Kara za nieprawidłowe zabezpieczenie danych osobowych

Uchybienia administratora

W toku przeprowadzonego postępowania kontrolnego brytyjski organ nadzorczy ustalił, że dane osobowe klientów portalu Ticketmaster wypłynęły jeszcze w 2018 r. Wówczas klienci kilku banków, w tym Monzo Bank, informowali o podejrzanych transakcjach na swoich kontach. Pomimo tych doniesień, spółce nie udało się zidentyfikować problemu.

Przyczyną wycieku danych osobowych klientów ukaranego administratora było – w ocenie ICO – zainstalowanie na stronie służącej do dokonywania płatności tzw. chatbota (oprogramowania służącego do automatycznego udzielania informacji). Wskutek nieprawidłowego zabezpieczenia tego oprogramowania osoby trzecie mogły uzyskać dostęp do danych osobowych klientów spółki.

Ukarany administrator usunął – jeszcze w czerwcu 2018 r. – chatbota ze strony internetowej. Nie uchroniło go to jednak przez wyciekiem danych osobowych klientów w zakresie ich imion, nazwisk, numerów kart płatniczy, ich dat oraz numerów CVV (kod zabezpieczający kartę). Szacuje się, że dane pozyskane w związku z cyberatakiem zostały wykorzystane przez nieznane osoby do wielu prób wyłudzenia pieniędzy, z czego 60 tysięcy z nich dotyczyło klientów banku Barclays.

Brak odpowiednich zabezpieczeń

Brytyjski organ nadzorczy podkreślił w swojej decyzji, że pomimo otrzymania wielu ostrzeżeń o nieprawidłowościach, ukarana spółka potrzebowała aż 9 tygodni, aby zidentyfikować i rozwiązać problem. Wydaje się, że taka sytuacja mogła przyczynić się do powiększenia skali naruszenia. Regulator wskazał również, że administrator nie dokonał odpowiedniej oceny ryzyka związanego z używaniem chatbota na swojej stronie służącej do dokonywania płatności na bilety i nie wdrożył odpowiednich środków bezpieczeństwa w celu wyeliminowania tego ryzyka.

W ocenie ICO, jednym z celów kary pieniężnej nałożonej na Ticketmaster jest uświadomienie innym administratorom, że kwestia odpowiedniego zabezpieczenia danych osobowych klientów powinna być traktowana priorytetowo. Zapewnienie zgodności procesów przetwarzania danych osobowych zależy – jak wskazuje regulator – nie tylko od ludzi, ale także od zastosowanych technologii.

Kara mogła być surowsza

Warto zwrócić uwagę, że brytyjski regulator ukarał administratora jedynie za nieprawidłowości stwierdzone u niego po 25 maja 2018 r., tj. po dniu, w którym zaczęto stosować RODO, pomimo, że najprawdopodobniej naruszenia miały miejsce również przed tą datą. Wydaje się, że ta okoliczność mogła uchronić spółkę przed znacznie wyższą karą.

Kara nałożona na spółkę Ticketmaster jest kolejnym surowym rozstrzygnięciem ICO w okresie nieco ponad miesiąca. Niedawno informowaliśmy także na łamach GDPR.pl o dwóch innych ogromnych kar pieniężnych nałożonych przez brytyjski organ nadzorczy na Marriott International Inc. oraz linie lotnicze British Airways (o tych sprawach pisaliśmy TUTAJ: https://gdpr.pl/kolejna-ogromna-kara-ico; https://gdpr.pl/linie-lotnicze-british-airways-nie-uniknely-wysokiej-kary).

Postępowanie prowadzone w ramach procedury współpracy

Do naruszeń przepisów o ochronie danych osobowych przez ukaranego administratora doszło zanim Wielka Brytania ostatecznie opuściła Unię Europejską. ICO prowadził tym samym w tej sprawie postępowanie transgraniczne w imieniu wszystkich regulatorów z UE, będąc wiodącym organem nadzorczym. Oznacza to, że podejmowane w toku postępowania czynności oraz zastosowane sankcje zostały skonsultowane z innymi unijnymi organami ds. ochrony danych osobowych w ramach mechanizmu współpracy (art. 60 RODO).

Źródła:

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/11/ico-fines-ticketmaster-uk-limited-125million-for-failing-to-protect-customers-payment-details/