Do UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych, polegające na utracie poufności danych. Administrator w zgłoszeniu podał również dane podmiotu przetwarzającego zajmującego się kompleksową obsługą informatyczną. Niezależnie od powyższego, UODO pozyskał też informację z przekazów medialnych o naruszeniu ochrony danych osobowych, znajdujących się m.in. w polisach ubezpieczeniowych potwierdzających zawarcie z różnymi towarzystwami ubezpieczeniowymi umów ubezpieczenia w okresie od maja 2015 r. do listopada 2020 r., które były publicznie dostępne w zasobach informatycznych należących do administratora. Administrator potwierdził, że zgłoszenie naruszenia ochrony danych osobowych przekazane UODO dotyczy tego samego zdarzenia, które zostało opisane przez media.

Jak ustaliło UODO do naruszenia doszło podczas wydzielenia wspólnego zasobu roboczego zawierającego repozytorium plików i udostępnienia go pracownikom w sieci lokalnej oraz zdalnie.

Obowiązki administratora – analiza ryzyka

Według UODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo tym danym, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”), a administrator uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, powinien wdrożyć odpowiednie środki techniczne i organizacyjne. Co ważne, środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Wymienione obowiązki ciążą nie tylko na administratorach, ale też na podmiotach przetwarzających.

Środki techniczne i organizacyjne

UODO wskazuje również, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej fazie należy określić poziom ryzyka, jaki wiąże się z przetwarzaniem danych osobowych, a w drugiej należy ustalić, jakie środki techniczne i organizacyjne będą właściwe, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

W tej konkretnie sprawie sprawie należało zbadać, czy podmioty dokonały analizy ryzyka, a także czy na jej podstawie określiły oraz zastosowały środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa danych osobowych odpowiadający temu ryzyku. W ocenie UODO takiej ukierunkowanej analizy jednak nie przeprowadzono, poprzestając jedynie na ogólnych założeniach. Wyjaśnienia zarówno administratora, jak i podmiotu przetwarzającego wskazywały na to, że podmioty te stosują jedynie regulacje wewnętrzne administratora m.in. działają na podstawie Polityki ochrony danych osobowych. Brak przeprowadzonej analizy ryzyka poskutkował doborem nieadekwatnych środków.

 

UODO przypomina, że oprócz analizy ryzyka, wdrożenia środków organizacyjnych i technicznych, ważna jest ich weryfikacja.  Brak takiej weryfikacji, wobec niewdrożenia odpowiednich środków technicznych i organizacyjnych skutkował w tej sprawie wystąpieniem przedmiotowego naruszenia. Pewne działania weryfikacyjne zostały przeprowadzone dopiero po wystąpieniu naruszenia ochrony danych osobowych.

Podmiot przetwarzający powinien zapewnić gwarancje

Ponadto w opinii UODO administrator korzystający z usług podmiotów przetwarzających powinien upewnić się, czy podmioty te zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

W tym konkretnym wypadku weryfikacja kompetencji podmiotu przetwarzającego nie miała charakteru sformalizowanego, ponieważ polegała na przeprowadzeniu rozmowy, a świadczone przez podmiot usługi nie budziły zastrzeżeń administratora. Zdaniem UODO pozytywnie oceniana współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Samo podpisanie umowy powierzenia przetwarzania danych osobowych bez dokonania właściwej oceny podmiotu przetwarzającego nie może być uznane za realizację obowiązku przeprowadzenia postępowania weryfikującego podmiot przetwarzający. Wyznacznikiem dla takiej oceny nie może być jedynie wieloletnia współpraca i korzystanie z usług danego podmiotu przetwarzającego.

UODO zarzuca również, że  zmiany w systemie informatycznym nie zostały wprowadzone na podstawie określonych procedur, a prawidłowość ich przebiegu nie została zweryfikowana po ich dokonaniu. Ze względu na niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, również na podmiot przetwarzający została nałożona administracyjna kara pieniężna.

Administrator nie zweryfikował sposobu realizacji przez podmiot przetwarzający zmian w systemie informatycznym, w którym przetwarzane były dane osobowe. Zdaniem UODO takie działanie znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych przetwarzanych w tym systemie, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych.

E-usługi a RODO
-20%

Małgorzata Ciechomska

Sprawdź  

Cena promocyjna: 71.2 zł

|

Cena regularna: 89 zł

|

Najniższa cena w ostatnich 30 dniach: 80.09 zł