120 000 euro kary za brak adekwatnych zabezpieczeń dla aplikacji mobilnej

Podstawą nałożenia kary przez urząd w październiku 2019 r. było niezastosowanie zabezpieczeń adekwatnych do ryzyk związanych z używaniem aplikacji, w ramach której dochodziło do komunikacji pomiędzy nauczycielami, uczniami oraz ich rodzicami. Początkowo gmina miała zostać ukarana kwotą 200 000 euro, jednakże z uwagi na chęć współpracy z organem oraz podjęte działania w celu ograniczenia szkód, niezwłocznie po wykryciu wad bezpieczeństwa, sankcja ta została zmniejszona.

Kluczowymi elementami generującymi potencjalne ryzyko było:

Umożliwienie przesyłania informacji dotyczących absencji ucznia przez rodzica przy użyciu otwartego pola tekstowego w aplikacji zamiast np. checkboxów. Tego typu rozwiązanie sprawiło, że osoba wysyłająca wiadomość mogła zawrzeć w nim o wiele szerszy niż wymagany zakres danych w tym np. dotyczące stanu zdrowia. Jest to efekt nieuwzględnienia ochrony danych osobowych w fazie projektowania aplikacji Skolemelding.
Zastosowanie niewystarczających zabezpieczeń logowania do aplikacji, co pozwoliło na nieautoryzowany dostęp do niej, a w konsekwencji także do danych ponad 63 tysięcy uczniów, ich rodziców i nauczycieli.
Przeprowadzanie nieodpowiednich testów bezpieczeństwa, czego skutkiem były luki w zabezpieczeniach aplikacji.

Gmina nie odwołała się od decyzji urzędu.

Lista artykułów

Wypróbuj System Legalis

Zadzwoń:

22 311 22 22

Koszt połączenia wg taryfy operatora.

lub zostaw swoje dane, a Doradca zbada Twoje potrzeby i uruchomi dostęp:

Telefon: *

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).

E-mail: *

Prosimy o wprowadzenie poprawnego adresu e-mail. Przykładowo: jankowalski@domena.pl.

Wyrażam zgodę na kontakt odnośnie
oferty Systemu Legalis Administracja.

To pole jest wymagane.

Chcę otrzymywać informacje o ofercie C.H.Beck z wykorzystaniem adresu e-mail.

Chcę otrzymywać informacje o ofercie C.H.Beck z wykorzystaniem numeru telefonu.

Uzyskaj dostęp

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.