Błędy organizacyjne przy przebudowie strony WWW mogą prowadzić do wycieku danych osobowych. Rolą administratora jest uwzględnienie tego ryzyka i wdrożenie odpowiednich środków bezpieczeństwa danych osobowych. W ocenie Prezesa UODO obowiązku tego nie wypełniła spółka Panek, stąd kara pieniężna w wysokości ponad 1,5 mln zł. Ukarany został także procesor świadczący na rzecz spółki usługi IT.
Opracowanie: Michał Kowalski
Przyczyną tak wysokiej administracyjnej kary pieniężnej nałożonej na spółkę Panek było niewdrożenie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa danych osobowych. Wskutek zaistniałych braków doszło do wycieku danych osobowych. Podczas przebudowy strony WWW spółki w wyniku braku odpowiedniej komunikacji pomiędzy administratorem a podmiotem przetwarzającym (firmą IT Center) pracownik procesora omyłkowo umieścił na nowe stronie internetowej pliki z danymi ze starej strony.
Pliki te uległy indeksacji przez Google i w efekcie ujawniono znajdujące się w nich dane osobowe ponad 21 tys. klientów spółki:
imię, nazwisko,
adres email,
adres zamieszkania,
zaszyfrowane hasło dostępu do panelu Klienta strony.
W toku postępowania wszczętego w wyniku zgłoszenia naruszenia ochrony danych spółka wskazywała, że nie otrzymała informacji od procesora o funkcjonalnościach witryny internetowej (m.in. o tym, że strona sama w sobie jest zbiorem danych osobowych i o realizacji rezerwacji). Informacji na temat tej strony nie było też w umowie powierzenia przetwarzania danych. Spółka argumentowała też, że naruszenie było spowodowane wyłącznie błędem konfiguracji serwera, za który odpowiadała firma świadcząca na rzecz spółki usługi IT. Argumenty te nie spotkały się jednak z uznaniem organu nadzorczego.
Prezes UODO przyjął, że spółka Panek S.A. nie wdrożyła środków bezpieczeństwa danych osobowych adekwatnych do poziomu ryzyka występującego podczas przebudowy strony WWW. Było to wynikiem braków w analizie ryzyka, która powinna dać administratorowi odpowiedź na pytanie na temat podatności dotyczących wykorzystywanych zasobów oraz wynikających z nich zagrożeń. Do tego spółka nie testowała rozwiązań, które wprowadziła, przez co zaniechała oceny ich skuteczności. Nie prowadziła działań zmierzających do optymalnego zabezpieczenia i konfiguracji wykorzystywanych zasobów, narzędzi i urządzeń w tym sprzętu komputerowego. Zabrakło przy tym właściwej współpracy z podmiotem przetwarzającym.
Obowiązkiem administratora jest uprzednia analiza wpływu każdej zmiany systemu IT na poziom bezpieczeństwa przetwarzanych w nich danych osobowych. Dotyczy to w szczególności przenoszenia zasobu zawierającego dane osobowe z jednej lokalizacji do innej lokalizacji.
W efekcie spółka nie wiedziała, że wprowadzone środki bezpieczeństwa nie są odpowiednie do poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych. Administrator założył, opierając się o informacje od kontrahenta, że całość wykonanych zadań w obszarze bezpieczeństwa i poufności danych jest równoznaczna z wystarczającymi gwarancjami ochrony dla klientów.
Niezależnie od powierzenia przetwarzania danych osobowych firmie IT administrator ma obowiązek:
przeprowadzenia analizy ryzyka,
wdrożenia adekwatnych środków bezpieczeństwa danych osobowych,
regularnego testowania i mierzenia tych środków.
Zawarcie umowy powierzenia nie zwalnia z tych obowiązków.
Znaczną wysokość kary pieniężnej Prezes UODO tłumaczył nie tylko skalą naruszeń, ale też rocznymi obrotami administratora danych osobowych. Stąd kara dla spółki Panek S.A. w kwocie 1 527 855 zł. Z kolei na procesora nałożono administracyjną karę pieniężną w kwocie 20 037 zł.
Rozstrzygnięcie Prezesa UODO jest nieprawomocne.
decyzja Prezesa UODO z dnia 12 listopada 2024 r. DKN.5130.2415.2020
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
