Italija: 900.000 EUR za Postel S.p.A.
Il Garante je hčerinsko družbo Poste Italiane kaznoval, ker niso odpravili znanih ranljivosti v informacijskem sistemu, kar je povzročilo kršitev varnosti in javno razkritje podatkov zaposlenih.
Odločitev je bila objavljena 22.10.2024
Upravljavec je hčerinsko podjetje Poste Italiane, glavne družbe za poštne storitve v Italiji. Avgusta 2023 je nepooblaščena oseba s kibernetskim napadom z izsiljevalsko programsko opremo dostopala do strežnikov upravljavca, ki vsebujejo podatke zaposlenih pri upravljavcu in kandidatov za zaposlitev (okoli 25.000 posameznikov). Te datoteke, ki so bile nato objavljene na temnem spletu, so vsebovale imena, priimke in datume rojstva posameznikov, prav tako pa tudi podatke v zvezi s članstvom v sindikatih in zdravstvenim stanjem ter v zvezi s kazenskimi obsodbami in prekrški (9. in 10. člen GDPR).
Upravljavec je 17. avgusta 2023 o kršitvi varnosti podatkov obvestil nadzorni organ, ki je od upravljavca zahteval dodatne podrobnosti o kršitvi, saj so v obvestilu manjkali nekateri elementi iz člena 33(3) GDPR. Upravljavec je v odgovoru sporočil, da je do vdora prišlo zaradi dveh ranljivosti v informacijskem sistemu.
Odločitev nadzornega organa
V odločitvi je nadzorni organ izpostavil pomanjkljivo obravnavo kršitve, pri čemer so v obvestilu o kršitvi so manjkali nekateri pomembni elementi iz člena 33(3) GDPR. Obvestilo namreč ni vsebovalo nobenih informacij o tem, kateri strežniki so bili prizadeti in katere ranljivosti so napadalci izkoristili za dostop do sistema. Poleg tega upravljavec ni izpostavil nobenega ukrepa, ki ga je sprejel za ublažitev negativnih učinkov kršitve varnosti podatkov, kar predstavlja kršitev člena 33(3)(d) GDPR.
Il Garante je poudaril, da mora obvestilo, poslano nadzornemu organu, v skladu z uvodno izjavo 87 GDPR, vsebovati ustrezne in izčrpne informacije o kršitvi varnosti podatkov. Namen takšnega obvestila je omogočiti nadzornemu organu, da uporabi svoja pooblastila in ponovno vzpostavi visoko raven varstva osebnih podatkov.
Il Garante je še izpostavil, da bi do kršitve podatkov lahko prišlo zaradi dveh ranljivosti v platformi Microsoft Exchange, ki nepooblaščeni tretji osebi omogočata dostop do strežnika in pridobitev skrbniških pravic. Microsoft je na te ranljivosti javno opozoril že več mesecev pred kršitvijo, opozorilo pa je objavila tudi italijanska agencija za kibernetsko varnost. Kljub temu upravljavec ni sprejel ukrepov za odpravo varnostnih ranljivosti.
Skladno s sodno prakso Sodišča EU (C-340/21 in C-687/21) je Il Garante odločil, da je upravljavec kršil člen 5(1)(f), 25 in 32 GDPR, saj ni izvedel vsega, kar je bilo v njegovi moči, da bi ranljivosti, odkrite 12 mesecev pred vdorom, odpravil.
Il Garante je upravljavca kaznoval z globo v višini 900.000 evrov in mu odredil izvajanje notranjih postopkov za pravočasno odkrivanje in odpravljanje ranljivosti v svojem IT sistemu.
Celotna odločitev je dostopna tukaj
Vir: GDPRHub
Naslovna slika: RawPixel
