Ponad 1 mld złotych – kary na taką sumę w ciągu dwóch dni nałożył brytyjski odpowiednik Urzędu Ochrony Danych Osobowych (Information Commissioner Office) na dwie globalne firmy.
British Airways oraz sieć hoteli Marriott mają zapłacić odpowiednio 183 mln i 99 mln funtów brytyjskich. W obu przypadkach kary zastały nałożone za wyciek danych osobowych. Z baz danych obu firm zostało wykradzionych prawie 4% danych osobowych ludności na całym świecie. Największa ilość danych wyciekła z bazy Marriott – incydent dotyczy 339 mln klientów.
Co należy zrobić w przypadku wykrycia wycieku danych?
Jeśli dojdzie do sytuacji naruszenia bezpieczeństwa danych osobowych kluczowe jest jak najszybsze jego wykrycie i poinformowanie – maksymalnie w ciągu 72 godzin – organ nadzorujący ochronę danych osobowych -– mówi Krzysztof Grabowski, Inspektor Danych Osobowych z międzynarodowej firmy doradczej Crowe.
W przypadku obu ukaranych przez ICO firm reakcja na incydent nie była natychmiastowa. Sieć Marriott czekała 4 lata na poinformowanie o tym zdarzeniu opinii publicznej i ofiar wycieku danych. British Airways wykrył naruszenie ponad 3 miesiące od momentu jego zajścia, co może świadczyć o niewystarczającym poziomie zabezpieczenia procesu.
W przypadku utraty wrażliwych danych czas jest decydujący. W obu sprawach do nieuprawnionych osób trafiły bowiem m.in. numery kard kredytowych klientów, a w przypadku sieci Marriott także numery paszportów.
W sytuacji naruszenia ochrony danych osobowych należy w jak najkrótszym czasie zadbać o bezpieczeństwo osób poszkodowanych. Kluczowa w tym procesie jest komunikacja, skierowana na powiadomienie ofiar wycieku o incydencie i ostrzeżenie o potencjalnych ryzykach – dodaje Krzysztof Grabowski.
Przypadki wycieków danych w Polsce
W 2018 roku do Urzędu Ochrony Danych Osobowych zostało zgłoszonych ponad 3 tysiące skarg, w tym kilkanaście przypadków naruszeń bezpieczeństwa danych bardzo dużą skalę. W grudniu głośny na polskim rynku był przypadek masowego wycieku danych klientów sklepu internetowego Morele.net. Wśród wykradzionych informacji znajdowały się imiona i nazwiska, numer PESEL czy sytuacja finansowa 2,5 mln klientów firmy. Pięć miesięcy po poinformowaniu o wycieku osób poszkodowanych, w internecie zostały opublikowane hasła i loginy klientów. Obecnie sprawa jest wyjaśniana przez UODO.
Za naruszenie wymogów RODO firmom grożą kary do 20 mln EUR lub sięgające 4 proc. rocznych globalnych obrotów przedsiębiorstwa.