W dniu 20 września 2018 r., na stronie Urzędu Rzecznika ds. Informacji (ICO – brytyjski organ nadzorczy ds. ochrony danych osobowych) ukazała się informacja o nałożeniu kary na spółkę Equifax Ltd za brak skutecznej ochrony nad danymi osobowymi. Treść informacji w języku angielskim, której tłumaczenie umieszczono poniżej, znajduje się w linku:
Biuro Informacji Gospodarczej Equifax ukarane za naruszenie ochrony danych osobowych.
Urząd Rzecznika ds. Informacji (ICO) nałożył karę wysokości 500 000 funtów na spółkę Equifax Ltd za brak zapewnienia ochrony informacji osobowych w odniesieniu do 15 milionów obywateli brytyjskich w trakcie cyber-ataku w 2017 r.
Incydent, który miał miejsce pomiędzy 13 maja, a 30 lipca 2018 r. w Stanach Zjednoczonych Ameryki, wpłynął na 146 milionów konsumentów na całym świecie.
Dochodzenie przeprowadzone przez ICO wykazało, że chociaż naruszone zostały systemy informatyczne w USA, Equifax Ltd była odpowiedzialna za informacje osobowe konsumentów z Wielkiej Brytanii. Brytyjski oddział spółki nie podjął odpowiednich kroków w celu zapewnienia, że jego amerykańska spółka matka, która przetwarzała dane w jego imieniu, chroniła informacje.
Analiza ICO, przeprowadzona równolegle z Urzędem ds. Postępowań Finansowych (polski odpowiednik Komisji Nadzoru Finansowego), ujawniła wiele błędów w biurze informacji gospodarczej, które doprowadziły do dłuższego niż to konieczne przechowywania danych, które były podatne na nieupoważniony dostęp.
Postępowanie zostało przeprowadzone na mocy Ustawy o ochronie danych z 1998 r., a nie na podstawie obecnie obowiązującego RODO, gdyż niedociągnięcia wystąpiły zanim jego bardziej rygorystyczne postanowienia weszły w życie, w maju bieżącego roku. Dzisiejsza kara jest maksymalną dopuszczalną karą, zgodnie z uprzednio obowiązującym prawem.
Spółka naruszyła pięć z ośmiu zasad ochrony danych, określonych w ustawie z 1998 r., co obejmowało niezabezpieczenie danych osobowych, niewłaściwe działania dotyczące retencji oraz brak podstawy prawnej do przekazywania danych obywateli brytyjskich do państwa trzeciego.
Pani Elizabeth Denham, Rzecznik ds. Informacji powiedziała:
„Utrata informacji osobowych, szczególnie gdy istnieje możliwość oszustwa finansowego, nie tylko denerwuje konsumentów, ale również zmniejsza ich zaufanie do handlu elektronicznego”. Problem ten się pogłębia w przypadku, gdy spółka działa globalnie, a jej działalność opiera się na danych osobowych.
Jesteśmy zdecydowani dbać o informacje dotyczące obywateli brytyjskich, niezależnie od tego gdzie są przechowywane. Spółka Equifax Ltd otrzymała najwyższą, dopuszczalną ustawą z 1998 r., karę z uwagi na liczbę poszkodowanych, rodzaj danych narażonych na ryzyko jak również dlatego, że nie miała żadnego usprawiedliwienia odnośnie braku zastosowania swoich własnych polityk oraz mechanizmów kontrolnych, jak również prawa”.
ICO ustalił, że środki które powinny były być zastosowane w celu zarządzania informacjami osobowymi były nieodpowiednie oraz nieskuteczne. Kontrolerzy odkryli poważne problemy dotyczące przechowywania danych, wprowadzania poprawek do systemu informatycznego oraz procedur audytowych. Nasze postępowanie wykazało również, że Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych ostrzegł spółkę Equifax Inc o krytycznej podatności danych już w marcu 2017 roku. Nie zostały podjęte wystarczające kroki w celu zaradzenia tej podatności co oznacza, że oprogramowanie konsumentów korzystających z portalu nie zostało odpowiednie poprawione.
Informacje osobowe utracone lub naruszone w trakcie incydentu obejmowały takie dane jak: nazwiska, daty urodzenia, adresy, hasła czy informacje finansowe.
Jak dodała Pani Denham:
„Wiele poszkodowanych osób, nie była świadoma tego, że spółka przechowuje ich dane; informacja o cyber-ataku była niespodziewana i jest prawdopodobne, że spowodowała szczególne napięcie.
Międzynarodowe spółki zajmujące się danymi, takie jak Equifax muszą rozumieć jakie dane osobowe przechowują oraz podjąć zdecydowane kroki w celu ich ochrony. Ich zarządy muszą zapewnić, że wewnętrzne mechanizmy kontrole oraz systemy działają efektywnie, tak aby spełnić wymogi prawne oraz oczekiwania konsumentów. Equifax Ltd okazała poważny brak zainteresowania swoimi konsumentami oraz powierzonymi jej informacjami osobowymi, co doprowadziło do nałożenia dzisiejszej kary.”