Prezes Urzędu Ochrony Danych Osobowych (PUODO) opublikował treść decyzji o nałożeniu kolejnej (najwyższej jak dotąd) kary za naruszenie RODO. Treść decyzji może być szczególnie istotna dla branży e-commerce.
Najwyższa kara
Adresatem decyzji PUODO został właściciel sklepu internetowego Morele.net Sp. z o.o.. Należąca do tego przedsiębiorcy baza danych zawierająca informacje na temat ponad 2 milionów klientów sklepu została wykradziona i opublikowana w Internecie. Ujawnione dane mogą posłużyć do ataków socjotechnicznych na użytkowników (np. phishing) lub innych aktywności bazujących na skradzionej tożsamości. Wykorzystując dane kontaktowe klientów oraz wiedzę o dokonanych transakcjach, przestępcy zwrócili się do osób, których dane znalazły się w wykradzionej bazie o dopłatę 1 zł za pośrednictwem fałszywej bramki dla dokonywania płatności internetowych. Działanie to miało na celu w szczególności wyłudzenie haseł i loginów do kont bankowych. Na skutek tego zdarzenia właściciel sklepu będzie zmuszony zapłacić karę pieniężną w wysokości 2.830.410,00 zł. Dla porównania dotychczasowe kary nałożone przez PUODO wynosiły: 943.470,00 zł za brak wypełnienia obowiązków informacyjnych oraz 55.750,50 zł za wyciek danych będący bezpośrednim skutkiem zachowania administratora.
Czego się dowiedzieliśmy?
W przypadku wcześniejszych kar nałożonych przez PUODO administratorzy zostali ukarani, ponieważ w ocenie organu wprost naruszyli prawa osób, których dane dotyczą (w pierwszym przypadku świadomie nie informując podmiotów danych o przetwarzaniu, w drugim poprzez swoje działanie ujawniając publicznie dane osobowe).
Najnowsza decyzja PUODO wskazuje, że administrator może zostać ukarany także wtedy, gdy naruszenie interesów podmiotów danych wyniknęło bezpośrednio z działań osób zewnętrznych, w tym wypadku hakerów, którzy dokonali ataku. – Monika Skocz, Radca prawny, Senior Managing Associate w Deloitte Legal.
Na czym polegało naruszenie?
Zgodnie z uzasadnieniem decyzji, główną przyczyna nałożenia kary przez PUODO był brak zapewnienia poufności danych wynikający z zastosowania nieodpowiednich środków zabezpieczających przed ich wyciekiem. W ocenie organu przedsiębiorcy przetwarzający dane mają obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, tak aby upewnić się, że stosowane przez nich środki odpowiadają rzeczywistemu ryzyku. Zdaniem PUODO w przypadku omawianego wycieku danych, po stronie administratora zabrakło właściwej analizy ryzyka, przez co m.in. stosowane zabezpieczenia nie były adekwatne do zagrożeń.
Wnioski dla e-commerce
Przedsiębiorstwa z branży e-commerce powinny zwrócić szczególną uwagę na omawianą decyzję PUODO. Tego typu podmioty zazwyczaj posiadają szerokie bazy klientów oraz z natury rzeczy funkcjonują w środowisku cyfrowym, co sprawia, że mogą one być szczególnie podatne na cyberataki. – Grzegorz Olszewski, Radca prawny, Senior Associate w Deloitte Legal.
Jak z kolei wynika z uzasadnienia decyzji PUODO, na przedsiębiorcach prowadzących sklepy internetowe ciąży większa odpowiedzialność i większe wymagania niż na administratorach, którzy przetwarzają dane osobowe w ramach działalności ubocznej, incydentalnie lub na niewielką skalę. Zdaniem organu prowadząc działalność komercyjną, a przy tym gromadząc dane za pośrednictwem sieci Internet, administrator danych powinien podjąć wszelkie niezbędne działania i dochować należytej staranności w doborze środków technicznych i organizacyjnych, zapewniających bezpieczeństwo i poufność danych w tym środowisku.
Cyberbezpieczeństwo
Sklepy internetowe, portale aukcyjne i inne firmy z kategorii e-commerce, są szczególnie narażone na cyberataki. Mają dużą ekspozycję w sieci Internet. Cyberprzestępcy mogą atakować nie tylko klientów takich serwisów, ale również ich infrastrukturę sieciową, aplikację web lub podszywać się pod systemy transakcji internetowych.
Dlatego firmy te muszą posiadać zdolności w zakresie prewencji, wykrywania i reagowania na cyberataki adekwatne do ich profilu ryzyka. Brak należytego rozpoznania zagrożeń i wynikających z nich ryzyk powoduje zwykle zły dobór środków bezpieczeństwa, co skutkuje brakiem gotowości na cyberatak. Istotnym elementem w tym przypadku jest również posiadanie zdolności szybkiego wykrycia ataku i posiadanie odpowiednich narzędzi w celu określenia jego skali i skutków. Marcin Ludwiszewski, Dyrektor, Lider ds. Cyberbezpieczeństwa, Deloitte.
Kary administracyjne
Za nieprzestrzeganie przepisów ogólnego rozporządzenia o ochronie danych osobowych grożą wysokie kary administracyjne. W sytuacji, gdy kontrola wykaże nieprawidłowości w przetwarzaniu danych osobowych, Prezes Urzędu Ochrony Danych może nałożyć karę nawet do 20 000 000 EUR, lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
