Firma za bardzo zaufała informatykom. Zapłaci karę za wyciek danych

Ponad 33 tys. zł musi zapłacić firma z branży ubezpieczeniowej za utratę poufności danych osobowych klientów po ataku hakerskim na swoje komputery. Jak się okazało, nie sprawdziła, czy obsługująca ją firma informatyczna wdrożyła odpowiednie środki techniczne i organizacyjne, by chronić dane.

Publikacja: 13.04.2023 13:15

Firma za bardzo zaufała informatykom. Zapłaci karę za wyciek danych

Foto: Adobe Stock

Urząd Ochrony Danych Osobowych informuje, że utratę poufności zgłosiła firma X K. P. prowadząca działalność gospodarczą  związaną z oceną ryzyka i szacowaniem strat oraz m.in. usługami brokerów ubezpieczeniowych. To ona zgromadziła dane 800 byłych i obecnych klientów i była ich administratorem. W grudniu 2020 r. doszło do utraty poufności tych danych w zakresie: imion, nazwisk, dat urodzenia, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, numerów telefonów oraz dane dotyczące zdrowia. Były one zawarte w polisach wystawionych przez różne towarzystwa ubezpieczeniowe w okresie od maja 2015 r. do listopada 2020 r. Do wycieku doszło wskutek zawirusowania komputerów w X K. P., które było efektem ataku hakera.

Czytaj więcej

Wyciek danych adwokatów? NRA sprawdziła i wydała komunikat

Administrator powierzył przetwarzanie danych klientów firmie Y M.H. zajmującej się kompleksową obsługą informatyczną. Choć na komputerach zainstalowane były programy antywirusowe, a informatycy Y M.H. podjęli działania od razu po stwierdzeniu ataku, nie udało się zapobiec wyciekowi danych. Tego samego dnia ktoś upublicznił je w internecie.

"Administrator korzystający z usług podmiotów przetwarzających powinien upewnić się, czy podmioty te zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą." - przypomina UODO w komunikacie.

Zaznacza, że firma X K. P. źle zweryfikowała kompetencje Y M.H. jako podmiotu przetwarzającego dane. Weryfikacja polegała jedynie na przeprowadzeniu rozmowy, a świadczone przez Y M.H. usługi nie wzbudziły zastrzeżeń administratora.

"Pozytywnie oceniana współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Samo podpisanie umowy powierzenia przetwarzania danych osobowych bez dokonania właściwej oceny podmiotu przetwarzającego nie może być uznane za realizację obowiązku przeprowadzenia postępowania weryfikującego podmiot przetwarzający. Wyznacznikiem dla takiej oceny nie może być jedynie wieloletnia współpraca i korzystanie z usług danego podmiotu przetwarzającego." - wyjaśnia UODO.

Jak ustalono, w przypadku X K.P. do naruszenia doszło w systemie informatycznym  podczas wydzielenia wspólnego zasobu roboczego zawierającego repozytorium plików i udostępnienia go pracownikom w sieci lokalnej oraz zdalnie. Zmiany te nie zostały wprowadzone na podstawie określonych procedur, a prawidłowość ich przebiegu nie została zweryfikowana po ich dokonaniu.

Ze względu na niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, również na Y M.H. została nałożona administracyjna kara pieniężna, ale dużo niższa - 472 zł.

Urząd Ochrony Danych Osobowych informuje, że utratę poufności zgłosiła firma X K. P. prowadząca działalność gospodarczą  związaną z oceną ryzyka i szacowaniem strat oraz m.in. usługami brokerów ubezpieczeniowych. To ona zgromadziła dane 800 byłych i obecnych klientów i była ich administratorem. W grudniu 2020 r. doszło do utraty poufności tych danych w zakresie: imion, nazwisk, dat urodzenia, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, numerów telefonów oraz dane dotyczące zdrowia. Były one zawarte w polisach wystawionych przez różne towarzystwa ubezpieczeniowe w okresie od maja 2015 r. do listopada 2020 r. Do wycieku doszło wskutek zawirusowania komputerów w X K. P., które było efektem ataku hakera.

2 / 3
artykułów
Czytaj dalej. Subskrybuj
Konsumenci
Rzecznik generalny TSUE o restrukturyzacji Getin Banku: ocenić musi polski sąd
Praca, Emerytury i renty
Rząd ma problem z emeryturami. Trybunał wymusił kosztowne zmiany
Prawo dla Ciebie
Miliony z Funduszu bez konkursów. Eksperci są pewni: Ziobro złamał konstytucję
Podatki
Skarbówka będzie łapać już tylko prawdziwych oszustów
Materiał Promocyjny
Jaki jest proces tworzenia banku cyfrowego i jakie czynniki są kluczowe dla jego sukcesu?
Sądy i trybunały
SN dopuszcza piętrowe wyłączenia sędziów
Płace
Ostatnia taka podwyżka pensji. W przyszłym roku czeka nas rewolucja