Ukoliko vodite web stranicu putem koje se prikupljaju veće količine osobnih podataka, odnosno, ukoliko svojim korisnicima, klijentima ili kupcima pružate usluge putem web stranice na način da se registriraju i prijave za korištenje, korisno je pročitati ovaj članak.
COVID-19 epidemija ubrzala je digitalnu transformaciju društva i gospodarstva i svi jako dobro znamo na koliko novih web stranica smo se tijekom lockdowna registrirali.
Prvenstveno mislimo ovdje na razne web trgovine, ali i servisne stranice pružatelja usluga, čije smo usluge do prije nekoliko mjeseci češće naručivali telefonom, emailom ili putem mobilne aplikacije.
U pravilu smo ostavili osnovne podatke o sebi, od imena i prezimena, email adrese, telefonskog broja, ponekad i datuma rođenja, adrese stanovanja, pa i podataka o bankovnoj kartici zajedno s onim sigurnosnim kodom na poleđini kartice.
- Jesmo li se ikad zapitali što bi nam se moglo dogoditi ukoliko bi netko zlorabio prethodno navedene naše podatke, ukoliko bi ih ukrao i dao u ruke zlonamjernim ljudima?
- Jesmo li se prilikom registracije na neki web servis, web trgovinu i li bilo kakvu web platformu upitali koliko je tvrtka koja upravlja web stranicom uložila u sigurnost iste?
Vrlo zanimljiv slučaj dolazi nam iz susjedne Mađarske gdje je jedan telekom operator kontinuirano godinama zanemarivao sigurnost svoje web stranice i zbog toga je kažnjen s čak 290.000 EUR.
Tzv. "ethical hacker" je prijavio sigurnosnu ranjivost web stranice nadzornom tijelu i ukazao na visok rizik stvarnog kompromitiranja osobnih podataka velikog broja korisnika telekom operatora.
Zanimljivi su i dodatni nalazi nadzora i zaključci autora članka na donjem linku:
- telekom je imao izrađenu svu potrebnu i opsežnu GDPR dokumentaciju, čak i sve dokumente kojima se opisuju mjere informacijske sigurnosti, a pri tom u praksi to nije provodio. Ovaj slučaj zorno potvrđuje da dokumentima ne rješavamo stvarno usklađivanje s GDPR obvezama
- iako se kompromitiranje osobnih podataka nije dogodilo, telekom je kažnjen vrlo visokom kaznom. Nadzorno tijelo je reagiralo na ovako oštar način iz razloga što smatra da vlasnici web stranica putem kojih se registriraju i prijavljuju korisnici usluga, kupci ili klijenti moraju osigurati strože tehničke i organizacijske mjere, uključujući informacijsku sigurnost
- činjenica da je nadzornom tijelu prijavljena povreda podataka koju je uzrokovao "ethical hacker", ne oslobađa telekom krivnje i nadzorno tijelo nije zbog toga umanjivalo kaznu. Ali bi je svakako osjetno uvećalo da povreda podataka nije pravovremeno prijavljena
Cijelu priču iz Mađarske možete ovdje pronaći:
