Апелляционный судья подтверждает правоту ICO в продолжающейся борьбе против розничного гиганта, допустившего утечку данных. — theregister.com
Надзорный орган Великобритании по защите данных одержал небольшую победу в затяжном судебном споре против британской розничной группы, потерявшей миллионы записей данных в результате утечки в 2017 году.
Решение лорда-судьи Уорби, вынесенное вчера, можно прочитать здесь [PDF].
Управление комиссара по информации (ICO) первоначально оштрафовало DSG Retail на 500 000 фунтов стерлингов (673 000 долларов США) в 2020 году, что являлось максимальным финансовым штрафом, разрешенным Законом о защите данных 1998 года (DPA 1998) — соответствующим законодательством до вступления в силу GDPR.
Его уведомление о денежном штрафе (MPN) было поддержано первой инстанцией Апелляционного суда, но впоследствии отменено вышестоящим судом [PDF], который встал на сторону DSG Retail и, если бы это решение было окончательным, фактически аннулировало бы штраф ICO.
Важным аспектом дела является характер украденных данных. Хакеры установили вредоносное ПО на 5 390 кассовых аппаратов в магазинах электроники Currys PC World и Dixons Travel, оба из которых принадлежат DSG.
Вредоносное ПО оставалось незамеченным в течение девяти месяцев, собрав 5,6 миллиона данных платежных карт и личную информацию примерно 14 миллионов человек, как подтвердил ICO при выдаче своего MPN.
Тогдашний комиссар Стив Экерсли заявил, что выводы ICO были «вызывающими беспокойство» и касались «базовых, обыденных мер безопасности», которые в конечном итоге демонстрировали «полное пренебрежение» данными клиентов.
Суть спора, центральная для затяжного судебного дела, заключается в том, могли ли данные карт, собранные злоумышленниками, быть использованы для идентификации держателей карт. Совокупность личных данных, полученных отдельно от платежных данных, не является предметом обсуждения в данном деле.
Ключевым моментом является то, что затронутые данные карт включали 16-значный номер карты и срок действия, но не имена держателей карт.
DSG утверждает, что этот конкретный аспект дела не является нарушением личных данных, поскольку хакеры не могли идентифицировать людей только по данным платежных карт. DSG признает, что как организация она могла установить связь между данными карты и реальными лицами, но утверждает, что злоумышленники не могли.
Вышестоящий суд вынес решение против ICO, заявив, что дело следует рассматривать с точки зрения злоумышленников. Если они не могли использовать данные карты для идентификации людей, то эти данные не должны считаться личными данными в контексте нарушения DPA 1998.
Лорд-судья Уорби в четверг пришел к выводу, что этот аргумент неверен, и встал на сторону ICO, отправив дело обратно в трибунал первой инстанции, который изначально вынес правильное решение.
Его решение поставило под сомнение интерпретацию закона вышестоящим судом, заявив, что личные данные должны рассматриваться с точки зрения контролера; если они могут привести к идентификации лица, в данном случае в DSG Retail, то это личные данные.
Соответствующее законодательство требует, чтобы контролеры данных защищали эти данные, независимо от того, может ли третья сторона использовать их для идентификации лиц.
Лорд-судья Уорби добавил, что рассуждения вышестоящего суда могут привести к путаным последствиям, если это действительно верная интерпретация DPA 1998.
Тот же подход фактически освободил бы контролеров данных от бремени защиты данных в случае атаки программы-вымогателя, например, при условии, что злоумышленник не смог бы использовать ее для идентификации людей.
«В рассуждениях UT и в представлениях DSG подразумевается, что такие вмешательства по сути безвредны с точки зрения субъектов данных, если недобросовестный актер не может идентифицировать лиц, к которым относятся данные, так что обязанность охранять их была бы бессмысленно обременительной, – постановил лорд-судья Уорби. – Я с этим не согласен».
Далее он обсудил возможность «мозаичной идентификации», при которой злоумышленники могли бы использовать огромные объемы личных данных, доступных онлайн из различных источников, для идентификации держателей карт.
«Технологии значительно усовершенствовались. Способность находить, собирать и комбинировать разрозненные элементы для получения информации об отдельных лицах значительно возросла. Часто окажется невозможным исключить риск того, что несанкционированный доступ к части набора данных, который сам по себе не идентифицирует никакого лица, может привести к обработке каким-либо неизвестным третьим лицом, имеющим (законный) доступ к средствам идентификации».
Теперь, когда Апелляционный суд постановил, что DSG несет юридическую обязанность защищать данные платежных карт как личные данные, трибунал первой инстанции рассмотрит дело в контексте этого решения.
DSG может обжаловать решение трибунала, отправив его снова в вышестоящий суд. Если споры останутся, это может стать вопросом для Верховного суда Великобритании.
Бинни Го, генеральный директор ICO, сказала: «Сегодняшнее решение является значительной победой, приносящей столь необходимую ясность для людей, пострадавших от кибератак, а также для отрасли.
«Мы приветствуем подтверждение CoA, что организации должны защищать все личные данные, которые они обрабатывают, независимо от того, как они могут быть использованы или использованы хакерами. Это признает, что даже если хакеры не могут индивидуально идентифицировать людей по украденным наборам данных, кибератаки все равно могут причинить реальный вред.
«С растущей угрозой киберпреступности это решение укрепляет нашу способность принимать решительные меры в будущем и посылает четкий сигнал всем организациям: вы несете защитную обязанность по обеспечению безопасности личных данных, которые вы храните».
Curry’s PLC, текущее торговое название DSG Retail, не ответило на наши запросы о комментариях. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones