Urząd Ochrony Danych Osobowych informuje, że utratę poufności zgłosiła firma X K. P. prowadząca działalność gospodarczą związaną z oceną ryzyka i szacowaniem strat oraz m.in. usługami brokerów ubezpieczeniowych. To ona zgromadziła dane 800 byłych i obecnych klientów i była ich administratorem. W grudniu 2020 r. doszło do utraty poufności tych danych w zakresie: imion, nazwisk, dat urodzenia, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, numerów telefonów oraz dane dotyczące zdrowia. Były one zawarte w polisach wystawionych przez różne towarzystwa ubezpieczeniowe w okresie od maja 2015 r. do listopada 2020 r. Do wycieku doszło wskutek zawirusowania komputerów w X K. P., które było efektem ataku hakera.
Czytaj więcej
Konta mailowe adwokatów oraz okręgowych rad adwokackich są bezpieczne - zapewnia Naczelna Rada Adwokacka.
Administrator powierzył przetwarzanie danych klientów firmie Y M.H. zajmującej się kompleksową obsługą informatyczną. Choć na komputerach zainstalowane były programy antywirusowe, a informatycy Y M.H. podjęli działania od razu po stwierdzeniu ataku, nie udało się zapobiec wyciekowi danych. Tego samego dnia ktoś upublicznił je w internecie.
"Administrator korzystający z usług podmiotów przetwarzających powinien upewnić się, czy podmioty te zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą." - przypomina UODO w komunikacie.
Zaznacza, że firma X K. P. źle zweryfikowała kompetencje Y M.H. jako podmiotu przetwarzającego dane. Weryfikacja polegała jedynie na przeprowadzeniu rozmowy, a świadczone przez Y M.H. usługi nie wzbudziły zastrzeżeń administratora.
"Pozytywnie oceniana współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Samo podpisanie umowy powierzenia przetwarzania danych osobowych bez dokonania właściwej oceny podmiotu przetwarzającego nie może być uznane za realizację obowiązku przeprowadzenia postępowania weryfikującego podmiot przetwarzający. Wyznacznikiem dla takiej oceny nie może być jedynie wieloletnia współpraca i korzystanie z usług danego podmiotu przetwarzającego." - wyjaśnia UODO.
Jak ustalono, w przypadku X K.P. do naruszenia doszło w systemie informatycznym podczas wydzielenia wspólnego zasobu roboczego zawierającego repozytorium plików i udostępnienia go pracownikom w sieci lokalnej oraz zdalnie. Zmiany te nie zostały wprowadzone na podstawie określonych procedur, a prawidłowość ich przebiegu nie została zweryfikowana po ich dokonaniu.
Ze względu na
niewdrożenie odpowiednich środków technicznych i organizacyjnych
zapewniających bezpieczeństwo danych osobowych, również na Y M.H. została nałożona administracyjna kara pieniężna, ale dużo niższa - 472 zł.
