Niemal 5 mln zł kary dla Fortum Marketing and Sales Polska S.A. – dlaczego procedury ochrony danych są ważne i jak je zweryfikować?

Jak czytamy na stronie Urzędu Ochrony Danych osobowych oraz w zestawieniu RODO fines (kary RODO), na firmę Fortum Marketing and Sales Polska S.A. została nałożona administracyjną kara pieniężna w wysokości 4 911 732 PLN (słownie: cztery miliony dziewięćset jedenaście tysięcy siedemset trzydzieści dwa PLN). Powodem tej decyzji było niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Dodać należy, że podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł. Więcej na ten temat w decyzji Prezesa Urzędu Ochrony Danych Osobowych Nr DKN.5130.2215.2020.

Samo naruszenie ochrony danych polegało na skopiowaniu danych klientów administratora przez nieuprawnione osoby w związku z wprowadzaniem zmian w środowisku teleinformatycznym, a serwer nie posiadał odpowiednich zabezpieczeń, co ułatwiło osobom niepowołanym uzyskanie dostępu do danych. Zmiany tej dokonał podmiot przetwarzający, z którym administrator współpracuje na podstawie zawartych umów w tym umowy powierzenia przetwarzania danych osobowych. Sprawa została wykryta przez internautów.

Zdaniem Urzędu Ochrony Danych Osobowych, podstawowym środkiem bezpieczeństwa mającym na celu ochronę przed nieuprawnionym dostępem do danych osobowych jest ustanowienie odpowiednich zabezpieczeń baz danych i systemów informatycznych wykorzystywanych do przetwarzania danych osobowych.

Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na który wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06.
Jak wynika z art. 32 ust. 1 rozporządzenia 2016/679, jednym z czynników branych pod uwagę przy doborze właściwych środków technicznych i organizacyjnych jest stan wiedzy technicznej, który powinno się oceniać z uwzględnieniem warunków rynkowych, w szczególności dostępności i akceptowalności rynkowej danego rozwiązania technicznego. Wskazówek konkretyzujących w tym przedmiocie dostarczają obowiązujące standardy i normy, w szczególności normy ISO, które ulegają również ciągłym przeglądom i zmianom warunkowanym postępem technologicznym.

Wdrożenie środków technicznych i organizacyjnych powinno polegać nie tylko na jednorazowym zastosowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu wcześniej przyjętych rozwiązań. Zgodnie z RODO to administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia.
Obszary mające wpływ na bezpieczeństwo informacji:

Polityka bezpieczeństwa;
Organizacja bezpieczeństwa informacji;
Zarządzanie aktywami;
Bezpieczeństwo zasobów ludzkich;
Bezpieczeństwo fizyczne i środowiskowe;
Zarządzanie systemami i sieciami;
Kontrola dostępu;
Zarządzanie ciągłością działania;
Pozyskiwanie, rozwój i utrzymanie systemów informatycznych;
Zarządzanie incydentami związanymi z bezpieczeństwem informacji;
Zgodność z wymaganiami prawnymi i własnymi standardami.

Kluczowym elementem ustalenia, w jakiej kondycji znajduje się ochrona danych w firmie, jest dokonanie szczegółowego audytu prawnego (w postaci przeglądu procedur, analiz ryzyka, procesów przetwarzania danych, stosowanej dokumentacji, klauzul czy umów powierzenia) w obrębie zachowania zgodności z powszechnie obowiązującymi przepisami regulującymi zagadnienia bezpieczeństwa informacji i ochrony danych osobowych oraz audytu teleinformatycznego dotyczącego zgodności procedur wewnętrznych z faktycznie wykonywanymi czynnościami w przedsiębiorstwie.

Drugim istotnym elementem jest zachowanie zgodności w zakresie wykonywania przez pracowników firmy obowiązków zgodnie z procedurami i wytycznymi określonymi w dokumentacji bezpieczeństwa oraz w razie wykrycia niezgodności, wdrożenie zmian w obszarach, które w trakcie audytu zostały uznane za wymagające poprawy funkcjonowania (usunięcie niezgodności).

Trzecim istotnym elementem jest dobieranie podmiotów przetwarzających gwarantujących utrzymanie bezpieczeństwa danych. Skutecznym narzędziem administratora danych jest możliwość weryfikacji podmiotu przetwarzającego, a także przeprowadzenie audytu sprawdzającego, którego koszt jest znacznie niższy niż ewentualna kara, gdyby doszło do naruszenia bezpieczeństwa.

Katarzyna B. Olszewska

Prawnik, Absolwent Zarządzania Cyberbezpieczeństwem w Szkole Głównej Handlowej, Inspektor Ochrony Danych, Koordynator ds. ryzyka, Audytor Wiodący SZBI ISO 27001 (Technika Informatyczna, Techniki Bezpieczeństwa, Systemy Zarządzania Bezpieczeństwem Informacji)