Kara fińskiego organu nadzorczego za zaniedbaniaw zakresie bezpieczeństwa danych
Fiński organ nadzorczy nałożył karę w wysokości 950 tysięcy euro na porównywarkę pożyczek Sambla Group. W porównywarkach firmy brakowało m.in. odpowiednich ograniczeń uniemożliwiających osobom trzecim dostęp do danych zawartych we wnioskach o pożyczkę.
Informacje ogólne
- • Data wydania ostatecznej decyzji: 17 grudnia 2024 r.
- • Sprawa krajowa
- • Odniesienia prawne: Artykuł 5 (Zasady dotyczące przetwarzania danych osobowych), Artykuł 25 (Ochrona danych w fazie projektowania i domyślna), Artykuł 32 (Bezpieczeństwo przetwarzania)
- • Decyzja: grzywna administracyjna, nakaz powiadomienia o naruszeniu danych osobowych, nagana
- • Słowa kluczowe: bezpieczeństwo danych, naruszenie ochrony danych osobowych, dostęp osób trzecich do danych osobowych.
Geneza sprawy
Fiński organ ds. ochrony danych osobowych (Tietiosuojavaltuutetun Toimisto) wszczął dochodzenie na podstawie skargi złożonej przez klienta. Wiosną 2024 r. dochodzenie techniczne ujawniło poważne problemy z bezpieczeństwem danych w usługach porównywania pożyczek administratora. Spółce nakazano natychmiastowe zaprzestanie przetwarzania danych osobowych dotyczących osób ubiegających się o pożyczkę w jej usługach elektronicznych.
Kluczowe ustalenia
W porównywarkach pożyczek Sambla Group brakowało odpowiednich ograniczeń uniemożliwiających osobom trzecim dostęp do danych zawartych we wnioskach o pożyczkę (art. 32 RODO, art. 25 RODO i art. 5 ust. 1 lit. f) RODO). Ze względu na słabe zabezpieczenie danych, treść wniosków kredytowych klientów była dostępna dla osób trzecich za pośrednictwem osobistych adresów URL przeznaczonych dla klientów. Każdy, kto miał dostęp do adresu URL i wystarczającą wiedzę techniczną, aby wykorzystać lukę w zabezpieczeniach, zyskiwał bezpośredni dostęp do danych. Dochodzenie techniczne wykazało, że adresy URL były celem phishingu, a dane osobowe zostały ujawnione stronom trzecim. Informacje dostępne za pośrednictwem linków obejmowały co najmniej dane kontaktowe wnioskodawcy pożyczki, a także informacje o jego dochodach, kosztach mieszkaniowych, stanie cywilnym i posiadanych dzieciach.
Decyzja
Fiński organ nałożył na administratora grzywnę administracyjną w wysokości 950 tysięcy euro. Nakazano mu również powiadomienie swoich klientów o incydencie. Administrator ogłosił, że zaprzestał korzystania z podatnych adresów URL i poprawił bezpieczeństwo danych w swoich usługach.
