Нова глоба за нарушаване на защитата на личните данни в Полша

Полският надзорен орган за защита на личните данни глоби с 660 000 EUR интернет търговец за нарушаване на GDPR

Ръководителят на полската Служба за защита на личните данни  UODO наложи глоба от 2,8 млн. PLN заради  недостатъчни организационни и технически мерки на Morele.net. Данни на около 2,2 милиона души са били разкрити, а UODO констатира липса на подходящи процедури за реакция при появата на необичаен мрежов трафик. Надзорният орган смята, че извършеното нарушение е сериозно и засяга голям брой лица, а в резултат на него съществува голям риск от неблагоприятни последици за лицата, чиито лични данни могат да попаднат в чужди ръце и могат да се използват за кражба на самоличност.

Компрометираните данни са име и фамилия, телефонен номер, имейл, адрес за доставка. За около 35 000 души  данните са изтекли от документи за плащане. Обхватът на данните включва личния идентификационен номер (номер PESEL), серия и номер на документ за самоличност, образование, регистрирания адрес, адреса за кореспонденция, източника на доходи, размера на нетния доход, разходите за живот на домакинството, семейно положение, както и размера на кредитните ангажименти или задължения за издръжка.

За първия пробив се разбира през ноември 2018 г., когато клиенти получават SMS с линк, водещ към фалшив портал.  Тогава е засечен неоторизиран достъп до данните на 2 200 000 потребители. Те са информирани с имейли за инцидента. Следва нов пробив в системите на компанията. В решението за налагане на глобата председателят на UODO заключава, че дружеството, като не е осигурило необходимите технически средства за защита на данните, е нарушило, inter alia, принципа за поверителност. Цитират се и насоките на ENISA за сигурността на обработката на лични данни – мониторингът на събитията в информационните системи е важен елемент, позволяващ идентифицирането на потенциални вътрешни или външни заплахи. Тази задача трябва да се изпълнява под формата на подходящи процедури и система за уведомяване за нежелани събития. Редовното тестване, измерване и оценка на ефективността на техническите и организационните мерки за гарантиране на сигурността на обработката е отговорност на всеки администратор и обработващ според чл. 32 от Регламент 2016/679, пише в решението. Следователно администраторът е длъжен да провери както избора, така и нивото на ефективност на използваните технически средства. Изчерпателността на тази проверка трябва да бъде оценена през призмата на адекватност на рисковете и пропорционалността във връзка със състоянието на техническите познания, разходите за изпълнение и естеството, обхвата, контекста и целите на обработката, пише в решението.