Firma carsharingowa z karą PUODO za wyciek danych osobowych
Prezes UODO ukarał spółkę Panek S.A. karą 1,5 mln zł za naruszenie przepisów RODO. Natomiast obsługującą ją i przetwarzającą dane firmę ITCenter PUODO ukarał administracyjną karą pieniężną w wysokości 20 tys. zł. W wyniku błędu do sieci przedostały się dane 21 453 osób – zarówno klientów, jak i pracowników spółki.
wyciek danych
W komunikacie opublikowanym przez UODO wyjaśniono, że problem z przetwarzaniem danych oraz naruszenie ich bezpieczeństwa pojawiły się podczas przebudowy strony internetowej spółki. W wyniku braku odpowiedniej komunikacji między administratorem a podmiotem przetwarzającym, pracownik podwykonawcy omyłkowo umieścił na nowej stronie pliki z danymi ze starego serwisu. Kolejno pliki te zostały zindeksowane przez Google’a i tak stały się dostępne dla wszystkich. Były to dane klientów: imię, nazwisko, adres email, adres zamieszkania, zaszyfrowane hasło dostępu do panelu klienta strony.
Spółka Panek S.A. zgłosiła incydent do PUODO, podkreślając, że do zdarzenia by nie doszło, gdyby nie błąd konfiguracji serwera, za który odpowiada firma obsługująca spółkę informatycznie. Ta natomiast twierdziła, że nie otrzymała od Panek S.A. informacji o funkcjonalnościach witryny internetowej (m.in. o tym, że realizuje ona proces rezerwacyjny i że sama w sobie jest zbiorem danych osobowych). Również w umowie o powierzeniu przetwarzania danych nie było mowy o samej stronie internetowej.
W toku postępowania PUODO ustalił, że spółka, choć wiedziała, jak powinno przebiegać wdrożenie zmian w systemie informatycznym zgodnie z powszechnie stosowanymi praktykami, na żadnym etapie nie prowadziła nadzoru nad tym, czy przebiega zgodnie z powszechnie obowiązującymi standardami oraz umową powierzenia przetwarzania danych osobowych.
nadzór ze strony administratora
Jak wskazał PUODO, spółka jako administrator była zobowiązana do podjęcia działań zapewniających właściwy poziom ochrony danych. Powinna była wdrożyć odpowiednie środki techniczne oraz organizacyjne, prowadzić działania zmierzające do optymalnego zabezpieczenia i konfiguracji wykorzystywanych zasobów, narzędzi i urządzeń (w tym sprzętu komputerowego). Powinno się to było odbywać poprzez regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych.
Zgodnie z decyzją PUODO charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa.
Bowiem analiza ryzyka oraz zarządzanie ryzykiem są procesami wymagającymi współpracy wszystkich zainteresowanych stron i jako takie wymagają przede wszystkim zaplanowania, zorganizowania, kierowania oraz kontrolowania zasobów wykorzystywanych do przetwarzania, realizacji samych czynności przetwarzania oraz badania i wykrywania ewentualnych podatności oraz luk.
Zdaniem PUODO w szczególności konieczne jest:
- analizowanie wpływu każdej zmiany na poziom bezpieczeństwa przetwarzanych danych;
- przed wykonaniem jakichkolwiek działań administrator i podmiot przetwarzający powinni zachować jak najdalej posuniętą ostrożność, natomiast przed wdrożeniem samej zmiany winni określić zasady jej wprowadzenia;
- administrator i podmiot przetwarzający powinni sprawdzić, czy operacja została zakończona całkowitym sukcesem również pod kątem zrealizowania wymagań RODO.
adekwatne środki techniczne
W okolicznościach sprawy kluczowy z punktu widzenia ochrony danych osobowych jest fakt, że strona internetowa zawierała bazę danych osobowych. Decyduje to o konieczności wdrożenia adekwatnych środków technicznych mających na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych. UODO nie wskazuje administratorom, jakie warunki techniczne powinni oni spełniać, aby nie dochodziło do naruszeń ochrony danych osobowych i działali zgodnie z RODO. To administrator, mając świadomość, że przetwarza dane osobowe, znając ich charakter i zakres, po rzetelnie przeprowadzonej analizie ryzyka decyduje o tym, jakie adekwatne środki organizacyjne i techniczne powinny zostać przez niego wdrożone.
Powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu nie zwalnia administratora z obowiązków wynikających z art. 32 ust. 1 i 2 RODO – podkreślił PUODO w swoim komunikacie.
Z pełną treścią decyzji PUODO, sygn. DKN.5130.2415.2020 można zapoznać się TUTAJ.
Materiał prasowy: radca prawny Mikołaj Domagała.