Brak weryfikacji procesora i niewdrożenie odpowiednich środków bezpieczeństwa doprowadziły do wycieku danych osobowych, a w konsekwencji do kary. Poza tym Prezes Urzędu Ochrony Danych Osobowych nakazał administratorowi zaprzestania powierzania przetwarzania danych temu procesorowi. Więcej o kolejnej karze UODO w artykule.
Administrator zgłosił naruszenie ochrony danych polegające na ujawnieniu danych osobowych z polis ubezpieczeniowych zawieranych w okresie od maja 2015 r. do listopada 2020 r. Polisy te zostały ujawnione w ramach systemu informatycznego prowadzonego na rzecz administratora przez firmę informatyczną. W zarządzanym przez tą firmę systemie informatycznym przetwarzane były więc dane osobowe powierzane przez ADO. Informacje o naruszeniach dotarły do UODO także z mediów. Naruszenia te miały miejsce w okresie od maja 2015 r. do listopada 2020 r.
Polisy były ujawnione w wyniku błędu podczas wydzielania wspólnego zasobu roboczego zawierającego repozytorium plików i udostępniania go pracownikom w sieci lokalnej a także zdalnie.
Do ujawnienia danych osobowych doszło podczas wprowadzania zmian w systemie informatycznym. Stało się to podczas wydzielenia wspólnego zasobu roboczego zawierającego repozytorium plików i udostępnienia go pracownikom w sieci lokalnej oraz zdalnie.
W toku postępowania Prezes UODO stwierdził naruszenia w zakresie bezpieczeństwa danych. Przede wszystkim nie zweryfikowano przebiegu wprowadzania tych zmian. Administrator nie przeprowadził też analizy ryzyka i wdrożył odpowiednich środków technicznych i organizacyjnych i naruszył przez to regułę integralności oraz poufności danych.
W opisywanej sprawie administrator dokonał jedynie wstępnej analizy ryzyka, poprzestając na ogólnych założeniach. Analiza ta nie została jednak odpowiednio ukierunkowana, a w konsekwencji nie wdrożono środków bezpieczeństwa odpowiadających występującemu ryzyku. Administrator wprawdzie wskazał, że wraz z procesorem przyjęte przez siebie regulacje
wewnętrzne tj. Politykę ochrony danych osobowych. Samo to nie wystarczyło. Przyjęte rozwiązania były bowiem nieadekwatne do poziomu ryzyka.
ADO powinien działać dwuetapowo:
1. Przeprowadzić szczegółową analizę ryzyka.
2. Na podstawie tej analizy opracować i wdrożyć środki bezpieczeństwa adekwatne do poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych.
To jednak nie wszystko. Administrator powinien także na bieżąco weryfikować stosowane środki i sprawdzać, czy wprowadzane zmiany są prawidłowe. Takiej weryfikacji niestety zabrakło, co w ocenie organu nadzorczego doprowadziło do ujawnienia danych.
Administratorowi zarzucono także brak weryfikacji, czy podmiot przetwarzający, z którym współpracuje, zapewnia odpowiednie gwarancje wdrożenia środków bezpieczeństwa. Weryfikację taką w opisanej sprawie ograniczono do przeprowadzenia rozmowy. ADO nie wykazał więc kompleksowej weryfikacji potencjalnego procesora. W podobnej sprawie ukarano już jeden z ośrodków kultury.
Nie wystarczy, że administrator powoła się na wieloletnią owocną współpracę z procesorem. Konieczna jest weryfikacja procesora przed powierzeniem mu przetwarzania danych osobowych.
W konsekwencji Prezes UODO nałożył na administratora karę pieniężną w wysokości ponad 33 tys. zł. Poza tym nakazał mu zaprzestać powierzania przetwarzania danych osobowych procesorowi. Karę w wysokości 472 zł otrzymał także sam procesor.
· decyzja Prezesa UODO z 8 lutego 2023 r. DKN.5131.50.2021
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
