zgłoszenie, w którym poinformowano o nieautoryzowanym dostępie do danych 140 tys. klientów (obejmujących m.in. imię i nazwisko, PESEL, NIP, adres listelowy, numer telefonu, wykształcenie, zatrudnienie, zarobki, stan cywilny, adres zameldowania i korespondencyjny, numer rachunku bankowego…) oraz powiadomiono zainteresowane osoby o naruszeniu.
Wszystko to zajęło spółce ID Finance Poland około 10 dni.
art. 25 ust. 1 RODO
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator –- zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania — wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
W toku postępowania pożyczkodawca wyjaśnił, że wycieknięta baza miała charakter roboczy (nie była to główna, produkcyjna, baza), jej celem było przeprowadzenie analizy behawioralnej użytkowników serwisu internetowego MoneyMan.pl, a chodziło o nic innego jak zwiększenie bezpieczeństwa danych i zmniejszenie ryzyka ataków, kradzieży tożsamości i wyłudzeń finansowych. Dostęp do bazy miała ograniczona liczba pracowników, zatem dane nie zostały zaszyfrowane (z decyzji nie sposób wywnioskować czy spółce zarzucono brak szyfrowania samych haseł czy danych ogółem). W zakresie usług IT spółka posiłkowała się wsparciem podmiotu przetwarzającego, który został wybrany jako doświadczony usługodawca, a następnie poddany audytowi. Doświadczenie doświadczeniem, ale ludzki błąd sprawił, że przy restarcie serwera nie przywrócono wszystkich zabezpieczeń — zaś błędu człowieka nie sposób przewidzieć i uniknąć, pomimo uwzględnienia różnych czynników ryzyka.
art. 32 ust. 1-2 RODO
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
W świetle tych ustaleń PUODO stwierdził, że:
- o naruszeniach ochrony danych osobowych należy informować regulatora oraz zainteresowane osoby bez zbędnej zwłoki („Kara za brak zgłoszenia naruszenia ochrony danych osobowych”), nie pozbawia to administratora prawa do zbadania czy rzeczywiście doszło do incydentu, ale należy czynić to sprawnie i szybko, zaś w przypadku wątpliwości należy zgłosić PUODO naruszenie „nawet jeśli taka ostrożność mogłaby się okazać nadmierna” — zatem trwająca 10 dni weryfikacja otrzymanej wiadomości, poprzetykania korespondencją z firmą informatyczną, czego skutkiem było wykorzystanie podatności może stanowić naruszenie obowiązków wynikających z art. 33 ust. 1 RODO (co ciekawe mimo oceny, iż zgłoszenie naruszenia było spóźnione, PUODO nie stwierdził naruszenia tego przepisu, umarzając w tym zakresie postępowanie);
- stosowane środki techniczne i organizacyjne powinny odpowiadać ryzyku naruszenia praw i wolności osób fizycznych, przy czym pod uwagę wziąć należy m.in. stan wiedzy, koszt wdrożenia, cele przetwarzania (ustaliwszy poziom ryzyka należy wprowadzić odpowiednie zabezpieczenia) — tymczasem nie tylko dopuszczono do wycieku danych klientów, ale też informacja o zagrożeniu została początkowo zlekceważona (potraktowano ją jako próbę „smart phishingu”), wszystkie czynności podejmowano zbyt powolnie, ograniczając się raczej do przerzucania się korespondencją (przy czym „brak szybkiej reakcji ze strony podmiotu przetwarzającego nie zdejmuje z administratora odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych”) — co oznacza, że nie podjęto wszelkich niezbędnych czynności wskazanych w art. 32 RODO;
- uchybienia, których dopuścił się usługodawca stanowi naruszenie obowiązków w zakresie oceny ryzyka związanego z przetwarzaniem danych osobowych, a także naruszenie obowiązku przetwarzania danych osobowych w sposób gwarantujący ich „integralność i poufność” (art. 5 ust. 1 lit. f) RODO); pozwala to także ocenić, iż serwis nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych (art. 24 ust. 1 RODO), zaś zaniedbań dopuszczono się już na etapie projektowania systemów — a to poprzez brak wdrożenia szyfrowania haseł („privacy by design”, art. 25 ust. 1 RODO), a także nie przeprowadzano odpowiednich testów zabezpieczeń (art. 32 ust. 1 lit. d) RODO);
- spółce ID Finance Poland nie można natomiast zarzucać: naruszenia obowiązku zawiadomienia użytkowników o wycieku (art. 34 ust. 1 RODO) — ponieważ hasła zresetowano i podjęto działania informacyjne; nieprawidłowości w wyborze podmiotu przetwarzającego dane (firmy hostingowej), ponieważ IDFT spełniała wszystkie warunki określone w art. 28 RODO.
Finalnie stwierdzając naruszenie szeregu obowiązków wynikających z rozporządzenia 2016/679 PUODO nałożył na spółkę ID Finance Poland sp. z o.o. karę pieniężną w kwocie 1,069 mln złotych. Na wysokość kary wpływ miały m.in.:
- charakter i waga naruszenia oraz znaczna liczba osób poszkodowanych wyciekiem (140 tys.) — wysokie ryzyko dalszych negatywnych skutków wynikających z niewątpliwie złej woli, która dane ściągnęła (może dojść zarówno do wyrządzenia szkody majątkowej, ale już samo naruszenie poufności danych można oceniać jako krzywdę);
- czas trwania naruszenia — spółka nie podejmowała odpowiednich działań przez 10 dni, a przecież gdyby od razu zareagowano prawidłowo, możliwe by było zmniejszenie dolegliwości skutków wycieku danych osobowych (przy czym opóźnienie we wdrożeniu procedur należy liczyć od maja 2018 r.);
- szeroki zakres danych osobowych — wprawdzie dane te nie są danymi wrażliwymi, ale mnogość ujawnionych informacji (m.in. imię i nazwisko, PESEL, NIP, adresy…) znacząco wpływa na wysokość kary.
Zamiast komentarza: przypomnijmy, że PUODO wycenił przypadkowe (z winy zainteresowanego) ujawnienie danych z dwóch polis (określonej) osobie — a właściwie błąd proceduralny (brak zawiadomienia o naruszeniu) — na 85 tys. złotych. W tym samym czasie na innego przedsiębiorcę została nałożona kara za wyciek danych osobowych 140 tys. użytkowników serwisu internetowego — wysokości niespełna trzynastokrotnie wyższej. Nominalnie jest OK: uchybienie Warty wyceniono na 20 tys. euro (decyzja nawet nie porusza kwestii obrotów ubezpieczyciela), natomiast ID Finance Polska zapłaciła 250 tys. euro (przy przychodach netto 33,4 mln złotych w 2018 r. i 17,7 mln złotych w 2019 r…. a więc przeszło 4% przychodów spółki).
Czy aby nie jest tak, że tylko pozornie jest OK? RODO określa maksymalne kwoty kar, ale nie określa kwot minimalnych — no i dlatego właśnie coś w tym całym stopniowaniu wysokości kar najzwyczajniej nie gra…