„Kontrola” najwyższą formą zaufania – o tym dlaczego warto audytować swoich procesorów?

01 mar 2022
Jakub Wietrzyński

Rekordowa kara RODO. 28 lutego br. na stronie UODO pojawiła się kolejna informacja o administracyjnej karze pieniężnej.

Prezes UODO nałożył administracyjną karę pieniężną na na Spółkę Fortum Marketing and Sales Polska. Jej  wysokość to prawie 5 mln zł (dokładnie 4 911 732 zł). Przyczyną nałożenia kary, był brak wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego.

Taką informację możemy wyczytać z ogólnego komunikatu opublikowanego na stronie UODO. Jak zwykle jednak, zachęcam by dokładniej prześledzić decyzję Prezesa UODO (https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020). We wspomnianej decyzji bardzo dokładnie przedstawiono przyczyny wystąpienia naruszenia.  są one opisane z dwóch punktów widzenia: Administratora oraz Procesora (PIKA Sp. z o.o.). Tu warto zaznaczyć, że procesor również został ukarany administracyjną karą pieniężną (250 tys. zł).

Najważniejsze informacje związane z Decyzją DKN.5130.2215.2020:

  • kara jest skutkiem naruszenia ochrony danych osobowych, polegająca na skopiowaniu danych około 95 tys. klientów Fortum Marketing and Sales przez nieuprawnione osoby;
  • zakres danych, których dotyczyło naruszenie, jest bardzo szeroki i zawiera między innymi: imię i nazwisko, adres zamieszkania, nr PESEL, rodzaj, seria i numer dokumentu tożsamości;
  • do skopiowania danych doszło w wyniku prac podmiotu przetwarzającego (dostawca usług IT), który nie zabezpieczył w poprawny sposób środowiska testowego;
  • Spółka zawarła umowę powierzenia przetwarzania danych osobowych z dostawcą usług, w której ustaliła wymogi bezpieczeństwa, ale nie zweryfikowała, czy są faktycznie wdrożone;
  • prace dotyczące zmian w systemie były wykonywane na kopii danych produkcyjnych, a zabezpieczenia środowiska testowego nie były analogiczne do produkcyjnego;
  • Spółka nie zbadała czy produkt dostarczany przez dostawcę jest bezpieczny (brak weryfikacji skuteczności środków technicznych i organizacyjnych).

Co można wywnioskować na tej podstawie?

  • sama umowa powierzenia przetwarzania, nawet z najbardziej surowymi zapisami, nie chroni administratora przed karą jeżeli nie będzie on kontrolował swojego procesora (audyt procesora),
  • administrator powinien umieć przedstawić dowód na przeprowadzenie badań podatności/testów penetracyjnych wdrażanych rozwiązań IT – faktyczna weryfikacja skuteczności środków technicznych i organizacyjnych,
  • nieuprawnione ujawnienie takiej kategorii danych, jak nr PESEL wraz imieniem i nazwiskiem, w opinii UODO może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych – takie naruszenie wymaga więc notyfikacji zarówno do organu nadzorczego, jak i podmiotów danych,
  • nie należy wykorzystywać produkcyjnych danych, w szczególności zawierających dane osobowe na środowisku testowym,
  • faktycznie to procesor otrzymał dotkliwszą karę aniżeli administrator (4,9 mln zł stanowi jedynie 0,18 % obrotu Fortum Marketing and Sales osiągniętego w 2020 r., 50 tys. zł stanowi aż 1,19 % obrotu osiągniętego przez PIKA w 2020 r.),

Czy zarządzamy procesorami?

Kto z Państwa w ramach nadzoru nad swoimi procesorami faktycznie ich audytuje? Nie mówię tu o „ankiecie RODO” przesłanej do procesora, bo ta mówiąc kolokwialnie jest guzik warta. Kto z Państwa opracował i przedstawił swoim dostawcom usług IT procedurę zarządzania zmianą? Kto z Państwa regularnie przeprowadza badanie podatności i testy penetracyjne swoich systemów IT?

W większości organizacji RODO kojarzone jest wyłącznie z klauzulami informacyjnymi, zasadami czystego biurka i umowami powierzenia przetwarzania. W mojej ocenie jest to pokłosie braku właściwych kompetencji.  Nie bez znaczenia, jest brak doświadczenia osób odpowiadających za wdrażanie RODO w organizacjach. Trochę łatwiej jest napisać klauzulę informacyjną, aniżeli wykonać test penetracyjny 😊.

Świat pokazuje, że faktyczne bezpieczeństwo danych osobowych jest kluczowym aspektem w zapewnieniu zgodności z przepisami RODO. Dlatego zachęcam do zwrócenia się o pomoc do podmiotów zewnętrznych. Takich, które  specjalizują się w zagadnieniach dotyczących ochrony danych osobowych i bezpieczeństwa informacji, jak Blue Energy.

Cyberbezpieczeństwo

Chcesz zapewnić bezpieczeństwo danych osobowych, nie czekaj:

Potrzebujesz więcej informacji: biuro@grupablue.pl

#bezpieczeństwo
#IT
#RODO
#Testy

Zobacz także

25 lip
#bezpieczeństwo
#IT
#RODO
Co z tymi sygnalistami? – pierwsze kary i trzecia odsłona projektu ustawy o ochronie sygnalistów.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, obowiązuje już od 17 grudnia 2021 r. Do dziś jednak (25.07.2022) w polskim porządku prawnym nie pojawiła się doprecyzowująca wymagania Dyrektywy ustawa o ochronie osób zgłaszających naruszenia prawa.

Czytaj dalej arrow
19 kw.
#bezpieczeństwo
#IT
#RODO
Czy jako Administrator potrafisz dobrać właściwe zabezpieczenia techniczne i organizacyjne niezbędne do zapewnienia zgodności z RODO?

Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Prezesa Sądu Rejonowego w Zgierzu. Kara nie jest spektakularna pod względem wysokości (10 000 zł) i została nałożona już w zeszłym roku, ale mimo wszystko warto na nią zwrócić uwagę.

Czytaj dalej arrow
Nie znalazłeś tego, czego szukasz?
Napisz do nas arrow