W przypadku przetwarzania danych osobowych bardzo istotne znaczenie ma ich zabezpieczenie. Zadaniem administratora danych osobowych oraz podmiotów je przetwarzających jest stałe sprawdzanie, czy nie istnieje żadne zagrożenie mogące mieć wpływ na naruszenie ochrony danych, a w przypadku jego wykrycia natychmiastowa reakcja mająca na celu jego usunięcie. Zwlekanie w tej kwestii wiąże się z nałożeniem przez Prezesa Urzędu Ochrony Danych Osobowych dotkliwej kary finansowej.

Surowa kara nałożona przez PUODO

Od pewnego czasu zajmujemy się na naszym blogu stosowaniem RODO w praktyce. Często zdawać się może bowiem, że przestrzeganie przepisów z zakresu ochrony danych osobowych jest bagatelizowane przez wielu przedsiębiorców. Dzieje się tak, gdyż nie zdają sobie oni sprawy jak wielu czynności przetwarzania danych dokonują, ponadto same przepisy nie wskazują konkretnych działań jakie należy podjąć, by jak najlepiej chronić dane osobowe w firmach.

W ostatnim czasie Prezes Urzędu Ochrony Danych Osobowych wydał szereg decyzji, w których ukarał przedsiębiorców za incydenty powodujące zagrożenie dla bezpieczeństwa danych osobowych. Jedną z nich jest decyzja, w której spółka ID Finance Poland została ukarana kwotą w wysokości 1 mln zł za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które spowodowało naruszenie zasady poufności danych i doprowadziło do niezdolności szybkiego stwierdzenia zagrożenia i jego usunięcia.

W ocenie PUODO ukarana spółka nie zareagowała odpowiednio na sygnał o lukach w jej zabezpieczeniach. Nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera. Za zwrot wykradzionych informacji zażądała okupu. Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych organowi nadzoru.

Wnioski z decyzji:

Jak zawsze, z wydanych wobec przedsiębiorców decyzji można wyciągnąć wnioski, które uchronią nas przed popełnieniem podobnych błędów w przyszłości. Mając na uwadze decyzję, o której mowa w niniejszym wpisie, należy stwierdzić, że:
-Administrator powinien utrzymywać zdolność do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń, aby mieć możliwość podjęcia odpowiednich działań. Ponadto administrator powinien być w stanie szybko zbadać dany incydent pod kątem tego, czy doszło do naruszenia ochrony danych oraz podjąć odpowiednie działania zaradcze.

-Po otrzymaniu pierwszej informacji o potencjalnym naruszeniu ochrony danych osobowych, od osoby fizycznej, z innego źródła lub po samodzielnym wykryciu incydentu bezpieczeństwa, administrator może przeprowadzić krótkotrwałe postępowanie, aby ustalić, czy faktycznie doszło do danego naruszenia. O ile do momentu zakończenia tego postępowania nie można uznać, że administrator stwierdził wystąpienie naruszenia, o tyle należy oczekiwać, że wstępne postępowanie powinno rozpocząć się możliwie jak najszybciej i doprowadzić do jak najszybszego ustalenia z wystarczającą dozą pewności, czy w danym przypadku faktycznie doszło do wystąpienia naruszenia, następnie można przeprowadzić bardziej szczegółową analizę zdarzenia.

-W przypadku jakichkolwiek wątpliwości, mając w szczególności na względzie charakter i zakres przetwarzanych danych oraz ryzyko wiążące się z ich np. przypadkowym udostępnieniem, administrator powinien zgłosić naruszenie organowi nadzorczemu, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

-Jednym z powodów, dla których zgłasza się naruszenie, jest ograniczenie związanych z nim szkód dla osób fizycznych. Podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien uwzględnić wpływ naruszenia na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia.

-Brak szybkiej reakcji ze strony podmiotu przetwarzającego nie zdejmuje z administratora odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych, gdyż zdolność do wykrywania naruszeń, zaradzania im oraz ich terminowego zgłaszania powinna być postrzegana jako kluczowy element środków technicznych i organizacyjnych, w tym każdej polityki w zakresie bezpieczeństwa danych.