Wyciek danych klientów firmy Panek. Są kary

Do ujawnienia danych osobowych może dojść nie tylko w przypadku cyberataku. Często ma to miejsce w wyniku błędu administratorskiego. Postępowania prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych pokazują jednak, że nie wystąpiłby on, gdyby dany podmiot wdrożył należyte środki w celu ochrony informacji.

Na „słowo honoru”

Jak poinformował Urząd w najnowszym komunikacie, zakończyło się postępowanie dotyczące wycieku, który miał miejsce w firmie Panek SA - mówiliśmy o nim na łamach CyberDefence24 w 2020 roku. Jego efektem była publikacja danych blisko 21,5 tys. klientów spółki, wśród których oprócz imienia i nazwiska znalazły się także zaszyfrowane hasła do logowania.

Dlaczego jednak doszło do incydentu? Pliki z danymi zostały przez pomyłkę umieszczone na nowej stronie przez pracownika podwykonawcy, firmy ITCenter, ponieważ komunikacja na linii podmiot przetwarzający dane – administrator danych nie była odpowiednia. Wpadka spotęgowana została tym, że pliki zindeksowała wyszukiwarka Google. 

Według spółki Panek, przyczyną publikacji danych osobowych miał być błąd konfiguracji serwera, spowodowany przez podwykonawcę. Prezes UODO ustalił jednak, że administrator nie prowadził nadzoru nad pracami prowadzonymi przez ITCenter. W zamian uznawał spływające z firmy informacje o „dostatecznych gwarancjach ochrony” za wystarczające.

Obsługiwali stronę, nie wiedząc, że jest zbiorem danych

W informacji UODO wskazało, że konieczne było wdrożenie przez administratora odpowiednich środków technicznych i organizacyjnych. Wykorzystywane zasoby czy urządzenia miały być zabezpieczone „w optymalny sposób”.

„Powinno się to było odbywać poprzez regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych” – czytamy w decyzji Prezesa Urzędu.

Co jednak jest istotne, firma zajmująca się stroną internetową spółki Panek stwierdziła, że nie wiedziała o jej funkcjach. Obejmowało to również fakt, że – zgodnie z opisem Urzędu – „sama w sobie jest zbiorem danych osobowych”. Portal spółki nie został jednak ujęty w umowie o powierzeniu przetwarzania danych.

„Administrator, mając świadomość, że przetwarza dane osobowe, znając ich charakter i zakres, po rzetelnie przeprowadzonej analizie ryzyka decyduje o tym, jakie adekwatne środki organizacyjne i techniczne powinny zostać przez niego wdrożone” – napisano w komunikacie.

Efektem jest nałożenie przez Prezesa UODO kary 20,037 tys. zł na firmę ITCenter, która przetwarzała dane klientów zleceniodawcy. Sama spółka Panek również otrzymała karę, ale znacznie większą – jej kwota wynosi 1,527 mln zł. Jak zaznaczono, wynika to z rocznych obrotów administratora danych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].