fbpx

Ucz się na błędach innych. Blisko 3 MLN ZŁOTYCH ZA WYCIEK DANYCH #karometr

Rejestr czynności przetwarzania

Artykuł napisany przez artem_widzialni

Artykuły o RODO

0 Comments(s)

4 wrz, 2020

Utrzymanie kary dla Morele.net

Wojewódzki Sąd Administracyjny (WSA) w Warszawie utrzymał karę ponad 2,8 mln zł, uznając zastosowane przez Morele.net. środki techniczne i organizacyjne za niewystarczające.

Co się stało?

Hakerzy przez panel jednego z pracowników włamali się do systemu sklepu internetowego morele.net. Do osób, które dokonały zakupów, hakerzy wysłali sms z linkiem o treści: “dopłać 1 zł do zamówienia”, tym klientom, którzy kliknęli w przesłany przez złodziei link ukradli pieniądze z kont. Pozostali klienci i użytkownicy sklepu otrzymali telefony i maile z podejrzanymi linkami.

Jaki był błąd?

Według UODO: w styczniu 2019 r. PUODO (Prezes Urzędu Ochrony Danych Osobowych) uznał, że środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. PUODO nałożył na Morele.net karę w wysokości 3 mln złotych.

Decyzja NIE BYŁA prawomocna.

Według WSA: we wrześniu 2020 r. Wojewódzki Sąd Administracyjny (WSA) uchylił skargę złożoną przez Morele.net na nałożoną uprzednio przez PUODO karę i uznał, że kradzież danych nastąpiła przez nieuprawniony dostęp do panelu pracownika i że jednoetapowa autoryzacja (poprzez login i hasło) była niewystarczająca, tym samym utrzymując nałożoną w styczniu 2019 karę w wysokości 2,8 mln złotych.

Jedno jest pewne…

Niestety nie ma systemu nie do obejścia i hakerzy zawsze znajdą sposób na kradzież danych. Miejmy nadzieje, że UODO oraz Sędziowie WSA mają to na uwadze.

Konieczne jest też opracowanie wytycznych dotyczących „wystarczających” środków technicznoorganizacyjnych. Przypadek Morele.net należy potraktować jako przestrogę i wskazówkę, aby starać się wprowadzać jak najwyższe standardy zabezpieczeń, dostosowywane zależnie od skali oraz kategorii przetwarzanych danych osobowych

Warto już dziś pomyśleć o dwuetapowym uwierzytelnianiu dostępu do danych pracowników (środek techniczny) wraz z przeszkoleniem pracowników z zakresu bezpiecznego przetwarzania danych osobowych (środek organizacyjny), aby uniknąć kontroli i kary.

Co dalej? Będziemy na bieżąco informować…

 

artem_widzialni

Może Ci się spodobać…

0 komentarzy

 
 

Pharos Michał Zajdowicz

REGON: 300261731
NIP: 7791290942

kontakt@pharos.pl

+48 505 156 508

+48 608674589

Poznań – Siedziba firmy

Rynek Łazarski 18 lok. 1, 60-733 Poznań

Warszawa – Biuro

Plac Inwalidów 10, 01-552 Warszawa

Skontaktuj się z nami

Napisz do nas, odpisujemy lub oddzwaniamy maksymalnie w następnym dniu roboczym! 

To pole jest wymagane
To pole jest wymagane
To pole jest wymagane
To pole jest wymagane
To pole jest wymagane
To pole jest wymagane
To pole jest wymagane!
To pole jest wymagane!
To pole jest wymagane
To pole jest wymagane
Ta zgoda jest wymagana
Ta zgoda jest wymagana
Polityka Prywatności
To pole jest wymagane!
To pole jest wymagane!
Pola oznaczone gwiazdką (*) są polami wymaganymi do przesłania formularza.
To pole jest wymagane!
To pole jest wymagane!
Prześlij zapytanie