Zbliżamy się powoli do 3. rocznicy wejścia w życie przepisów Rozporządzenia o Ochronie Danych potocznie nazywanego RODO. Rok 2018 pamiętamy jako rok straszenia milionowymi karami wszystkich, którzy nie dostosowali się jeszcze do nowych wymogów ochrony danych osobowych. I w latach 2019 – 2020 kary rzeczywiście się pojawiły. Jedne mniejsze, inne większe, również wielomilionowe. Było wokół nich trochę szumu, ale nie na tyle dużo, aby RODO dalej było głównym tematem doniesień medialnych. W tym artykule przyjrzymy się karom, które mają jedną wspólną cechę. Nałożone zostały za brak dbałości o odpowiednio wysoki poziom bezpieczeństwa systemów teleinformatycznych.
Czego dotyczyły kary RODO?
Jednym z pierwszych głośno komentowanych przypadków było nałożenie na sklep internetowy Morele.net kary w wysokości 2,8 mln zł. Decyzja ta uznawana była za kontrowersyjną ze względu na fakt, iż nie dotyczyła jedynie przewinień o charakterze formalnym, a również naruszenia bezpieczeństwa systemów informatycznych, na które administrator danych, jak twierdził, nie miał wpływu. Spółka Morele.net odwoływała się nawet od tej decyzji twierdząc, że padła ofiarą ataku hackerskiego, za co nie może ponosić odpowiedzialności. Sąd podtrzymał jednak decyzję PUODO dając tym samym sygnał, że techniczne bezpieczeństwo systemów teleinformatycznych trzeba traktować równie poważnie co wymogi o charakterze formalno-organizacyjnym.
Jak podano w decyzji na stronie UODO:
„Prezes UODO uznał, że spółka nie stosując wystarczających środków technicznych ochrony danych naruszyła m.in. określoną w art. 5 ust. 1 lit f RODO zasadę poufności. W związku z tym doszło do nieuprawnionego dostępu do danych klientów i do uzyskania tych danych. Organ uznał, że miało miejsce zastosowanie nieskutecznego środka uwierzytelniania dostępu do danych. Dodatkowe środki zabezpieczenia technicznego spółka wdrożyła już po naruszeniu.”
Nieodpowiednio zabezpieczone serwery i baza danych stały się zatem głównym powodem wycieku danych osobowych ponad 2 milionów klientów sklepu, a w konsekwencji nałożonej kary.
Kary RODO za brak zabezpieczeń
Morele.net nie było jednak jedynym administratorem danych ukaranym za brak odpowiednich zabezpieczeń technicznych. Kolejną karę w wysokości 55 750 zł otrzymał Dolnośląski Związek Piłki Nożnej za nieodpowiednie zabezpieczenie na swoim serwerze danych osobowych prawie sześciuset sędziów sportowych. Efektem tego zaniedbania był wyciek danych.
Następnym ukaranym za nieodpowiednie zabezpieczenia był właściciel serwisu pożyczkowego moneyman.pl – ID Finance Poland Sp. z o.o. Powodem był serwer z publicznie dostępnymi danymi klientów. W swoim uzasadnieniu prezes UODO zwrócił również uwagę na fakt, iż baza danych, której dotyczyło naruszenie, przechowywała hasła użytkowników w formie niezaszyfrowanej. Wysokość nałożonej kary wyniosła 1 069 850 zł.
Kary RODO za brak regularności w testowaniu
Kolejną wartą uwagi jest kara w wysokości 1,9 mln zł nałożona na Virgin Mobile Polska. Jak stwierdzono w uzasadnieniu:
„Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych”.
Prezes UODO podkreślił, iż incydentalne badanie bezpieczeństwa systemów nie jest wystarczające do spełnienia wymogów RODO. Testy powinny mieć bowiem charakter regularny.
Testowanie, monitorowanie i regularność do poprawy
W uzasadnieniach wszystkich opisanych powyżej przypadków przewijały się te same wątki:
- luki i brak odpowiednich zabezpieczeń na poziomie technicznym
- brak procesów monitorowania zagrożeń w systemach informatycznych
- brak regularności w działaniach mających na celu identyfikację podatności o technicznym charakterze
Wygląda więc na to, iż administratorzy danych osobowych dużo bardziej skupili się na spełnieniu wymogów RODO o charakterze organizacyjnym, niż technicznym. Jest to dość poważnie niedopatrzenie ponieważ to właśnie w wyniku incydentów o technicznym charakterze najczęściej dochodzi do wycieków danych osobowych na masową skalę.
Wpływ na ten stan rzeczy ma zapewne fakt, iż w samym rozporządzeniu brak jest konkretnych wytycznych dotyczących stosowania technicznych środków bezpieczeństwa. Mowa jest o stosowaniu zabezpieczeń adekwatnych do potrzeb, w oparciu o analizę ryzyka. Prawidłowe zdefiniowanie tych potrzeb wymaga jednak znajomości zagrożeń technicznych i zdolności ich identyfikacji.
Jak identyfikować podatności techniczne?
Działaniami, które wydają się tutaj nieodzowne są testy penetracyjne i audyty bezpieczeństwa, a przynajmniej regularne skanowanie podatności. Usługi tego typu są jednak kosztowne ze względu na ograniczoną ilość specjalistów. Jeżeli chcielibyście zmierzyć się z tym zadaniem samodzielnie, przydatnym może być dostępny poniżej pakiet edukacyjny, którego celem jest nauka instalacji i posługiwania się skanerem podatności oraz wprowadzenie w tematykę audytów bezpieczeństwa. Znajdziecie w nim również wzorcowy szablon raportu oraz opisy najczęstszych podatności technicznych wraz z zaleceniami mającymi na celu ich wyeliminowanie.
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.
