ICO (Information Commissioner's Office) kao nadzorno tijelo za zaštitu podataka u UK izreklo je kaznu maloprodajnom lancu DSG Retail Limited u navedenom iznosu zbog izostanka primjene neophodnih mjera zaštite osobnih podataka najmanje 14 milijuna ljudi.

Radi se o kontinuiranom sigurnosnom incidentu s trajanjem još od 1998. godine a eskaliralo je između srpnja 2017. i travnja 2018. godine, u kojem razdoblju je uslijed izostanka sigurnosnih mjera instaliran zlonamjerni softver na više od 5.000 blagajni i time omogućen neovlašteni pristup do podataka o transakcijama kartičnog plaćanja.

Nebriga o informacijskoj sigurnosti bila je sistematska uz izostanak sigurnosnih mjera kod nadogradnje softvera, izostanak vatrozidova i redovitih sigurnosnih testova.

Privatnost i osobni podaci 14 milijuna osoba su izloženi, kazna je daleko od GDPR-om zapriječenih (20 milijuna EUR ili 4% godišnjeg globalnog prometa, što je veće).

Kako to?

Kako je razdoblje trajanje incidenta bilo prije pune primjene GDPR-a, primjenjivao se stari UK Data Protection Act iz 1998. kojim je zapriječena maksimalna kazna do 500.000 GBP.

Ukoliko bi se incident takvog tipa dogodio iza 25. svibnja 2018., kazne bi bile nemjerljivo više. Stoga, oprez i poziv na investiranje u informacijsku sigurnost i cybersecurity mjere.

Više o temi na ovom linku:

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/01/nationwide-retailer-fined-half-a-million-pounds-for-failing-to-secure-information/