Jedan od ključnih i obveznih postupaka prilikom uvođenja novih IT sustava ili migracije na nove IT sustave predstavlja svakako testiranje sustava i otkrivanje svih nedostataka i sigurnosnih propusta te njihovo ispravljanje ili unaprjeđivanje, prije samog puštanja u punu funkciju.
Međutim, nije tajna da se neke organizacije, pod izlikom "olakšavanja" testiranja novih sustava i lakše provjere njihove funkcionalnosti, odluče koristiti postojeće baze podataka ili evidencije osobnih podataka, jer "je na taj način lakše uočiti pogreške u sustavu ili aplikaciji".
Takvo postupanje je najblaže rečeno "neozbiljno" i ne smijemo to raditi. "Živi" podaci ne smiju se koristiti u sustavima u testiranju.
Takav slučaj dogodio se u Francuskoj gdje je poznati pružatelj usluga online plaćanja Slimpay zanemario prethodno navedeno temeljno pravilo i svojim nemarom koristio postojeće baze podataka za testne svrhe te pri tom uzrokovao da podaci 12 milijuna korisnika nisu bili primjereno zaštićeni, štoviše, bili su javno dostupni u razdoblju od više od 4 godine, dok ih o tome nije upozorio jedan od poslovnih partnera.
Kompromitirani osobni podaci sadržavali su ime, prezime, adrese i email adrese, telefonske brojeve i podatke o bankovnim računima 12 milijuna korisnika.
Iako izravna šteta korisnicima nije dokazana, Slimpay se ogriješio o članak 32. GDPR-a zbog izostanka osiguranja mjera zaštite.
Slimpay je prijavio ovu povredu osobnih podataka francuskom nadzornom tijelu, ali o tome nije izvijestio i sve kompromitirane korisnike, čime je prekršio i članak 34. GDPR-a, zbog visokog rizika povrede na kompromitirane korisnike i mogućnost krađe njihovog identiteta.
Naravno, obavještavanje korisnika uzrokovalo bi nemjerljivu reputacijsku štetu, ali ih je sad snašla financijska šteta u iznosu kazne od 180.000 EUR i naknadna reputacijska šteta nakon što su stvari izašle i u javnost.
Više o slučaju na:
https://gdprhub.eu/index.php?title=CNIL_(France)_-_D%C3%A9lib%C3%A9ration_SAN-2021-020_du_28_d%C3%A9cembre_2021&mtc=today
Photo by Sora Shimazaki from Pexels
