Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
600 000 euro kary za naruszenie GDPR dla największego operatora energii elektrycznej we Francji
W dniu 24 listopada 2022 r. odbyło się posiedzenie Krajowej Komisji ds. Informatyki i Swobód (CNIL) w sprawie wystąpienia pokontrolnego i nałożenia sankcji na francuskiego operatora energii elektrycznej Electricite de France (EDF). Jak możemy przeczytać w wystąpieniu, francuski urząd ochrony danych nakłada karę 600 000 euro za naruszenie danych osobowych swoich klientów oraz stosowanie niejasnych praktyk marketingowych.
Grupa EDF, do której należy spółka EDF, prowadzi działalność głównie na terenie Francji, będąc największym operatorem energii elektrycznej w zakresie produkcji (jądrowej, odnawialnej i kopalnej). Zajmuje się też sprzedażą hurtową, handlem, przesyłem i dystrybucją energii elektrycznej. Grupa EDF jest również obecna na rynkach usług gazowych, budowy, eksploatacji i utrzymania elektrowni i sieci energetycznych. Zajmuje się także recyklingiem odpadów. Grupa zatrudnia ponad 131 000 osób i osiągnęła w 2020 r. obrót w wysokości 69 mld euro, a w 2021 – aż 84 mld euro. W ramach świadczonych usług przetwarzane są dane osobowe jej klientów, także tych potencjalnych. Na koniec grudnia 2020 r. spółka posiadała ponad 25,7 mln rekordów klientów w swoich bazach w odniesieniu do rynku detalicznego.
CNIL wszczął kontrolę na początku 2021 roku po wpłynięciu trzech zawiadomień o podejrzeniu naruszenia praw konsumenta, do których miało dojść w okresie od sierpnia 2019 do grudnia 2020 r. Do zarzutów, jakie zostały postawione EDF, zalicza się m.in.:
– zgodnie z art. 4 ust. 11 GDPR – naruszenie obowiązku uzyskania zgody od osób zainteresowanych na realizację prospekcji handlowej drogą elektroniczną,
– zgodnie z art. 7 ust. 1 GDPR – brak możliwości wykazania wyrażenia zgód przez osoby, których dane dotyczą i są przetwarzane,
– zgodnie z art. 13 GDPR i art. 14 GDPR – naruszenie obowiązku informowania użytkowników o wykorzystaniu ich danych osobowych,
– zgodnie z art. 12 GDPR – naruszenie obowiązku przejrzystości,
– zgodnie z art. 15 GDPR – naruszenie możliwości dostępu do danych użytkownikowi oraz gwarantowania terminowej odpowiedzi osoby składającej wniosek,
– zgodnie z art. 21 GDPR – niezachowanie prawa do sprzeciwu wobec wykorzystywania danych osobowych osoby, której dotyczą,
– zgodnie z art. 32 GDPR – niezachowania należytego obowiązku zapewnienia bezpieczeństwa danych.
Francuska spółka skorzystała z prawa do odpowiedzi na zarzuty, jednak ostatecznie nie była w stanie rzetelnie udowodnić, że pozyskała zgody odbiorców na prowadzenie kampanii reklamowej drogą e-mail w badanych latach. EDF także mijało się w zeznaniach w zakresie oświadczeń dotyczących zapewnienia bezpieczeństwa danych i tutaj zostało wskazane największe naruszenie, także w zakresie przedstawionego uzasadnienia w wystąpieniu.
Na podstawie art. 32 GDPR podmiot przetwarzający musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiedni do ryzyka w zakresie wymogów zachowania poufności, integralności i dostępności danych. Biorąc pod uwagę wstępne oświadczenie EDF złożone w trakcie kontroli, zauważono, że hasła do strefy klienta na portalu “Prime Energy” były przechowywane z wykorzystaniem funkcji skrótu MD5. Zaraz potem spółka sprostowała to stwierdzenie wskazując, że od stycznia 2018 r. stosowana jest funkcja SHA-256. Kontrolerzy zauważyli, że do lipca 2022 r. hasła 25 800 starszych kont klientów były przechowywane jednak za pomocą MD5. Na swoją obronę firma wyjaśnia, że wynikało to z przechowywania danych historycznych, które zostały zmigrowane do nowego systemu przez podwykonawcę w 2018 r. i dodatkowo było stosowane zabezpieczenie w postaci solenia (ang. salting) zapewniające, że hasła były bezpieczne.
Tu dochodzimy do meritum sprawy i wytycznych, jakie są stawiane przez dyrektywę GDPR: zgodnie z art. 32 administrator danych osobowych ma obowiązek zapewnić, aby realizowane przez niego zautomatyzowane przetwarzanie danych było wystarczająco bezpieczne. Wystarczalność środków bezpieczeństwa ocenia się z jednej strony w odniesieniu do specyfiki przetwarzania i związanych z nim zagrożeń, a z drugiej strony biorąc pod uwagę stan wiedzy i koszt tych środków. Wdrożenie solidnej polityki uwierzytelniania jest podstawowym środkiem bezpieczeństwa, który generalnie przyczynia się do przestrzegania obowiązków wynikających z dyrektywy. Komisja powołała się w wystąpieniu na dobre praktyki i wytyczne ogłoszone przez ANSSI, że “hasła muszą być przechowywane w postaci przekształconej przez jednokierunkową funkcję kryptograficzną (skrótu) lub funkcją przeciwdziałającą atakom siłowym jak PBKDF2. Dodatkowo, w rekomendacji możemy przeczytać, że ANSSI “zaleca stosowanie soli wybranej losowo dla każdego konta i o długości co najmniej 128 bitów”. EDF nie stosował tych zaleceń. Hasła w strefie klienta dostępnej pod adresem particuliers.edf.fr były przechowywane w postaci solonej, ale z użyciem funkcji SHA-1, uważanej za przestarzałą.
Komisja ostatecznie uznała, że metody przechowywania haseł przez spółkę, nie gwarantują bezpieczeństwa i poufności danych osobowych klientów przy możliwościach technicznych adekwatnych do budżetu spółki.
Wysokość kary została ustalona na podstawie ww. naruszeń, a także po uwzględnieniu współpracy ze spółką i wszystkich działań naprawczych, jakie podjęła w toku postępowania, aby załagodzić wszystkie zarzucane jej uchybienia.
Ciekawe, jaka byłaby wysokość kary, gdyby EDF upierało się przy swoim… Warto też zwrócić uwagę, przypomnieć i zrewidować w swoich firmach, że w dyrektywie GDPR czy naszym rozporządzeniu RODO nie są istotne jedynie polityki, procedury i przepływy danych, ale także weryfikowalność i bezpieczeństwo infrastruktury technicznej.
Źródło:
- https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046650733
- https://www.ssi.gouv.fr/uploads/2018/10/guide_anssi_secure_admin_is_pa_022_en_v2.pdf
- https://gdpr-info.eu/
~tt