Amendă administrativă în valoare de 250.000 EUR aplicată de către Autoritatea de Protecție a Datelor din Polonia, companiei ID Finance Poland, pentru încălcarea principiului de confidențialitate și protecție a datelor cu caracter personal
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 250.000 EUR, aplicată de către Autoritatea de Protecție a Datelor din Polonia, companiei ID Finance Poland, pentru încălcarea principiului de confidențialitate și protecție a datelor cu caracter personal.
În cadrul procedurilor de verificare, Președintele Oficiului pentru Protecția Datelor cu Caracter Personal (UODO), a stabilit că încălcarea a avut loc în urma eșecului de a restabili configurația de securitate adecvată după ce unul dintre serverele operate de către persoana împuternicită de operator a fost repornit. Operatorul de date a fost informat despre acest lucru de către unul dintre specialiștii săi în securitate cibernetică, care a detectat vulnerabilitatea și a indicat care sunt informațiile disponibile publicului. Compania ID Finance Poland nu a verificat imediat vulnerabilitățile identificate ale sistemului și drept urmare, câteva zile mai târziu, datele au fost furate de pe acest server.
La aplicarea amenzii, UODO a luat în considerare amploarea încălcării și sfera de aplicare a datelor furate. În plus, deoarece s-au scurs și parole necriptate, a fost posibilă utilizarea acestor date pentru conectarea la conturile diferitor clienți dacă aceștia au folosit aceleași date de conectare (de ex. e-mail) și parolă pe alte site-uri web. La stabilirea cuantumului amenzii, Autoritatea de Protecție a Datelor din Polonia a luat în calcul și întârzierea operatorului de date în luarea măsurilor preventive. Cuantumul amenzii ar trebui să îndeplinească atât o funcție represivă, cât și o funcție preventivă. În opinia Autorității, aceasta ar trebui să prevină încălcări similare în viitor, atât în cadrul companiei sancționate, cât și la alți operatori de date.
CNPDCP, în calitate de autoritatea națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt în conformitate cu legislația în vigoare.