Ochrona danych osobowych. Niedbałość kosztowała polskie firmy 2 mln euro
Suma kar nałożonych przez Urząd Ochrony Danych Osobowych z tytułu RODO przekroczyła 2 mln euro; najwyższa do tej pory kara to ponad 600 tys., a średnia to 79 tys. euro - wynika z opublikowanej analizy. Zgodnie z nią w 35 proc. przypadków przyczyną kary były nieodpowiednie zabezpieczenia.
2022-01-28, 14:54
Po raz szesnasty obchodzimy w Polsce Dzień Ochrony Danych Osobowych. W tym roku szczególny nacisk jest kładziony na bezpieczeństwo naszych danych w internecie. Ma to związek z coraz powszechniejszym przenoszeniem codziennego życia do ceberprzestrzeni.
Cyberprzestrzeń to ważny obszar naszego życia
Ekspertka ds. ochrony danych Katarzyna Ellerik przypomina, że w dobie zdalnej pracy i wielu aktywności w internecie, musimy zadbać o bezpieczeństwo naszych danych wrażliwych. Katarzyna Ellerik podkreśliła, że często robiąc zakupy w sklepach internetowych zapominamy o tym, że zgody na przetwarzanie naszych danych osobowych mogą być dostępne także dla odbiorców spoza Europy, gdzie o ochronę takich danych jest trudniej. Potem mamy do czynienia z uciążliwymi mailami i telefonami marketingowymi.
Posłuchaj
W trakcie obchodów tegorocznego Dnia Ochrony Danych Osobowych specjaliści skupiają się na edukacji i przypominaniu, że cyberprzestrzeń to tak samo ważny obszar naszego życia, jak ekonomia, zdrowie czy edukacja.
REKLAMA
- Każdy z tych obszarów zasługuje na naszą ochronę - przypomniała Katarzyna Ellerik.
Specjalistka dodała, że działając w cyberprzestnieni powinniśmy być ostrożni i działać bez pośpiechu.
- To w naszych rękach jest to, żebyśmy przeczytali regulamin czy politykę prywatności i co dzieje się potem z naszymi danymi osobowymi - powiedziała.
Posłuchaj
REKLAMA
Przypadkowe upublicznienie danych
Według analizy firmy Sprint, od wejścia w życie unijnego rozporządzenia o ochronie danych osobowych (RODO) do Urzędu Ochrony Danych Osobowych zgłoszono ponad 20 tys. skarg (okres od maja 2018 r. do końca 2020 r.). Jak podkreślono, w 2020 r. do urzędu wpływało średnio ponad 530 skarg miesięcznie.
Zgodnie z analizą do tej pory łączna wartość kar nałożonych przez UODO przekroczyła 2 mln euro.
- 35 proc. z nich nałożono za brak odpowiedniego zabezpieczenia danych, czego skutkiem w większości przypadków był wyciek. Tak było w przypadku najwyższej do tej pory kary w wysokości ponad 600 tys. euro, nałożonej w związku z atakiem hakerskim na sklep internetowy - poinformowała ekspertka ds. cyberbezpieczeństwa w firmie Sprint Patrycja Tatara.
W przypadku 8 proc. kar przyczyną ich nałożenia było niepoinformowanie UODO o zdarzeniu.
Firma podkreśliła, że często dochodzi do przypadkowego upublicznienia danych.
REKLAMA
"Nie mówimy tu o świadomym zamieszczeniu informacji na stronie, jak to uczyniło jedno polskie stowarzyszenie sportowe. Chodzi o zdarzenia nieumyślne. Powołując się na rodzimy przykład - w trakcie restartu serwerów jednej firmy wystąpił błąd, przez który publiczne stały się dane ich klientów, ponad 140 tys. osób. Niestety zostało to wychwycone przez przestępców, którzy skopiowali dane i usunęli je z firmowej bazy. Potem wystąpili o okup. Kara od UODO przekroczyła równowartość 200 tys. euro" - podał Sprint.
Nadal zdarzają się "fizyczne" incydenty
Kolejnym przykładem sytuacji, która naraża firmę na wyciek danych, są ataki na stronę www i aplikacje webowe. Jak wskazano w analizie, w Polsce jeszcze nie doszło do takiego zdarzenia. Podano natomiast przykład linii lotniczych British Airways. Ruch z ich oficjalnego serwisu był przekierowywany na fałszywą stronę, która zbierała dane osobowe. Liczba poszkodowanych sięgnęła 500 tys., a kara - 20 mln euro.
Z kolei brytyjski Ticketmaster korzystał z "dziurawego" chatbota, co umożliwiało dostęp do danych finansowych klientów. Nie doszło do wycieku danych, ale kara i tak przekroczyła 1 mln euro.
W analizie zaznaczono, że UODO podchodzi wyjątkowo surowo także do bezpośrednich ataków na firmowe serwery i bazy danych, zwłaszcza jeśli ofiara ataku nie wypełni obowiązku informacyjnego związanego z atakiem.
REKLAMA
Jak dodano, nadal zdarzają się też "fizyczne" incydenty prowadzące do wycieku danych, jak kradzież komputera z danymi (z czym musiała zmierzyć się jedna z polskich uczelni) czy zgubienie przenośnej pamięci USB (co zdarzyło się pracownikowi jednego z sądów okręgowych).
PR24.pl, IAR, PAP, DoS
REKLAMA