Brytyjski Rzecznik ds. Informacji (ICO) nie próżnuje. Tym razem nałożył karę w wysokości blisko 400 000 tysięcy złotych na biuro nieruchomości, które nie zapewniło odpowiedniego bezpieczeństwa danych osobowych. Treść informacji w języku angielskim, której tłumaczenie przedstawiono poniżej, znajduje się tutaj: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/estate-agency-fined-80-000-for-failing-to-keep-tenants-data-safe/.
Rzecznik ds. Informacji nałożył karę w wysokości 80 000 funtów za narażanie danych osobowych 18 610 klientów przez prawie dwa lata.
Naruszenie ochrony danych nastąpiło, gdy spółka Life at Parliament View Ltd (LPVL) przekazała dane osobowe ze swojego serwera do współpracującej organizacji i nie włączyła funkcji „anonimowego uwierzytelniania”. Błąd ten oznaczał, że nie zastosowało ograniczeń w dostępie i pozwolono każdej osobie w Internecie na uzyskanie pełnego dostępu do wszystkich przechowywanych danych w okresie pomiędzy marcem 2015, a lutym 2017.
Narażone informacje obejmowały dane osobowe, takie jak oświadczenia bankowe, szczegóły dotyczące wynagrodzeń, kopie paszportów, daty urodzeń oraz adresy zarówno wynajmujących jak i właścicieli nieruchomości.
W trakcie swojego postępowania, ICO odkryło serię błędów w zabezpieczeniach oraz ustaliło, że LPVL nie zastosowała odpowiednich środków technicznych oraz organizacyjnych przeciwdziałających niezgodnemu z prawem przetwarzaniu danych osobowych. Dodatkowo, LPVL zaalarmowało ICO o naruszeniu, dopiero gdy skontaktował się z nią hacker. ICO uznało, że stanowiło to poważne naruszenie ustawy o ochronie danych z 1998 r., która została zastąpiona przez RODO oraz ustawę o ochronie danych z 2018 r.
Pan Steve Eckersley, Dyrektor ds. Postępowań w ICO powiedział:
„Klienci mają prawo oczekiwać, że informacje osobowe, które przekazują spółkom pozostaną bezpieczne. W tej sytuacji po prostu nie miało to miejsca.”
„W ramach ustalenia okoliczności stwierdziliśmy, że LPVL nie zapewniła odpowiednich szkoleń swoim pracownikom, którzy nienależycie skonfigurowali oraz zastosowali system niezabezpieczonego przekazywania danych, którego następnie nie monitorowali. Te błędy naraziły ich klientów na ryzyko oszustwa związanego z tożsamością.”
„Spółki muszą zaakceptować fakt, że mają obowiązek prawny zarówno chronić jak i zapewniać bezpieczeństwo danych, które im przekazano. Jeżeli tak się nie stanie, będziemy prowadzili postępowania oraz podejmowali działania.”
ICO opublikowało Praktyczne wytyczne dotyczące bezpieczeństwa IT (dostępne w języku angielskim tutaj: Practical Guide to IT Security).
