more_horiz
Gospodarka

Ochrona danych osobowych. Niedbałość kosztowała polskie firmy 2 mln euro

Ostatnia aktualizacja: 28.01.2022 14:54
Suma kar nałożonych przez Urząd Ochrony Danych Osobowych z tytułu RODO przekroczyła 2 mln euro; najwyższa do tej pory kara to ponad 600 tys., a średnia to 79 tys. euro - wynika z opublikowanej analizy. Zgodnie z nią w 35 proc. przypadków przyczyną kary były nieodpowiednie zabezpieczenia.
Ekspertka: w dobie zdalnej pracy i wielu aktywności w internecie, musimy zadbać o bezpieczeństwo naszych danych wrażliwych.
Ekspertka: w dobie zdalnej pracy i wielu aktywności w internecie, musimy zadbać o bezpieczeństwo naszych danych wrażliwych.Foto: Tero Vesalainen/ Shutterstock

Po raz szesnasty obchodzimy w Polsce Dzień Ochrony Danych Osobowych. W tym roku szczególny nacisk jest kładziony na bezpieczeństwo naszych danych w internecie. Ma to związek z coraz powszechniejszym przenoszeniem codziennego życia do ceberprzestrzeni.

Cyberprzestrzeń to ważny obszar naszego życia

Ekspertka ds. ochrony danych Katarzyna Ellerik przypomina, że w dobie zdalnej pracy i wielu aktywności w internecie, musimy zadbać o bezpieczeństwo naszych danych wrażliwych. Katarzyna Ellerik podkreśliła, że często robiąc zakupy w sklepach internetowych zapominamy o tym, że zgody na przetwarzanie naszych danych osobowych mogą być dostępne także dla odbiorców spoza Europy, gdzie o ochronę takich danych jest trudniej. Potem mamy do czynienia z uciążliwymi mailami i telefonami marketingowymi.

Posłuchaj
00:19 x 1 Ekspert o ochronie danych osobowych.mp3 Ekspert o ochronie danych osobowych (IAR)

 

W trakcie obchodów tegorocznego Dnia Ochrony Danych Osobowych specjaliści skupiają się na edukacji i przypominaniu, że cyberprzestrzeń to tak samo ważny obszar naszego życia, jak ekonomia, zdrowie czy edukacja.

- Każdy z tych obszarów zasługuje na naszą ochronę - przypomniała Katarzyna Ellerik.

Specjalistka dodała, że działając w cyberprzestnieni powinniśmy być ostrożni i działać bez pośpiechu.

- To w naszych rękach jest to, żebyśmy przeczytali regulamin czy politykę prywatności i co dzieje się potem z naszymi danymi osobowymi - powiedziała.


Posłuchaj
00:21 x 2 Ekspert o ochronie danych osobowych.mp3 Ekspert o ochronie danych osobowych (IAR)

 

Przypadkowe upublicznienie danych

Według analizy firmy Sprint, od wejścia w życie unijnego rozporządzenia o ochronie danych osobowych (RODO) do Urzędu Ochrony Danych Osobowych zgłoszono ponad 20 tys. skarg (okres od maja 2018 r. do końca 2020 r.). Jak podkreślono, w 2020 r. do urzędu wpływało średnio ponad 530 skarg miesięcznie.
Zgodnie z analizą do tej pory łączna wartość kar nałożonych przez UODO przekroczyła 2 mln euro.

- 35 proc. z nich nałożono za brak odpowiedniego zabezpieczenia danych, czego skutkiem w większości przypadków był wyciek. Tak było w przypadku najwyższej do tej pory kary w wysokości ponad 600 tys. euro, nałożonej w związku z atakiem hakerskim na sklep internetowy - poinformowała ekspertka ds. cyberbezpieczeństwa w firmie Sprint Patrycja Tatara.

W przypadku 8 proc. kar przyczyną ich nałożenia było niepoinformowanie UODO o zdarzeniu.

Firma podkreśliła, że często dochodzi do przypadkowego upublicznienia danych.

"Nie mówimy tu o świadomym zamieszczeniu informacji na stronie, jak to uczyniło jedno polskie stowarzyszenie sportowe. Chodzi o zdarzenia nieumyślne. Powołując się na rodzimy przykład - w trakcie restartu serwerów jednej firmy wystąpił błąd, przez który publiczne stały się dane ich klientów, ponad 140 tys. osób. Niestety zostało to wychwycone przez przestępców, którzy skopiowali dane i usunęli je z firmowej bazy. Potem wystąpili o okup. Kara od UODO przekroczyła równowartość 200 tys. euro" - podał Sprint.

Nadal zdarzają się "fizyczne" incydenty

Kolejnym przykładem sytuacji, która naraża firmę na wyciek danych, są ataki na stronę www i aplikacje webowe. Jak wskazano w analizie, w Polsce jeszcze nie doszło do takiego zdarzenia. Podano natomiast przykład linii lotniczych British Airways. Ruch z ich oficjalnego serwisu był przekierowywany na fałszywą stronę, która zbierała dane osobowe. Liczba poszkodowanych sięgnęła 500 tys., a kara - 20 mln euro.

Z kolei brytyjski Ticketmaster korzystał z "dziurawego" chatbota, co umożliwiało dostęp do danych finansowych klientów. Nie doszło do wycieku danych, ale kara i tak przekroczyła 1 mln euro.

W analizie zaznaczono, że UODO podchodzi wyjątkowo surowo także do bezpośrednich ataków na firmowe serwery i bazy danych, zwłaszcza jeśli ofiara ataku nie wypełni obowiązku informacyjnego związanego z atakiem.

Jak dodano, nadal zdarzają się też "fizyczne" incydenty prowadzące do wycieku danych, jak kradzież komputera z danymi (z czym musiała zmierzyć się jedna z polskich uczelni) czy zgubienie przenośnej pamięci USB (co zdarzyło się pracownikowi jednego z sądów okręgowych).

PR24.pl, IAR, PAP, DoS