Kara finansowa w wysokości ponad 1,5 mln zł dla firmy Panek SA oraz ponad 20 tys. zł kary dla firmy ITCenter to efekty decyzji prezesa UODO na skutek zaniedbań wskazanych podmiotów podczas przebudowy strony popularnej wypożyczalni samochodów.
Problem z bezpieczeństwem danych pojawił się w trakcie przebudowy strony internetowej spółki Panek. Z powodu braku odpowiedniej komunikacji pomiędzy administratorem, a podmiotem przetwarzającym, doszło do przypadkowego umieszczenia plików zawierających dane osobowe użytkowników (imiona, nazwiska, adresy e-mail, adresy zamieszkania, zaszyfrowane hasła dostępu) w publicznej części witryny, co skutkowało ich zindeksowaniem przez Google i upublicznieniem. Naruszenie dotyczyło 21 453 osób, w tym klientów oraz pracowników spółki.
Prezes UODO w swojej decyzji wskazuje na poważne zaniedbania w zakresie wdrożenia i oceny adekwatnych środków technicznych i organizacyjnych, które miały na celu zapewnienie bezpieczeństwa przetwarzania danych. Spółka, po przeprowadzeniu analizy ryzyka, nie wdrożyła odpowiednich działań zabezpieczających ani nie przeprowadziła testów skuteczności wdrożonych rozwiązań, co doprowadziło do sytuacji, w której nie były one wystarczające.
Spółka zgłosiła incydent do PUODO, który przeprowadził postępowanie, obejmujące wyjaśnienia zarówno od administratora danych, jak i od firmy ITCenter. Firma ITCenter twierdziła, że nie została poinformowana o pełnym zakresie funkcjonalności strony, w tym o procesach rezerwacyjnych i zbieraniu danych osobowych. Natomiast spółka uznała, że do incydentu doszło w wyniku błędu konfiguracji serwera, za który odpowiadała firma obsługująca jej systemy IT.
PUODO stwierdził, że administrator danych, mimo świadomości standardów branżowych dotyczących wdrażania zmian w systemach informatycznych, nie nadzorował procesu wdrożenia, co skutkowało brakiem zgodności z obowiązującymi wymaganiami ochrony danych osobowych. Administrator, opierając się na zapewnieniach firmy ITCenter, przyjął, że wprowadzone środki ochrony były wystarczające, co okazało się nieprawdziwe. Naruszenie przepisów RODO miało zatem bezpośredni wpływ na wystąpienie incydentu związane z naruszeniem poufności danych osobowych.
Administrator danych powinien był przeprowadzać regularne testy, oceniać i monitorować skuteczność wdrożonych zabezpieczeń, a także przeprowadzić dokładną analizę ryzyka, identyfikując zagrożenia i podatności związane z wykorzystywanymi zasobami oraz ustalić adekwatne środki zarządzania bezpieczeństwem.
Zarządzanie ryzykiem w kontekście ochrony danych osobowych wymaga współpracy wszystkich zainteresowanych stron, a proces ten powinien obejmować planowanie, organizowanie, nadzorowanie oraz kontrolowanie zasobów, procesów przetwarzania i identyfikację ewentualnych podatności. Kluczowe jest szczególnie analizowanie wpływu każdej zmiany na poziom bezpieczeństwa danych oraz wdrażanie procedur przed wprowadzeniem jakiejkolwiek zmiany w systemach informatycznych.
Szef UODO uznał, że zarówno administrator, jak i podmiot przetwarzający powinni zachować szczególną ostrożność przed przeprowadzeniem działań obejmujących przenoszenie danych osobowych, a także sprawdzić, czy po wprowadzeniu zmiany wszystkie wymagania RODO zostały spełnione.
Wartym podkreślenia jest fakt, że powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu nie zwalnia administratora z odpowiedzialności za przestrzeganie wymogów RODO, szczególnie w zakresie zapewnienia odpowiednich środków ochrony danych osobowych oraz przeprowadzenia odpowiedniej analizy ryzyka.
Z pełną treścią decyzji można zapoznać się na stronie UODO.
Najnowsze komentarze