Апелляционный суд (CoA) вынес решение в пользу Управления информационного комиссара (Information Commissioner’s Office, ICO) по апелляции на предыдущее решение, касающееся обязанностей компаний по защите данных, возникших после кибератаки 2018 года на DSG Retail — ныне Currys Group Ltd — материнскую организацию бывших британских брендов электроники, таких как Carphone Warehouse, Dixons и PC World. DSG стала жертвой крупной кибератаки в течение девяти месяцев в 2017 и 2018 годах. В ходе инцидента киберпреступники установили вредоносное ПО на кассовых терминалах компании, которое использовалось для кражи персональных данных, включая данные кредитных и дебетовых карт миллионов клиентов, а в небольшом количестве случаев — их имена, почтовые индексы и контактные данные. В январе 2020 года ICO наложило на DSG штраф в размере 500 000 фунтов стерлингов в соответствии с Законом о защите данных 1998 года (DPA) после своего расследования, которое выявило, что ритейлер не устранил уязвимости в программных системах, не установил межсетевые экраны, не сегментировал свои сети, не проводил регулярное тестирование безопасности и не защитил персональные данные. Штраф был ниже, чем предписано Общим регламентом по защите данных (GDPR), поскольку нарушение произошло до его вступления в силу. В предыдущих апелляциях в Первый трибунал (FTT) и Апелляционный трибунал (UT) DSG утверждала, что седьмой принцип защиты данных (DPP7) DPA, в соответствии с которым был наложен штраф, не применим к инциденту. Компания заявила, что, хотя злоумышленники и получили полные 16-значные номера карт, сроки действия и имена держателей карт в ограниченном числе случаев, в большинстве случаев карты были защищены электромагнитной верификацией (EMV) — chip-and-pin — поэтому злоумышленники могли получить только 16-значные номера карт и сроки действия, но не имена. Таким образом, компания заявила, что не обязана принимать «соответствующие технические и организационные меры» (Atoms) для защиты данных EMV, поскольку они не являются «персональными данными» в руках третьей стороны. Компания утверждала, что вопрос о применимости DPP7 к указанным данным должен рассматриваться с точки зрения третьей стороны, то есть хакеров. FTT первоначально отклонил этот аргумент, но UT поддержал его, что побудило ICO в прошлом году запросить разрешение на апелляцию. В то время комиссар по информации Джон Эдвардс заявил, что DPA четко указывает на то, что организации должны внедрять Atoms для защиты персональных данных, независимо от того, псевдонимизированы ли они. «Мы видели много случаев, когда люди пострадали, когда злоумышленники получили доступ, удалили или зашифровали псевдонимизированные персональные данные, например, при компрометации медицинских или финансовых данных», — сказал он. Сегодняшнее решение, вынесенное лордом-судьей Уорби, поддерживает точку зрения Эдвардса, заключая, что когда лицо, к которому относятся данные, может быть идентифицировано контролером данных, контролер данных должен защищать эти данные от несанкционированной или незаконной обработки, независимо от того, может ли лицо, обрабатывающее их, использовать их для идентификации этого лица. ICO приветствовало решение CoA, заявив, что оно прояснило важный момент в законодательстве о защите данных, восстановив четкое толкование юридической ответственности организаций за обеспечение безопасности персональных данных. «Я пришел к выводу, что причины UT принять узкое толкование законодательной формулировки, хотя и тщательные и всесторонние, в конечном итоге не являются убедительными», — написал Уорби в своем решении. «Они приводят к некоторым неожиданным выводам. По моему мнению, более широкое толкование более соответствует языку закона и его родительской Директиве, целям защиты данных и немногим установленным случаям, которые имеют какое-либо существенное значение для этого вопроса. Поэтому я бы удовлетворил апелляцию». «Сегодняшнее решение является значительной победой, приносящей столь необходимую ясность для людей, пострадавших от кибератак, а также для отрасли», — заявила генеральный юрисконсульт ICO Бинни Го. «Мы приветствуем подтверждение CoA того, что организации должны защищать все персональные данные, которые они обрабатывают, независимо от того, как они могут быть использованы или эксплуатированы хакерами. Это признает, что даже если хакеры не могут индивидуально идентифицировать людей по украденным наборам данных, кибератаки могут и по-прежнему причиняют реальный вред. «В условиях растущей угрозы киберпреступности это решение укрепляет нашу способность принимать решительные меры в будущем и посылает четкий сигнал всем организациям: у вас есть защитная обязанность хранить персональные данные, которые вы имеете», — сказала Го. Computer Weekly связался с Currys Group Ltd для получения ответа, и эта статья будет обновлена в случае его получения. Дело вернется в FTT на более позднюю дату для повторного применения нового толкования CoA к фактам инцидента DSG.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton




