Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną karę.
W jakiej wysokości, dla jakiej firmy i dlaczego?
Karę 1 mln złotych otrzymała firma ID Finance Poland za zwłokę w analizie luk w systemie, czyli brak odpowiedniej reakcji na sygnał o lukach w jej zabezpieczeniach, co doprowadzało do utraty danych klientów.
Zdaniem UODO spółka zbyt długo zwlekała ze sprawdzeniem informacji o tym, że na jednym z jej serwerów dostępne są dane osobowe jej klientów. Osoba nieuprawniona w czasie zwłoki spółki w działaniu skopiowała dane i usunęła je z serwera, a za zwrot skopiowanych danych zażądała zapłaty.
Według Urzędu do naruszenia doszło po tym, jak po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający nie przywrócono odpowiedniej konfiguracji zabezpieczeń. Jak widać na tym przykładzie, jest to kolejna kara naruszenia bezpieczeństwa informacji – cybernetycznego i podwykonawców. Zgodnie z motywem 81 RODO „administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności, jeśli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogą niniejszego rozporządzenia, w tym wymogą bezpieczeństwa przetwarzania”.
Dlatego też wybór dostawcy usług nawet najprostszego hostingu powinien być podjęty na podstawie analizy stosowanych przez dostawcę zabezpieczeń oraz wdrożonych faktycznie procedur przez podwykonawcę – procesora.
Obecnie zarządzanie ryzykiem nie może ograniczać się do samego przedsiębiorstwa administratora, ale również powinno się rozciągać na usługi dostarczane przez procesora, szczególnie w czasach powszechnego outsourcingu.
Obecnie nakładanie wysokich kar przez PUODO za naruszenie bezpieczeństwa dotyczącego przetwarzania danych osobowych wynikać może z pewnego rodzaju fiskalizmu, ale może być to również jedyna droga do zapewnienia prywatności użytkowników Internetu, tak bardzo dziś popularnego.
Tatiana Einbacher
Inspektor Ochrony Danych Osobowych