Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Rekordowa kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych!

03/03/2022

Kara Rodo,

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę karę pieniężną w wysokości ponad 4,9 mln zł. za naruszenie ochrony danych osobowych polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, a także brak weryfikacji podmiotu przetwarzającego.


Administracyjna kara pieniężna nałożona również została na podmiot przetwarzający w wysokości w wysokości 250 135  PLN na podmiot przetwarzający.

 

W przedmiotowej sprawie naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby w momencie wprowadzania zmiany w środowisku teleinformatycznym. Do wykrycia podatności, która doprowadziła do nieuprawnionego dostępu do dodatkowej bazy danych utworzonej w oparciu o rozwiązanie […], doszło po przekazaniu przez dwóch niezależnych internautów informacji, iż posiadają oni dostęp do bazy klientów administatora. Opisując, w jaki sposób doszło do naruszenia, administator wskazał m.in., że związane to było z  faktem wprowadzenia zmiany programistycznej w środowisku informatycznym dla usługi [...]. Zmiana polegała na dodaniu do środowiska [...] dodatkowego komputera (serwera bazodanowego) dla bazy danych działającej w oparciu o rozwiązanie […] w celu poprawienia wydajności wyszukiwania dokumentów.

Zmiany tej dokonał  podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych umów w tym umowy powierzenia przetwarzania danych osobowych. W trakcie dokonywanych zmian utworzona została dodatkowa bazy danych klientów administratora. Baza ta została jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została ona wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń. Do wycieku danych doszło w wyniku błędu jednego pracownika Podmiotu Przetwarzającego posiadającego według niego odpowiednie kwalifikacje do wykonania tego zadania, który konfigurując nowy serwer działający w oparciu o rozwiązanie […], nie […], w konsekwencji czego nie został zapewniony bezpieczny kanał komunikacji pomiędzy serwerami środowiska administratora danych, wykorzystywanymi do przetwarzania danych osobowych.

 

W ocenie Prezesa UODO zastosowane przez podmiot przetwarzający środki techniczne i organizacyjne jedynie w bardzo ograniczonym stopniu odpowiadały wymogom określonym w art. 32 ust. 1 i 2 rozporządzenia 2016/679. Poszczególne etapy realizacji zmian dla zgłoszonego przez administratora danych problemu z wydajnością usługi [...] nie odbywały się na podstawie ściśle określonych procedur. W trakcie procesu dokonywania zmian w systemie użyte zostały rzeczywiste dane osobowe klientów administratora, a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem do administratora danych zmian w ww. systemie mających rozwiązać problem z jego wydajnością. Funkcje bezpieczeństwa nie były bowiem testowane w trakcie prowadzonych w tym celu prac. Naruszając w ww. zakresie obowiązki wynikające z art. 32 ust. 1 i 2 rozporządzenia 2016/679 oraz działając niezgodnie z ww. normami ISO, podmiot przetwarzjacy działał jednocześnie wbrew postanowieniom własnej „Polityki […]”, która do tych norm się odwołuje. Podmiot przetwarzający działał również wbrew umowie powierzenia przetwarzania danych osobowych, w której zobowiązała się m.in. do wdrożenia pseudonimizacji danych. Określając bowiem środki bezpieczeństwa, jakie zastosuje w celu ochrony danych osobowych, podmiot przetwarzający pominął w szczególności wynikający z ww. przepisu rozporządzenia 2016/679 obowiązek uwzględnienia przy ich określaniu stanu wiedzy technicznej.

 

Z kolei w odniesieniu do działań administatora danych - w ocenie Prezesa UODO zastosowane przez administratora środki techniczne i organizacyjne jedynie w bardzo ograniczonym stopniu odpowiadały wymogom określonym w art. 32 rozporządzenia 2016/679,  w związku z faktem, że administrator na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami, umową powierzenia przetwarzania danych osobowych czy też umową przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi. Należy bowiem podkreślić, że zapewnienie przez administratora danych nadzoru i monitorowania prac rozwojowych nad systemami, zleconych podmiotom zewnętrznym, to jeden z podstawowych środków organizacyjnych, jaki powinien administrator skutecznie wdrożyć w celu zapewnienia bezpieczeństwa danych osobowych zgodnie z wymogami wynikającymi z rozporządzenia 2016/679, w szczególności wówczas gdy w tych pracach wykorzystywane są zamiast danych testowych (fikcyjnych) rzeczywiste dane osobowe jego klientów (bez poddania ich pseudonimizacji) oraz  wzorcowy element bezpieczeństwa, na który wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06. W konsekwencji niestosowania przez administatora danych powyższych zasad, możliwe do przewidzenia ryzyka nie zostały odpowiednio zminimalizowane i ograniczone w czasie przetwarzania. Należy uznać, że stosowanie odpowiednich standardów bezpieczeństwa w zakresie wprowadzania zmian w systemach informatycznych służących do przetwarzania danych osobowych, w tym ich weryfikacja pod kątem bezpieczeństwa, a w szczególności spełniania wymogów wynikających z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, a także skuteczna weryfikacja działań podmiotu przetwarzającego w tym zakresie, znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych osobowych klientów administratora, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych, których dane są przez administratora przetwarzane, czyli udostępnienia danych nieuprawnionym odbiorcom.

 

Administrator nie przeprowadzał w podmiocie przetwarzającym audytów, w tym inspekcji, w celu sprawdzenia, czy podmiot przetwarzający w sposób prawidłowy realizuje swoje obowiązki wynikające z rozporządzenia 2016/679. Możliwość przeprowadzenia takich audytów, w tym inspekcji, wynika z art. 28 ust. 3 lit. h) rozporządzenia 2016/679, stosownie do którego, umowa powierzenia przetwarzania danych osobowych ma stanowić, że podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Przepis ten daje zatem administratorowi pewne narzędzia, korzystanie z których może zapewnić, że proces przetwarzania danych podlegających powierzeniu będzie zgodny z przepisami rozporządzenia 2016/679, a administrator uniknie odpowiedzialności za ich naruszenie. Podkreślić należy, że przeprowadzanie przez administratora w podmiocie przetwarzającym audytów, w tym inspekcji, należy traktować jako jeden z istotniejszych  środków bezpieczeństwa, jakie powinien zastosować administrator w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 rozporządzenia 2016/679. Administrator powinien bowiem w czasie korzystania przez niego z usług podmiotu przetwarzającego dysponować wiedzą, czy i w jaki sposób podmiot, któremu powierzył przetwarzanie danych osobowych, spełnia wymogi określone w rozporządzeniu 2016/679. Nie ulega wątpliwości, że najskuteczniejszym sposobem zapewnienia sobie tej wiedzy przez administratora jest dokonywanie w podmiocie przetwarzającym stosownych audytów, w tym inspekcji. Takich środków bezpieczeństwa administratot jednak nie zastosował, co w konsekwencji przyczyniło się do wystąpienia naruszenia ochrony danych osobowych. Co więcej, stosowanie ww. środków jest powiązane z obowiązkiem administratora danych wynikającym z art. 28 ust. 1 rozporządzenia 2016/679, co oznacza, iż jego wykonanie ma także potwierdzić, czy podmiot przetwarzający w dalszym ciągu daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą.

Brak realizacji audytów, w tym inspekcji, w podmiocie przetwarzającym oznacza również naruszenie przepisu art. 25 ust. 1 rozporządzenia 2016/679. Przepis ten obliguje do wdrażania odpowiednich środków technicznych i organizacyjnych, nie tylko przy określaniu sposobów przetwarzania, ale także w czasie samego przetwarzania. Ciągłość wpisana w analizowany obowiązek może więc w praktyce przejawiać się m.in. w konieczności zapewnienia regularnego monitoringu zastosowanych zabezpieczeń oraz prowadzenia stałego nadzoru nad podmiotem przetwarzającym poprzez np. audyty i inspekcje, o których mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679.

 

W uzasadnieniu decyzji wobec administratora Prezes UODO przywołał wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, w którym Sąd wskazał, że „Przyjęte środki mają mieć charakter skuteczny (…)” oraz „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych.”, a także wyrok tego sądu z 19 stycznia 2021 r., sygn. II SA/Wa 702/20, że „Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679)”.

 

Zachęcamy do zapoznania się z pełną treścią decyzji LINK.https://odoserwis.pl/j/995/decyzja-prezesa-urzedu-ochrony-danych-osobowych-z-dnia-19-stycznia-2022-rl

 

 

 

 

Kara Rodo,
KE opublikowała drugi raport dotyczący stosowania RODO
KE opublikowała drugi raport dotyczący stosowania RODO
Obowiązek współpracy administratora z Prezesem UODO potwierdzony w wyroku WSA w Warszawie
Obowiązek współpracy administratora z Prezesem UODO potwierdzony w wyroku WSA w Warszawie
Datatilsynet i Norwegian Accreditation współpracują w zakresie akredytacji jednostek certyfikujących zgodnie z RODO
Datatilsynet i Norwegian Accreditation współpracują w zakresie akredytacji jednostek certyfikujących zgodnie z RODO