GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Nieautoryzowany dostęp, kto może mieć dostęp do naszych danych?

Udostępnij publikację:

Organizacje przetwarzające dane osobowe, zgodnie z RODO mają obowiązek zapewnienia ich odpowiedniego bezpieczeństwa. Hiszpański organ nadzorczy (Agencia española protección datos, AEPD) nałożył łączną karę 48 tys. euro na spółkę NATURGY ENERGY GROUP S.A za naruszenie tego obowiązku.

Nieautoryzowany dostęp, kto może mieć dostęp do naszych danych?

Postępowanie skargowe

Klientka spółki złożyła skargę w wyniku zdarzenia, gdy dowiedziała się, że osoba trzecia użyła jej danych osobowych do zmiany adresu e-mail na jaki miały być przesyłane rachunki za energię elektryczną. W wyniku postępowania okazało się, że obca osoba, przedstawiająca się jako członek rodziny klientki, zadzwoniła na infolinie i zażądała wysłania jej kopii ostatniej faktury i wskazała adres e-mail, na który dokument ma zostać wysłany. W celu autoryzacji tych działań podała imię, nazwisko, numer referencyjny oraz ostatnie cyfry numeru bankowego klientki. Pracownik infolinii uznał wiec, że osoba trzecia posiada zgodę klientki na wskazane wyżej zmiany.

Analiza ryzyka w RODO

Nieautoryzowany dostęp

Hiszpański organ w swojej decyzji uznał, że doszło do naruszenia RODO. Bez zgody osoby pokrzywdzonej przesłano dwie faktury na adres e-mail obcej osoby, która przedstawiała się jako osoba spokrewniona. W związku z tym naruszony został art. 5 ust.1 lit. f RODO, który wymaga, aby dane osobowe były chronione przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Agencja zauważyła również, że doszło do naruszenia art. 32 RODO, ponieważ środki bezpieczeństwa organizacji nie są odpowiednie i powinny zostać ulepszone, ponieważ nie były w stanie zapobiec wystąpieniu danego naruszenia.

Środki bezpieczeństwa

Spółka nie podjęła się obrony i przyjęła zasądzoną karę w wysokości 48 tys. euro. Nie zostało wyjaśnione, w jaki sposób osoba trzecia uzyskała dane osobowe klientki oraz dane niezbędne do autoryzacji.

Z tej decyzji można wywnioskować, że organizacje nie mogą udzielać dostępu do danych osobowych klientów osobom, które przedstawiają się jako członkowie rodziny. Tylko sama osoba, której dane dotyczą może decydować np. o zmianie adresu e-mail, na który korespondencja będzie dostarczana.

Treść decyzji w j. hiszpańskim:

https://www.aepd.es/es/documento/ps-00100-2022.pdf

 

 

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies