- Spółka Panek SA nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych, na podstawie przeprowadzonej analizy ryzyka. Rozwiązań, które wprowadziła, nie testowała. Nie oceniała ich skuteczności – dlatego nie wiedziała, że nie są wystarczające – wyjaśnia w komunikacie UODO.

Wyciek danych w Panek SA

Problem pojawił się przy przebudowie strony internetowej spółki. Na skutek błędu w komunikacji, pracownik podwykonawcy omyłkowo umieścił na nowej stronie pliki z danymi ze starego serwisu, które zostały zindeksowane przez wyszukiwarkę Google i stały się dostępne dla wszystkich. Były to dane takie jak: imię, nazwisko, adres email, adres zamieszkania, zaszyfrowanego hasła dostępu do panelu klienta. Naruszenie dotyczyło 21 453 osób - klientów i pracowników spółki.

Panek SA (administrator danych) zgłosił incydent do UODO, prezentując stanowisko, że do zdarzenia by nie doszło, gdyby nie błąd konfiguracji serwera, za który odpowiada firma informatyczna. Ta ostatnia twierdziła zaś, że nie otrzymała od administratora szczegółowych informacji o tym, że strona www sama w sobie stanowi zbiór danych.

Przeczytaj także: Ryzykowna baza danych o ludziach w czipie psa lub kota

Administrator powinien nadzorować podwykonawcę

PUODO ukarał spółkę Panek karą ponad 1,5 ml zł, zaś firmę informatyczną ITCenter karą ponad 20 tys. zł. Za kluczowy uznał fakt, że strona internetowa zawierała bazę danych osobowych

Z decyzji wynika, że chociaż administrator wiedział, jak powinno przebiegać wdrożenie zmian w systemie informatycznym, nie prowadził nadzoru nad tym procesem. Przeciwnie - przyjął, że wykonanie zadań z obszaru bezpieczeństwa i poufności danych przez „specjalistyczny podmiot” daje dostateczne gwarancje ochrony dla klientów.

UODO uważa, że jest to podejście nieprawidłowe. Jak zaznacza, to administrator:

• był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych;
• powinien wdrożyć odpowiednie środki techniczne oraz organizacyjne;
• powinien prowadzić działania zmierzające do optymalnego zabezpieczenia i konfiguracji wykorzystywanych zasobów, narzędzi i urządzeń (w tym sprzętu komputerowego);
• powinno się to było odbywać poprzez regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych.

- Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa – czytamy w komunikacie.

Pełny wywód prawny zawarty jest w decyzji PUODO o sygnaturze DKN.5130.2415.2020