Rekordowe kary za naruszenie RODO

0

Ponad 1 mld złotych – kary na taką sumę w ciągu dwóch dni nałożył brytyjski odpowiednik Urzędu Ochrony Danych Osobowych (Information Commissioner Office) na dwie globalne firmy.

Krzysztof Grabowski, Inspektor Danych Osobowych z międzynarodowej firmy doradczej Crowe
Krzysztof Grabowski, Inspektor Danych Osobowych z międzynarodowej firmy doradczej Crowe

British Airways oraz sieć hoteli Marriott mają zapłacić odpowiednio 183 mln i 99 mln funtów brytyjskich. W obu przypadkach kary zastały nałożone za wyciek danych osobowych. Z baz danych obu firm zostało wykradzionych prawie 4% danych osobowych ludności na całym świecie. Największa ilość danych wyciekła z bazy Marriott – incydent dotyczy 339 mln klientów.

Co należy zrobić w przypadku wykrycia wycieku danych?

Jeśli dojdzie do sytuacji naruszenia bezpieczeństwa danych osobowych kluczowe jest jak najszybsze jego wykrycie i poinformowanie – maksymalnie w ciągu 72 godzin – organ nadzorujący ochronę danych osobowych -– mówi Krzysztof Grabowski, Inspektor Danych Osobowych z międzynarodowej firmy doradczej Crowe.

W przypadku obu ukaranych przez ICO firm reakcja na incydent nie była natychmiastowa. Sieć Marriott czekała 4 lata na poinformowanie o tym zdarzeniu opinii publicznej i ofiar wycieku danych. British Airways wykrył naruszenie ponad 3 miesiące od momentu jego zajścia, co może świadczyć o niewystarczającym poziomie zabezpieczenia procesu.

W przypadku utraty wrażliwych danych czas jest decydujący. W obu sprawach do nieuprawnionych osób trafiły bowiem  m.in. numery kard kredytowych klientów, a w przypadku sieci Marriott także numery paszportów.

W sytuacji naruszenia ochrony danych osobowych należy w jak najkrótszym czasie zadbać o bezpieczeństwo osób poszkodowanych. Kluczowa w tym procesie jest komunikacja, skierowana na powiadomienie ofiar wycieku o incydencie i ostrzeżenie o potencjalnych ryzykach – dodaje Krzysztof Grabowski.

Przypadki wycieków danych w Polsce

W 2018 roku do Urzędu Ochrony Danych Osobowych zostało zgłoszonych ponad 3 tysiące skarg, w tym kilkanaście przypadków naruszeń bezpieczeństwa danych bardzo dużą skalę. W grudniu głośny na polskim rynku był przypadek masowego wycieku danych klientów sklepu internetowego Morele.net.  Wśród wykradzionych informacji znajdowały się imiona i nazwiska, numer PESEL czy sytuacja finansowa 2,5 mln klientów firmy. Pięć miesięcy po poinformowaniu o wycieku osób poszkodowanych, w internecie zostały opublikowane hasła i loginy klientów.  Obecnie sprawa jest  wyjaśniana przez UODO.

Czytaj również:  Nasze dane osobowe mogą się znajdować w posiadaniu setek firm. Dzięki specjalnej aplikacji można łatwo nimi zarządzać, a na udostępnieniu sporo zarobić

Za naruszenie wymogów RODO firmom  grożą kary do 20 mln EUR lub sięgające 4 proc. rocznych globalnych obrotów przedsiębiorstwa.