Nie dbasz o bezpieczeństwo informacji to licz się z karą od Prezesa UODO

13 sty 2022
Jakub Wietrzyński

11 stycznia na stronie UODO pojawiła się kolejna informacja o administracyjnej karze pieniężnej w wysokości 45 tys. złotych tym razem nałożoną na Politechnikę Warszawską. Co ciekawe kara ta po raz kolejny związana jest niezastosowaniem przez Administratora odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków.

A przynajmniej tyle wyczytamy z ogólnego komunikatu opublikowanego na stronie. Zachęcam jednak by dokładniej prześledzić decyzję Prezesa UODO (https://www.uodo.gov.pl/decyzje/DKN.5130.2559.2020%20).

Wyczytamy w niej między innymi, że naruszenie przepisów RODO polegało na:

  • niezastosowaniu odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania
  • braku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym – w tym wprost wskazany brak wykonywania testów penetracyjnych aplikacji pozwalających na wykrycie podatności systemu na ataki z sieci publicznej,
  • braku uwzględnienia ryzyka związanego z przetwarzaniem w aplikacji haseł użytkowników w postaci funkcji skrótu, która nie daje dostatecznej gwarancji bezpieczeństwa,
  • zbyt krótkim przechowywanie logów dzienników systemowych i braku funkcjonowania w aplikacji szczegółowego dziennika zdarzeń.

Kto z Państwa w ramach przeprowadzanej analizy ryzyka bierze pod uwagę aspekty związane z jakością funkcji skrótu (hashu hasła),  sposobu prowadzenia i zawartości dzienników  administracyjnych i dzienników zdarzeń czy odporności systemów na ataki z sieci publicznej? Ilu z Administratorów bada faktyczne bezpieczeństwo, a ilu pozoruje proces analizy ryzyka wpisując w arkuszu Excel po jednej stronie tabeli „ryzyko naruszenia poufności danych osobowych” a po drugiej „poziom ryzyka niski”

W większości organizacji tak lekkie podejście do procesu analizy ryzyka wnika z braku właściwych kompetencji i doświadczenia. Przypominam więc, że istnieje możliwość zwrócenia się o pomoc do podmiotów zewnętrznych wyspecjalizowanych w zagadnieniach dotyczących ochrony danych osobowych i bezpieczeństwa informacji takich jak Blue Energy.

Zapraszamy do skorzystania z naszych usług w zakresie:

#bezpieczeństwo
#IT
#RODO
#Testy

Zobacz także

25 lip
#bezpieczeństwo
#IT
#RODO
Co z tymi sygnalistami? – pierwsze kary i trzecia odsłona projektu ustawy o ochronie sygnalistów.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, obowiązuje już od 17 grudnia 2021 r. Do dziś jednak (25.07.2022) w polskim porządku prawnym nie pojawiła się doprecyzowująca wymagania Dyrektywy ustawa o ochronie osób zgłaszających naruszenia prawa.

Czytaj dalej arrow
19 kw.
#bezpieczeństwo
#IT
#RODO
Czy jako Administrator potrafisz dobrać właściwe zabezpieczenia techniczne i organizacyjne niezbędne do zapewnienia zgodności z RODO?

Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Prezesa Sądu Rejonowego w Zgierzu. Kara nie jest spektakularna pod względem wysokości (10 000 zł) i została nałożona już w zeszłym roku, ale mimo wszystko warto na nią zwrócić uwagę.

Czytaj dalej arrow
Nie znalazłeś tego, czego szukasz?
Napisz do nas arrow