Naruszenie ochrony w UK – 500.000 kary
Dziś dwa zdania o tym, dlaczego lubię ICO – czyli brytyjski organ nadzorczy. I dlaczego w przypadku podejścia #RODOmaniaków nie ma takiej “spiny” i paniki, jak w polskiej części sektora zaczyna być dostrzegana w świetle ostatnich postępowań PUODO oraz orzeczenia sądu w sprawie Bisnode. Kanwą będzie ukaranie spółki Dixion Carephones za naruszenie ochrony danych, ale… na podstawie Data Protection Act 1998. Tak, tak na podstawie poprzedniego przepisu o ochronie danych, brytyjski organ nadzorczy miał prawo nałożyć maksymalnie 500.000 GBP kary na administratora.
Naprawdę poważne naruszenie
Dixon Carephones jest detalicznym sprzedawcą sprzętu elektronicznego (szeroko rozumianego) oraz świadczy usługi serwisowe. Naruszenie polegało na zainstalowaniu na kasach sprzedawcy oprogramowania, które wykradało dane o operacjach, w tym dane o kartach kredytowych, adresy i naprawdę wiele innych. Zainfekowane kasy to aż 5390 punktów z sieci zależnych – Dixon Travel i Currys PC World. Naruszenie dotyczyło 5,6 milionów osób (sic!). Działanie było prowadzone przez atakujących od lipca 2017 do kwietnia 2018.
Maksymalna kara
ICO prowadził postępowanie na podstawie DPA 1998, a więc maksymalna kara, jaką mógł nałożyć to było 500.000 funtów. I tyle nałożył. Ale Steve Eckersley, dyrektor departamentu dochodzeń ICO powiedział, że gdyby naruszenie miało miejsce w trakcie obowiązywania już przepisów RODO, kara byłaby zdecydowanie wyższa. Tym bardziej, że w ubiegłym roku ICO nałożył już 400.000 funtów kary na Carephone Warehouse za podobne luki w zabezpieczeniach.
Brytyjskie podejście
Ciekawym jest wypowiedź urzędników ICO. Jako efekt naruszenia został wskazany “niepokój klientów”. A w komunikacie jest nawet stwierdzenie, że nie ma żadnych danych dotyczących wykorzystania danych do kradzieży tożsamości, czy wręcz wykorzystania kart kredytowych czy płatniczych. To jest pewne wskazanie, w jaki sposób ICO podchodzi do ochrony danych osobowych. I co ważne – to jest orzeczenie wydane w świetle przepisów prawa obowiązujących w trakcie naruszenia ochrony! Czyli jeszcze przed GDPR!
I to jest właśnie to, co jest naprawdę fajne w brytyjskich organach nadzorczych. Wszystkich. Jest ciągłość, nie ma jakichś drastycznych zmian, wytyczne są stałe i doskonalone. Czy to w HSE (odpowiednik Inspekcji Pracy) czy ICO czy jakikolwiek innych. Po prostu wszyscy robimy swoje, przepisy są poddawane ewolucji na bazie praktyki. A nie rewolucji, jak to zostało okrzyknięte w Polsce (co jest oczywistą bzdurą lub zabiegiem marketingowym).
#RODOmaniacy
Zaznaczyłem na początku dwa zdania, że dla nas RODO i swoisty “duch” tego przepisu nie jest niczym nowym (czy ogólnie rozumienie podejścia w którym przedsiębiorca SAM sobie określa w jaki sposób ustanawia ochronę w różnych obszarach). Rozszerzając tę wypowiedź. #RODOmaniacy jako marka powstała w 2018 roku, w celu wspierania polskich przedsiębiorców w Wielkiej Brytanii. Od IV kwartału 2020 z różnych powodów działamy na razie tylko w Polsce. Ale na Wyspach Brytyjskich byliśmy aktywni (nie tylko w ochronie danych) od 2013 roku. I po prostu to rozumiemy. Stąd też nasz slogan “zrozumieć RODO”. A rozumienie nie polega na “siłowym” dostosowywaniu rozwiązań z czasu obowiązywania Ustawy o ochronie danych osobowych z 1997, a naprawdę zrozumieniu. Wtedy wszystko to, co zapisane w przepisie staje się jasne i proste do wdrożenia oraz obronienia przy kontroli, bez stosowania jakichś super poradników “jak przygotować się do kontroli PUODO” lub podobnych…
Udanego weekendu!
[stm_sidebar sidebar=”8458″][stm_events event_style=”widget” posts_per_page=”7″]
