RODO: Suma kar UODO przekroczyła 2 mln euro

Brak odpowiedniego zabezpieczenia danych

Według analizy firmy Sprint, od wejścia w życie unijnego rozporządzenia o ochronie danych osobowych (RODO) do UODO zgłoszono ponad 20 tys. skarg (okres od maja 2018 r. do końca 2020 r.). Jak podkreślono, w 2020 r. do urzędu wpływało średnio ponad 530 skarg miesięcznie.

Zgodnie z analizą do tej pory łączna wartość kar nałożonych przez UODO przekroczyła 2 mln euro. "35 proc. z nich nałożono za brak odpowiedniego zabezpieczenia danych, czego skutkiem w większości przypadków był wyciek. Tak było w przypadku najwyższej do tej pory kary w wysokości ponad 600 tys. euro, nałożonej w związku z atakiem hakerskim na sklep internetowy" – przekazała ekspertka ds. cyberbezpieczeństwa w firmie Sprint Patrycja Tatara, cytowana w informacji.

W przypadku 8 proc. kar przyczyną ich nałożenia było niepoinformowanie UODO o zdarzeniu.

Niezabezpieczone dane na stronie www

Firma podkreśliła, że często dochodzi do przypadkowego upublicznienia danych. "Nie mówimy tu o świadomym zamieszczeniu informacji na stronie, jak to uczyniło jedno polskie stowarzyszenie sportowe. Chodzi o zdarzenia nieumyślne. Powołując się na rodzimy przykład – w trakcie restartu serwerów jednej firmy wystąpił błąd, przez który publiczne stały się dane ich klientów, ponad 140 tys. osób. Niestety zostało to wychwycone przez przestępców, którzy skopiowali dane i usunęli je z firmowej bazy. Potem wystąpili o okup. Kara od UODO przekroczyła równowartość 200 tys. euro" - podał Sprint.

Kolejnym przykładem sytuacji, która naraża firmę na wyciek danych, są ataki na stronę www i aplikacje webowe. Jak wskazano w analizie, w Polsce jeszcze nie doszło do takiego zdarzenia. Podano natomiast przykład linii lotniczych British Airways. Ruch z ich oficjalnego serwisu był przekierowywany na fałszywą stronę, która zbierała dane osobowe. Liczba poszkodowanych sięgnęła 500 tys., a kara – 20 mln euro. Z kolei brytyjski Ticketmaster korzystał z "dziurawego" chatbota, co umożliwiało dostęp do danych finansowych klientów. Nie doszło do wycieku danych, ale kara i tak przekroczyła 1 mln euro.

W analizie zaznaczono, że UODO podchodzi wyjątkowo surowo także do bezpośrednich ataków na firmowe serwery i bazy danych, zwłaszcza jeśli ofiara ataku nie wypełni obowiązku informacyjnego związanego z atakiem.

Jak dodano, nadal zdarzają się też "fizyczne" zdarzenia prowadzące do wycieku danych, jak kradzież komputera z danymi (z czym musiała zmierzyć się jedna z polskich uczelni) czy zgubienie przenośnej pamięci USB (co zdarzyło się pracownikowi jednego z sądów okręgowych).