IP: 2.802 EUR za obdelovalca spletne trgovine
Informacijski pooblaščenec oglobil pogodbenega partnerja, ki je za naročnika vzdrževal spletno trgovino, zaradi ne odpravljenih kritičnih varnostnih ranljivosti.
Odločitev je bila izdana maja 2026.
Informacijski pooblaščenec je izdal odločbo o prekršku zoper pravno osebo, ki je kot obdelovalec osebnih podatkov za naročnika vzdrževala spletno trgovino. Primer se nanaša na varnostni incident, pri katerem je napadalec izkoristil javno znano kritično ranljivost programske opreme, pridobil dostop do šifrirnega ključa in v postopek zaključka spletnega nakupa vstavil zlonamerno kodo za prestrezanje podatkov uporabnikov.
Nadzorni organ je ugotovil, da je bila kritična ranljivost proizvajalcu in javnosti znana že pred izvedenim napadom. Čeprav je bila na sistemu nameščena določena posodobitev programske opreme, ta sama po sebi ni zadostovala za odpravo tveganja. Za učinkovito odpravo ranljivosti bi bilo treba izvesti še dodatne korake, med drugim rotacijo šifrirnega ključa in namestitev nujnega varnostnega popravka oziroma kasnejše različice programske opreme, ki je ranljivost v celoti odpravila.
Posebno težo je nadzorni organ pripisal pogodbenim obveznostim obdelovalca. Ta se je z naročnikom zavezal, da bo zagotavljal vzdrževanje spletne trgovine, odpravljal napake, izvajal redne preglede programske kode ter skrbel za uporabo najnovejših varnostnih popravkov ob predhodni odobritvi naročnika. Kljub tem obveznostim ustrezni varnostni ukrepi niso bili izvedeni, zaradi česar je napadalec lahko izkoristil znano ranljivost.
Odločitev nadzornega organa
Informacijski pooblaščenec je presodil, da obdelovalec ni izvajal ustreznih tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave osebnih podatkov, kot to zahteva 32. člen GDPR.
Po presoji nadzornega organa zgolj začetna namestitev določene različice programske opreme ni zadostovala za zagotovitev ustrezne ravni varnosti. Ključno je bilo dejstvo, da obdelovalec ni izvedel vseh ukrepov, ki jih je proizvajalec programske opreme izrecno določil za odpravo kritične ranljivosti, niti ni kasneje posodobil sistema na različico, ki bi ranljivost v celoti odpravila.
Odločba poudarja tudi pomen rednega testiranja, ocenjevanja in preverjanja učinkovitosti sprejetih varnostnih ukrepov. Nadzorni organ je ocenil, da bi moral obdelovalec spremljati objavljene varnostne ranljivosti, pravočasno izvajati potrebne posodobitve in preverjati, ali so sprejeti ukrepi dejansko zadostni za zaščito osebnih podatkov.
Zaradi ugotovljene kršitve je nadzorni organ pravni osebi izrekel globo v višini 2.802 EUR zaradi kršitve obveznosti iz 32. člena GDPR v povezavi s 95. členom ZVOP-2.
Odločitev je pomemben opomnik, da obveznost zagotavljanja varnosti obdelave osebnih podatkov ni izpolnjena že z občasnim nameščanjem posodobitev. Upravljavci in obdelovalci morajo vzpostaviti učinkovit proces spremljanja varnostnih ranljivosti, pravočasnega nameščanja vseh potrebnih popravkov ter rednega preverjanja, ali sprejeti tehnični in organizacijski ukrepi dejansko zagotavljajo ustrezno raven varnosti glede na aktualna tveganja.
Odločitev nadzornega organa je dostopna tukaj.
Vir: IPRS
Naslovna fotografija: Pexels