Španělský dozorčí úřad AEPD uvalil pokutu 4 miliony eur na operátora Xfera Móviles za nedostatečnou kybernetickou bezpečnost
MADRID — Španělský úřad pro ochranu osobních údajů (Agencia Española de Protección de Datos – AEPD) uložil společnosti Xfera Móviles, S.A.U. – poskytovateli komunikační sítě – pokutu 4 miliony eur za závažné porušení povinností vyplývajících z nařízení GDPR. Rozhodnutí, vydané v rámci případu EXP202307113, vychází z kybernetického incidentu z března 2023, při němž došlo k neoprávněnému přístupu k osobním údajům tisíců zákazníků.
Incident nastal v důsledku dočasné změny konfigurace systému doménových jmen (DNS), která vedla k deaktivaci dvoufaktorové autentizace v interním nástroji VFR určeném pro správu zákaznických účtů.
Útočník s platnými přihlašovacími údaji oprávněného uživatele tak získal mezi 28. a 29. březnem 2023 přístup k citlivým údajům, včetně jmen, identifikačních čísel, kontaktních údajů, informací o službách a bankovních účtů (IBAN).
Společnost incident detekovala 29. března, zneplatnila kompromitované přihlašovací údaje a dne 31. března oznámila porušení ochrany údajů AEPD dle článku 33 GDPR. Dotčeným osobám bylo o incidentu informováno e-mailem a SMS. Několik zákazníků následně podalo stížnosti, protože po incidentu obdrželi phishingové zprávy a kritizovali nejasnost ohledně rozsahu postižených dat.
AEPD v průběhu vyšetřování zjistil, že společnost:
· nezavedla účinné monitorovací mechanismy pro detekci abnormálního přístupu,
· dovolila, aby dočasná technická změna oslabila základní autentizační ochranu,
· nezabezpečila údaje v systému VFR šifrováním, což umožnilo jejich čtení v otevřeném textu.
Xfera Móviles se hájila tím, že byla obětí trestného činu, že reagovala rychle a že již po incidentu bezpečnostní opatření posílila. Dále argumentovala, že by mělo být řízení pozastaveno do ukončení trestního vyšetřování, a že uložení dvou pokut porušuje zásadu ne bis in idem.
AEPD všechny námitky odmítl. Soudní praxe i právní rámec GDPR jasně rozlišují odpovědnost správce za vlastní bezpečnostní opatření od činů třetích osob. Dále poukázal, že porušení článku 5 odst. 1 písm. f) GDPR (nedostatečné zajištění důvěrnosti) a článku 32 GDPR (nedostatečná technická a organizační opatření) jsou samostatná porušení, která lze sankcionovat odděleně – a to i bez prokázání skutečné újmy subjektů údajů.
Výsledkem bylo uložení dvou pokut: 2,5 milionu eur za porušení článku 5 a 1,5 milionu eur za porušení článku 32 GDPR, celkem tedy 4 miliony eur.
Rozhodnutí AEPD posílá jasný signál: i dočasné technické změny v IT infrastruktuře nesmí narušovat základní zásady kybernetické bezpečnosti. Společnosti mají povinnost zajistit trvalou ochranu osobních údajů – včetně účinného monitorování, šifrování a řízení přístupových práv – bez ohledu na to, zda k incidentu došlo v důsledku chyby nebo útoku třetí strany.
Zdroj: GDPRhub.eu
Další články
NÚKIB posiluje bezpečnost českých ICT produktů
Výsledky ESG ratingu 2025
