RODO: 20 tysięcy skarg. Suma kar przekroczyła 2 miliony euro
Suma kar nałożonych przez Urząd Ochrony Danych Osobowych z tytułu RODO przekroczyła 2 mln euro; najwyższa do tej pory kara to ponad 600 tys., a średnia to 79 tys. euro - wynika z opublikowanej w piątek analizy. Zgodnie z nią w 35 proc. przypadków przyczyną kary były nieodpowiednie zabezpieczenia.
Według analizy firmy Sprint, od wejścia w życie unijnego rozporządzenia o ochronie danych osobowych (RODO) do UODO zgłoszono ponad 20 tys. skarg (okres od maja 2018 r. do końca 2020 r.). Jak podkreślono, w 2020 r. do urzędu wpływało średnio ponad 530 skarg miesięcznie.
Zgodnie z analizą do tej pory łączna wartość kar nałożonych przez UODO przekroczyła 2 mln euro. "35 proc. z nich nałożono za brak odpowiedniego zabezpieczenia danych, czego skutkiem w większości przypadków był wyciek. Tak było w przypadku najwyższej do tej pory kary w wysokości ponad 600 tys. euro, nałożonej w związku z atakiem hakerskim na sklep internetowy" - przekazała ekspertka ds. cyberbezpieczeństwa w firmie Sprint Patrycja Tatara, cytowana w informacji.
W przypadku 8 proc. kar przyczyną ich nałożenia było niepoinformowanie UODO o zdarzeniu.
Firma podkreśliła, że często dochodzi do przypadkowego upublicznienia danych. "Nie mówimy tu o świadomym zamieszczeniu informacji na stronie, jak to uczyniło jedno polskie stowarzyszenie sportowe. Chodzi o zdarzenia nieumyślne. Powołując się na rodzimy przykład - w trakcie restartu serwerów jednej firmy wystąpił błąd, przez który publiczne stały się dane ich klientów, ponad 140 tys. osób. Niestety zostało to wychwycone przez przestępców, którzy skopiowali dane i usunęli je z firmowej bazy. Potem wystąpili o okup. Kara od UODO przekroczyła równowartość 200 tys. euro" - podał Sprint.
Kolejnym przykładem sytuacji, która naraża firmę na wyciek danych, są ataki na stronę www i aplikacje webowe. Jak wskazano w analizie, w Polsce jeszcze nie doszło do takiego zdarzenia. Podano natomiast przykład linii lotniczych British Airways. Ruch z ich oficjalnego serwisu był przekierowywany na fałszywą stronę, która zbierała dane osobowe. Liczba poszkodowanych sięgnęła 500 tys., a kara - 20 mln euro. Z kolei brytyjski Ticketmaster korzystał z "dziurawego" chatbota, co umożliwiało dostęp do danych finansowych klientów. Nie doszło do wycieku danych, ale kara i tak przekroczyła 1 mln euro.
W analizie zaznaczono, że UODO podchodzi wyjątkowo surowo także do bezpośrednich ataków na firmowe serwery i bazy danych, zwłaszcza jeśli ofiara ataku nie wypełni obowiązku informacyjnego związanego z atakiem.
Jak dodano, nadal zdarzają się też "fizyczne" zdarzenia prowadzące do wycieku danych, jak kradzież komputera z danymi (z czym musiała zmierzyć się jedna z polskich uczelni) czy zgubienie przenośnej pamięci USB (co zdarzyło się pracownikowi jednego z sądów okręgowych).