Astronomiczną karę pieniężną w wysokości ponad 4,9 mln zł musi zapłacić Fortum Marketing and Sales Polska S.A. Jest to wynik niewdrożenia właściwych rozwiązań w zakresie bezpieczeństwa oraz zaniechania weryfikacji podmiotu przetwarzającego. Sam proces również został ukarany karą pieniężną w wysokości 250 tys. zł.
Postępowanie w sprawie zostało wszczęte z urzędu w następstwie zgłoszenia naruszenia ochrony danych przez samą spółkę. Polegało ono na skopiowaniu danych klientów administratora przez nieuprawnione osoby. Do skopiowania doszło w momencie wprowadzania zmiany w środowisku teleinformatycznym przez podmiot przetwarzający, z którym współpracowała spółka.
Dostęp do danych (w postaci dodatkowo utworzonej bazy danych klientów) uzyskały podczas wprowadzania zmiany nieuprawione osoby, ponieważ serwer nie miał odpowiednio skonfigurowanych zabezpieczeń.
Jak ustalono, spółka określiła wymogi w zakresie bezpieczeństwa danych w umowie powierzenia. Chodziło o pseudonimizację i szyfrowanie danych. Niestety w trakcie zmian w systemie zostały użyte rzeczywiste dane osobowe, a wykorzystywane zabezpieczenia nie były wcześniej weryfikowane ani testowanie. Co więcej, stwierdzono, że procesor nie przestrzegał powszechnie znanych norm ISO i ignorował własną politykę bezpieczeństwa, która do tych norm się odwoływała. Nie stosował również pseudonimizacji, choć do niej się zobowiązał.
Pseudonimizacja powoduje, że w sytuacji, gdyby osoba nieuprawniona weszła w posiadanie poddanych jej danych, to nie byłaby w stanie ich przypisać do konkretnej osoby bez dysponowania dodatkowymi informacjami o tej osobie.
Za naruszenie odpowiada ADO, ale też procesor
Prezes UODO przypisał odpowiedzialność za zdarzenie przede wszystkim administratorowi. Zarzucił, że ADO, mimo wdrożonych procedur, nie nadzorował, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami. Nie egzekwował też od podmiotu przetwarzającego wykonania umowy. Zabrakło też systematycznego testowania stosowanych środków bezpieczeństwa.
Jak wskazał Prezes UODO „Wdrożenie środków technicznych i organizacyjnych powinno polegać nie tylko na jednorazowym zastosowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu wcześniej przyjętych rozwiązań.”
Natomiast samemu podmiotowi przetwarzającemu zarzucono niezabezpieczenie danych osobowych przed dostępem osób nieuprawnionych.
W ocenie Prezesa UODO także procesor powinien był w tej sytuacji przeprowadzić analizę ryzyka.
Innymi słowy, administrator mógł w tej sytuacji zminimalizować ryzyko poprzez:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
