Korea Płd: CEO odchodzi po dużym wycieku. A co zmieni NIS2 w Polsce?

Pomiędzy 24 czerwca a 18 listopada br. miało dojść do kradzieży danych ponad 33 milionów klientów Coupang, południowokoreańskiego giganta e-commerce. Według agencji Reutera, incydent był prawdopodobnie „najgorszym wyciekiem danych w tym kraju od ponad dekady”. Wśród upublicznionych rodzajów danych znalazły się m.in.:

• imiona i nazwiska;
• adresy e-mail;
• numery telefonów;
• adresy i historia zamówień.

Agencja wskazuje również, że według jednej z południowokoreańskiej telewizji do incydentu doszło najprawdopodobniej wskutek złośliwego działania jednego z chińskich pracowników, który był odpowiedzialny za „zadania związane z uwierzytelnianiem”.

Prezes rezygnuje

10 grudnia media poinformowały o rezygnacji Park Dae-juna ze stanowiska CEO Coupang. Stało się to niedługo po zapowiedzi tamtejszego premiera Kim Min-seoka o przeprowadzeniu śledztwa w sprawie incydentu. Wiadomo też, że w tym tygodniu policja przeszukała biuro firmy w Seulu.

WNP przekazało, że według Bloomberga „naruszenie bezpieczeństwa dotknęło prawie dwie trzecie Koreańczyków”. W artykule wspomniano również o grzywnie dla firmy, która może wynieść nawet bilion wonów południowokoreańskich (niecałe 2,5 mld złotych). W 2024 firma osiągnęła 38,3 biliona wonów przychodu (niecałe 94,5 mld złotych).

Odpowiedzialność zarządu

Oczywiście Korea Południowa nie jest członkiem Unii Europejskiej, więc nie podlega bezpośrednio pod zapisy dyrektywy NIS2, lecz warto przełożyć tamtejszy incydent na nasze realia.

Polska dotychczas nie wdrożyła zapisów do porządku krajowego, co ma się zmienić w momencie wejścia w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Obecnie prace legislacyjne toczą się w Sejmie – kilka dni temu odbyło się pierwsze czytanie ustawy, podczas którego sala „świeciła pustkami”.

Ważnym punktem dyrektywy jest bezpośrednia odpowiedzialność członków zarządu. W obecnie procedowanym projekcie ustawy (druk 1955), znajdują się następujące zapisy (art. 73a. UoKSC):

1. Karze pieniężnej może podlegać kierownik podmiotu kluczowego lub podmiotu ważnego, który (nie wykonuje obowiązków określonych w ustawie – przyp. red.)
Projekt UoKSC

2. Karze pieniężnej może podlegać także kierownik podmiotu kluczowego lub podmiotu ważnego, którego zaniechanie w realizacji obowiązków, o których mowa w ust. 1, miało charakter jednorazowy
Projekt UoKSC

4. Kara pieniężna, o której mowa w ust. 1–3, może być wymierzona w kwocie nie większej niż 300% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop
Projekt UoKSC

Kara dla podmiotu

Zgodnie z KBS World, południowokorańska ustawa o ochronie danych osobowych (Personal Information Protection Act) umożliwia regulatorowi nałożenie kary w wysokości 3% całkowitego przychodu ze sprzedaży. Linklaters uściśla, że chodzi o przychody „związane z naruszeniem”.

NIS2 również wprowadza podobny mechanizm, wyznaczając nieco mniejszy pułap procentowy. W artykule 34 NIS2 czytamy:

4. Państwa członkowskie zapewniają, by podmioty kluczowe dokonujące naruszeń art. 21 lub 23 podlegały zgodnie z ust. 2 i 3 niniejszego artykułu administracyjnym karom pieniężnym w maksymalnej wysokości co najmniej 10 000 000 EUR lub co najmniej 2 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy, przy czym zastosowanie ma kwota wyższa.
NIS2

5. Państwa członkowskie zapewniają, by podmioty ważne dokonujące naruszeń art. 21 lub 23 podlegały zgodnie z ust. 2 i 3 niniejszego artykułu administracyjnym karom pieniężnym w maksymalnej wysokości co najmniej 7 000 000 EUR lub 1,4 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny, przy czym zastosowanie ma kwota wyższa.
NIS2

Kroki konieczne do podjęcia przez podmioty podlegające pod NIS2 opisaliśmy na łamach naszego portalu. Oczywiście pozostaje wyczekiwać momentu wejścia w życie krajowej implementacji zapisów dyrektywy.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.