Ochrona danych osobowych to ważny element działalności każdego przedsiębiorcy. Wprowadzone regulacje w zakresie RODO nakazują osobom, które przetwarzają dane osobowe regularne testowanie wprowadzonych zabezpieczeń i środków technicznych mających chronić dane osobowe przed dostępem osób nieupoważnionych. Zaniedbania w tym zakresie mogą skutkować dużą karą finansową ze strony Prezesa Urzędu Ochrony Danych Osobowych.

W ostatnim czasie Prezes Urzędu Ochrony Danych Osobowych nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych. Prezes Urzędu Ochrony Danych Osobowych stwierdził, że spółka naruszyła określone w RODO zasady poufności danych i rozliczalności. Virgin Mobile nie przeprowadzał regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności, czy w związku ze zmianami organizacyjnymi. Ponadto, nie były przeprowadzone testy weryfikujące zabezpieczenia związane z przekazywaniem danych między aplikacjami, które związane były z obsługą osób kupujących usługi przedpłacone. Oprócz tego, podatność związaną z wymianą danych w tych systemach, wykorzystała osoba nieuprawniona do pozyskania danych niektórych klientów spółki.

Wnioski z decyzji

Jako że regulacje w zakresie ochrony danych osobowych niektórzy przedsiębiorcy zaczęli traktować poważnie dopiero w niedalekiej przeszłości wydawane przez PUODO decyzje stanowią często wskazówki dotyczące tego, w jaki sposób należy wdrażać i stosować przepisy w zakresie RODO. Z decyzji wydanej wobec Virgin Mobile Polska można wyciągnąć kilka wniosków:

-w firmie oprócz podstawowego kompletu dokumentów RODO należy również wdrożyć procedurę dotyczącą regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych oraz stopnia jej przestrzegania,

-procedura dotycząca testowania skuteczności środków technicznych, organizacyjnych i zabezpieczeń fizycznych powinna być przeprowadzana regularnie i kompleksowo, a nie tylko w przypadku wystąpienia incydentów, których przedmiotem było naruszenie danych osobowych. Ponadto procedura testowania powinna obejmować wszystkie systemy, w których przetwarzane są dane.

-regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.

-dokonywanie przeglądów w sytuacji wystąpienia zmiany organizacyjnej lub prawnej, jak również podejmowanie działań dopiero w przypadku podejrzenia zaistnienia podatności, nie może zostać uznane za regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych. Są one bowiem podejmowane w związku z zaistnieniem określonego wydarzenia, np. zmiany organizacyjnej u administratora danych. Mają one zatem bardziej cechy analizy ryzyka, która powinna być właśnie dokonywana w sytuacji tego typy zmian w organizacji i przebiegu procesów przetwarzania danych osobowych. Tymczasem, wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych spowodowanych np. zmianą organizacyjną u administratora danych.

-analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.