datals

     Po nieco ponad roku od rozpoczęcia stosowania Ogólnego Rozporządzenia o ochronie danych osobowych (RODO), można śmiało stwierdzić, że przedmiotowe przepisy zdążyły już w większości krajów europejskich zebrać swoje plony i uzasadnionym wydaje się być przypuszczenie, że ich „ofiar” z biegiem czasu będzie przybywać. Po początkowym poruszeniu, wywołanym obowiązkiem przełożenia treści RODO na realia krajowe oraz emocjach związanych z nałożeniem pierwszej kary w Polsce, europejskie organy powołane do nadzoru nad odpowiednim wdrożeniem RODO, intensyfikują społeczną świadomość doniosłości zagadnienia poprzez nakładanie kolejnych kar na przedsiębiorstwa. 

      Jednym z najbardziej aktywnych pod względem ilości już wymierzonych, lecz także zapowiedzianych sankcji jest organ brytyjski – Information Comissioner’s Office (ICO). W ostatnim czasie ICO stwierdził nieprawidłowości wynikające z RODO w dużych międzynarodowych przedsiębiorstwach, co sprawiło, że sprawy te odbiły się echem w całej Europie.

Skutki ataku hakerskiego a RODO – British Airways

           Brytyjski ICO w ostatnim czasie podał do publicznej wiadomości informację, ujawniającą zamiar nałożenia na linie lotnicze British Airways kary w wysokości 183 mln funtów (co w przybliżeniu daje kwotę około 864 mln zł). Podstawą do jej wymierzenia są nieprawidłowości stwierdzone przez organ.

Na przełomie sierpnia i września 2018 roku doszło bowiem do cyberataku, w wyniku którego nastąpił wyciek danych osobowych około pół miliona osób. Osoby trzecie uzyskały dostęp do imion, nazwisk, adresów e-mail, a co najważniejsze – danych do kart kredytowych.

Szef linii lotniczych podkreśla szybką reakcję przedsiębiorstwa na atak oraz dopełnienie wszelkich obowiązków, narzuconych przez RODO w razie wystąpienia incydentu. Mowa tutaj przede wszystkim o zgłoszeniu zdarzenia, poinformowaniu o nim klientów czy współpracy z organem w trakcie badania sprawy.

ICO stoi jednak na stanowisku, że w opisywanym przypadku linie lotnicze nie dokonały właściwych zabezpieczeń, które uniemożliwiłyby skuteczne przeprowadzenie ataku. Wynikiem tego miałaby być rzeczona kara. Przypomnijmy, że naruszenie, o którym mowa wynika z art. 32 RODO. W przypadku jego stwierdzenia Rozporządzenie przewiduje możliwość nałożenia kary w wysokości do 10 000 000 EURO, a jeśli chodzi o przedsiębiorstwo – w wysokości do 2 % rocznego obrotu, stwierdzonego na rok poprzedzający zdarzenie. Zapowiedziana kwota kary to w przeliczeniu ok. 1,5 % obrotu towarzystwa lotniczego.

Zaznaczyć należy, że przedstawiciele British Airways zapowiedzieli już skorzystanie z możliwości odniesienia się do wysokości nałożonej kary prze wydaniem ostatecznej decyzji przez instytucję. Gdyby jednak ona zapadła, wysokość grzywny byłaby najwyższą nałożoną jak do tej pory kwotą, wynikająca ze stosowania RODO.

Marriott – przejęcie z naruszeniem

Zaledwie dzień później brytyjski ICO ponownie informuje o zamiarze nałożenia grzywny o równie znacznej wartości. Tym razem chodzi o sieć hoteli Marriott – wyciek danych oraz dużą zwłokę w stwierdzeniu incydentu.

W 2016 r. Marriott przejął sieć Starwood, w której jak się okazuje na przestrzeni czasu, a od roku 2014 miał miejsce wyciek danych, wywoływany atakami hakerskimi. W ich wyniku, aż do 2018 roku osoby nieuprawnione uzyskały dostęp do danych około 339 mln klientów z różnych stron świata (w tym między innymi: imiona i nazwiska, adresy e-mail, numery telefonów, numery paszportów, daty pobytu w hotelach czy dane kont bankowych).

W sprawie Marriott’u ICO wskazało przede wszystkim na ogromną skalę wycieku, zarówno pod względem liczbowym, jak i samego rodzaju tych danych. Podkreślono też niewystarczające środki zabezpieczenia systemów w okresie od kupna konsorcjum hotelowego Starwood. Co więcej, pod uwagę wzięto również, karygodną jak mogłoby się wydawać, długość czasu, potrzebnego sieci Marriott na stwierdzenie wycieku (swoistego rodzaju „opóźnienie” trwało 2 lata). W efekcie instytucja zapowiedziała karę w wysokości 99 mln funtów (ok. 470 mln zł). Podobnie jak w sprawie British Airways maksymalną grzywną za dopuszczenie się wskazanych naruszeń jest kwota do 2 % rocznego obrotu.

Przedstawiciele sieci hoteli uważają karę za zbyt surową i podkreślają przede wszystkim współpracę przy postępowaniu ICO. W związku z tym zdaje się, że jeśli ostatecznie dojdzie do jej nałożenia możemy się spodziewać odwołania od niej przez Marriott.

Facebook podwójnie ukarany

W październiku 2018 r. Facebook został ukarany przez ICO za udostępnienie poprzez aplikację danych osób z niej korzystających bez wyraźnej ich zgody. W oświadczeniu ICO wskazano, że „Pomiędzy 2007 a 2014 rokiem Facebook przetwarzał dane osobowe użytkowników nieuczciwie, pozwalając twórcom aplikacji na dostęp do informacji osobistych bez wyraźnej i jasnej ich zgody. Co więcej twórcy aplikacji mieli też dostęp do danych użytkowników, którzy nie korzystali z aplikacji, a byli tylko znajomymi użytkowników aplikacji”. Istotnym w sprawie jest też fakt, że najbardziej prawdopodobnym jest, że Cambridge Analytica, do której dane trafiły, wykorzystała otrzymane informacje w celu przeprowadzenia skutecznej kampanii politycznej, profilując, pojawiąjące się u odbiorców elektroniczne banery marketingowe. Wskutek zajścia zdarzenia brytyjskie ICO nałożyło na Facebook’a grzywnę w kwocie 500 tys. funtów.

W ostatnich dniach skutki naruszenia Facebook odczuł ponownie. Szerokim echem odbiła się bowiem kara, nałożona na serwis przez amerykańską Federalną Komisję Handlu (FTC – Federal Trade Commission).

FTC od marca 2018 r. prowadziła śledztwo w sprawie nieuprawnionego przekazania danych użytkowników serwisu do Cambridge Analytica. Okazuje się, że naruszając prywatność użytkowników Facebook udostępnił dane około 87 mln osób. Znaczącym jest fakt, że jeszcze w 2012 r. jego przedstawiciele podpisali z FTC dokument, w którym zobowiązują się do poprawienia poziomu ochrony prywatności użytkowników. Sprawa Cambridge Analytica jest wobec tego jednoznacznym naruszeniem jego warunków.

Wskutek opisywanych zdarzeń FTC zdecydowało się nałożyć na serwis karę w rekordowej wysokości (jeśli chodzi o dziedzinę ochrony danych osobowych) – 5 mld dolarów. Wynikająca z kary kwota jest niejakim kompromisem pomiędzy Facebook’iem i FTC, skutkiem negocjacji i ugody. Oprócz samej grzywny FTC zobowiązuje Facebook’a do wprowadzenia dość znaczących zmian w obszarze ochrony prywatności. Między innymi serwis ma powołać niezależny komitet ds. ochrony prywatności, składający się z tzw. “urzędników ds. zgodności”, powoływanych przez równie niezależny komitet ds. nominacji. W założeniu organ ten ma czuwać nad przedmiotowymi procesami i stanowić swoistą gwarancję “rozproszenia” dotychczasowej kontroli Marka Zuckerberga w tym zakresie. Ponadto treść ugody zawiera szereg innych wymogów, między innymi:

1. konieczność uzyskania wyraźnej zgody użytkowników dla używania funkcji rozpoznawania twarzy;
2. zakaz wykorzystywania podanych numerów telefonów dla celów marketingowych, gdy te były podane przez użytkowników w innym celu;
3. konieczność zwiększenia kontroli nad aplikacjami zewnętrznymi;
4. zakaz wymagania hasła do elektronicznej skrzynki pocztowej przy rejestracji konta użytkownika.

Jak podają wszystkie źródła kwota grzywny, choć zdaje się sumą zdecydowanie niebagatelną, dla samego Facebook’a nie jest wcale rażąca. Mówi się bowiem, że tylko w pierwszym kwartale 2019 r. firma uzyskała dochód na poziomie około 15 mld dolarów. Co więcej, okazuje się, że w dniu zapowiedzi nałożenia kary akcje firmy ruszyły w górę.

Jak dowiadujemy się z konferencji prasowej Urzędu Ochrony Danych Osobowych  (oraz opublikowanej decyzji) w Polsce nałożona została kolejna kara na podmiot prywatny w związku z naruszeniem ochrony danych osobowych. Jak się okazuje pierwsza z kar (o wartości 1 miliona zł – o której piszemy TUTAJ) to jedynie zapowiedź większych kwot, nakładanych w ramach sankcji przez PUODO. Rekordowa administracyjna kara pieniężną w wysokości 3 mln zł decyzją organu nadzoru została nałożona sklep internetowy Morele.net

Ale od początku…

Na przełomie października i listopada 2018 r. spółka Morele.net padła ofiarą ataku hakerskiego, w wyniku którego osoby nieuprawnione otrzymały dostęp do danych osobowych ponad 2 mln użytkowników sklepu internetowego Morele.net oraz powiązanych z nim sklepów. Z pierwszych informacji podawanych przez spółkę wynikało, że hakerzy otrzymali dostęp do danych takich jak: imię, nazwisko, numer telefonu e-mail i hasła do kont. Jak się jednak okazało w przypadku pewnej części osób (ok. 35 tys.) wyciekły dane, znajdujące się na ich wnioskach ratalnych. W ich zakres wchodziły informacje między innymi o:

1. numerze PESEL;
2. danych dokumentów tożsamości (seria i numer);
3. wykształceniu;
4. adresie zameldowania;
5. wysokości dochodu;
6. stanu cywilnego
7. wysokości zobowiązań kredytowych czy alimentacyjnych

W efekcie Morele.net poinformowało o tym swoich klientów oraz zaleciło im zmianę haseł do kont. Poinformowali także Urząd Ochrony Danych Osobowych o tym incydencie.

Z ujawnionych informacji wynika także, że w skradzionej przez hakera bazie widniały dane osób, które uprzednio skasowały konta w sklepie internetowym (a więc które z oczywistych względów powinny zostać przez spółkę usunięte).

Stanowisko PUODO

Z opublikowanej właśnie na stronie Urzędu informacji wynika, że w toku postępowania uznano zastosowane przez spółkę środki bezpieczeństwa za niewystarczające. Prezes Urzędu twierdzi, że były one niewspółmierne do ryzyka, jakie związane było z przetwarzaniem danych osobowych. Co więcej, postępowanie wykazało, że przyczyną naruszenia było także nieskuteczne monitorowanie ewentualnych zagrożeń oraz brak procedur reagowania na przypadki występowania podejrzanych ruchów w sieci.

Z publikacji wynika, że to właśnie było głównym powodem takiej decyzji organu: ” Postępowanie wykazało także inne uchybienia, jednak to brak odpowiednich środków technicznych (niewystarczające zabezpieczenia) i organizacyjnych (dotyczących  monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci) przesądził o nałożeniu kary”.

Wobec wszystkiego co wyżej PUODO powołuje się na naruszenie zasady poufności danych, wynikającej z art. 5 ust. 1 lit. f RODO.

W wyniku postępowania PUODO nałożył na Morele.net karę wartości 2,8 mln. Na jej wysokość wpływ miały  czynniki, takie jak waga naruszenia, jego charakter oraz fakt, że dotknęło ono danych dużej ilości osób. Urząd wskazuje, że zakres przejętych przez hakera danych może powodować między innymi kradzieże tożsamości. Według publikacji przy wymierzaniu kary pod uwagę wzięto również okoliczności łagodzące, a więc współpracę organem nadzoru, podjęcie działań zmierzających do usunięcia naruszenia czy też brak takich incydentów w przeszłości. Sugeruje to nałożenie wyższej sankcji w przypadku braku odpowiedniej reakcji spółki.

Jaką linię obrony przyjmuje spółka i jej reprezentanci?

Członek kancelarii, reprezentującej Morele.net, a do niedawna dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji – dr Maciej Kawecki nie ukrywa swojego niezadowolenia z powodu treści wydanej decyzji. Na jednym z portali społecznościowych zwraca uwagę: „Morele.net padła ofiarą ataku hakerskiego. Nikt dotychczas nie był w stanie ustalić, jak do niego doszło. Ani Morele, ani zewnętrzni specjaliści najwyższej klasy, ani nawet policja. Ataki hackerskie, zdarzają się pomimo najsilniejszych zabezpieczeń. Spółka inwestowała rocznie dziesiątki milionów złotych w systemy IT i bezpieczeństwo, zlecając audyty bezpieczeństwa i testy penetracyjne”. Wskazuje on też na fakt współpracy z organami ścigania i organem nadzoru. Wydaje się być słusznym stwierdzenie dr Kaweckiego, że nie można traktować jednakowo podmiotu, który świadomie dopuszcza się naruszenia ochrony danych osobowych z tym, który pada ofiarą ataku hakerskiego, spełniając wymagania nakładane przez sektorowe przepisy.

Przedstawiciele spółki zwracają też uwagę na szereg zabezpieczeń, jakie zostały wdrożone po incydencie w celu zapobiegnięcia jego powtórzenia się w przyszłości.

Wiceprezes spółki ds. IT zdecydowanie zapowiada odwołanie do Sądu Administracyjnego.

Czy „wymiar kary” jest adekwatny?

Takie pytania zadaje większość źródeł internetowych, opisujących karę, nałożoną przez PUODO. Odpowiedź nie jest jednak jednoznaczna.

Z jednej strony bowiem nie należy dziwić się organowi nadzorczemu, że karze przedsiębiorców za skutki ataków hakerskich. Wydawać by się mogło, że przecież nie da się tego przewidzieć, ani nie ma sposobu na całkowite wyeliminowanie takiego ryzyka. Ale nie można przecież wykluczyć odpowiedzialności w każdym przypadku wystąpienia ataku. Wiązałoby się to z tym, że przedsiębiorcom nie opłacałoby się dokładać staranności w kwestii zabezpieczeń systemów i najpewniej wcale by tego robili.

Z drugiej zaś strony biorąc pod uwagę wszelkie przedstawione przez strony okoliczności wysokość kary nałożonej na Morele.net wydaje się nieco nieproporcjonalna. Zdaje się, że spółka wykonała szereg czynności, której można byłoby oczekiwać od niej po stwierdzeniu ataku, a w konsekwencji wycieku. Jedynym przewinieniem mogłyby być wskazane prze PUODO niewystarczające zabezpieczenia (co nie oznacza, że całkowity ich brak).

O ile więc sama kwestia nałożenia kary na podmiot nie powinna budzić wątpliwości (była zresztą do przewidzenia), o tyle jej wysokość może być uznana za kontrowersyjną.