Jak poinformował UODO, naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Doszło do tego w momencie wprowadzania zmiany w środowisku teleinformatycznym.
Dodatkowa baza danych bez zabezpieczeń
Zmiany tej dokonał podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych umów w tym umowy powierzenia przetwarzania danych osobowych. W trakcie dokonywanych zmian utworzona została dodatkowa bazy danych klientów Fortum. Baza ta została jednak skopiowana przez nieuprawnione osoby, gdyż serwer, na którym została ona wdrożona, nie miał odpowiednio skonfigurowanych zabezpieczeń. Administrator danych dowiedział się o incydencie nie od podmiotu przetwarzającego, a od dwóch niezależnych internautów, którzy powiadomili go, że mają nieuprawniony dostęp do bazy.
WZORY DOKUMENTÓW:
- Skarga na decyzję Prezesa Urzędu Ochrony Danych Osobowych nakładającą karę pieniężną >
- Oświadczenie o zachowaniu poufności w zakresie ochrony danych osobowych >
Umowa określała warunki bezpieczeństwa
W toku przeprowadzonego postępowania Urząd ustalił, że spółka w postanowieniach umownych z podmiotem przetwarzającym określiła wymogi w zakresie bezpieczeństwa danych osobowych, które należy zastosować, m.in. pseudonimizację i szyfrowanie danych osobowych. Jednak w trakcie dokonywania zmian w systemie zostały użyte rzeczywiste dane osobowe klientów administratora, a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem do Fortum nowego rozwiązania. Ponadto funkcje bezpieczeństwa nie były testowane w trakcie prowadzonych w tym celu prac.
Sprawdź również książkę: E-usługi a RODO >>
Według kontrolerów, podmiot przetwarzający działał niezgodnie z powszechnie znanymi normami ISO, a jednocześnie wbrew postanowieniom własnej „Polityki bezpieczeństwa”, która do tych norm się odwołuje. Nie stosował się również do postanowień umowy powierzenia przetwarzania danych osobowych, w której zobowiązał się m.in. do wdrożenia pseudonimizacji danych, którą miał traktować jako mechanizm gwarantujący odpowiedni poziom bezpieczeństwa danych. Gdyby wówczas osoba nieuprawniona weszła w posiadanie poddanych pseudonimizacji danych, np. w wyniku wystąpienia naruszenia ochrony danych osobowych, to nie byłaby w stanie ich przypisać do konkretnej osoby bez dysponowania dodatkowymi informacjami o tej osobie.
Czytaj: Jak Prezes UODO nakłada administracyjne kary pieniężne? >
Czytaj także: RODO - firmy słono płacą za naruszenie unijnego rozporządzenia>>
Bez podstawowych zasad bezpieczeństwa
Zdaniem ekepertów UODO, naruszenie wynikało z niezastosowania przez podmiot przetwarzający podstawowych zasad bezpieczeństwa polegających na niezabezpieczeniu danych osobowych przed dostępem osób nieuprawnionych. Zatem ponosi on bezpośrednią odpowiedzialność za naruszenie ochrony danych osobowych klientów administratora, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu stanowi okoliczność obciążającą i wiąże się z nałożoną na niego administracyjną karą pieniężną - czytamy w informacji o kontroli.
Nie było analizy ryzyka
W toku postępowania administrator wyjaśnił, że zastosowanie konkretnego rozwiązania mającego na celu poprawienie przez podmiot przetwarzający wydajności usługi, powinno zostać poprzedzone analizą uwzględniającą zarówno korzyści, jak i potencjalne zagrożenia wynikające z konkretnego, zaplanowanego rozwiązania. Jak wykazała kontrola UODO, administrator jednak takich wyników analizy ryzyka nie otrzymał od podmiotu przetwarzającego. Nie otrzymał również koncepcji zmian projektów funkcjonalnych i technicznych oraz innych, alternatywnych rozwiązań. W toku postepowania ustalono jednak, że administrator w toku dokonywania zmian nie wymagał od podmiotu przetwarzającego przedstawienia tej dokumentacji. Administrator zgłosił potrzebę usprawnienia działania systemu, a po otrzymaniu informacji o wprowadzeniu nowego rozwiązania przystąpił do pracy i testowania nowego rozwiązania.
Nie było nadzoru nad wprowadzanymi zmianami
Kontrolerzy UODO stwierdzili też, że administrator pomimo wdrożonych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wprowadzanie zmian w systemach informatycznych, na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami. Spółka Fortum nie egzekwowała od podmiotu przetwarzającego realizacji umów, nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje oraz nie weryfikowała podmiotu przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi. - A przecież zgodnie z RODO to administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia. Wdrożenie środków technicznych i organizacyjnych powinno polegać nie tylko na jednorazowym zastosowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu wcześniej przyjętych rozwiązań - czytamy w informacji o kontroli.
Administrator ma analizować poziom bezpieczeństwa danych
Jak podkreśla UODO, na administratorze spoczywa także obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Zarówno wprowadzenie odpowiednich środków bezpieczeństwa, jak i ich sprawdzanie nie jest działaniem jednorazowym. Powinno ono przybrać formę ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia.
- Gdyby administrator dokonał weryfikacji sposobu realizacji przez podmiot przetwarzający zmian mających na celu usprawnienie działania systemu przetwarzającego dane osobowe, gdyby wymagał przedstawienia planu prac i dalsze ich wdrożenie zgodnie z przyjętą przez Fortum procedurą, znacząco obniżyłby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych przetwarzanych w tym systemie. Tym samym mógłby zminimalizować ryzyko naruszenia praw lub wolności osób fizycznych - czytamy w oświadczeniu Urzędu Ochrony Danych Osobowych.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.