Francuski organ nadzorczy – la Commission Nationale de l'Informatique et des Libertés (CNIL) – znany jest głównie z walki z plikami cookies oraz ze światowymi gigantami (Google, Amazon). W związku z tym cieszy się on renomą opiniotwórczego i dbającego o prawa podmiotu danych. Warto jednak poświęcić trochę czasu, aby zapoznać się z decyzjami CNIL dotyczącymi art. 32 rodo i bezpieczeństwa przetwarzania danych osobowych.

Z godnie z art. 32 rodo administrator i podmiot przetwarzający powinni wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

• pseudonimizację i szyfrowanie danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W dniu 14 czerwca 2021 r. CNIL nałożył grzywnę w wysokości 500 tys. euro za naruszenie art. 5 ust. 1 lit. e), 13, 17 i 32 rodo oraz za naruszenie krajowych przepisów dotyczących plików cookie i niezamówionych informacji handlowych (SAN-2021-008). Co ciekawe sankcja była efektem kontroli, która miała na celu m.in. sprawdzenie:

• okresów przechowywania danych firmy;
• informacji przekazywanych osobom, których dane dotyczą;
• postępowania z wnioskami o usunięcie danych osobowych;
• bezpieczeństwa danych;
• przestrzegania obowiązku uzyskania zgody osoby, której dane dotyczą, na otrzymywanie prospektów handlowych drogą elektroniczną.

W jej efekcie organ nadzorczy stwierdził naruszenie:

• art. 5 ust. 1 lit. e rodo – zasady ograniczenia przechowywania;
• art. 13 rodo – obowiązków informacyjnych;
• art. 17 rodo – prawa do usunięcia danych osobowych;
• art. 32 rodo – bezpieczeństwa przetwarzania danych osobowych.

> Wymagania dotyczące budowy bezpiecznych haseł

Naruszenie art. 32 rodo polegało na niezapewnieniu należytej odporności haseł użytkowników oraz pracowników. W czasie kontroli okazało się, że uwierzytelnienie użytkowników przy zakładaniu konta w serwisie internetowym opierało się na hasłach składających się z sześciu cyfr. W przypadku pracowników w zakresie dostępu do oprogramowania do zarządzania relacjami z klientami hasło składało się z ośmiu znaków, wśród których musiała znaleźć się przynajmniej jedna cyfra i jedna litera. Dodatkowo hasła pracownicze były przechowywane w postaci zwykłego tekstu, w pliku tekstowym znajdującym się na komputerze firmowym. Ukarana spółka podnosiła kwestię m.in. nieistnienia środków bezpieczeństwa, które zapewniają zerowe ryzyko naruszenia ochrony danych osobowych, a mimo stosowania opisanej polityki haseł w firmie nigdy nie doszło do takiego naruszenia.

Organ nadzorczy podkreślił, że obowiązkiem administratora w zakresie bezpieczeństwa jest m.in. wdrożenie odpowiednich środków bezpieczeństwa w celu zapobiegnięcia ryzyka naruszenia i niewłaściwego wykorzystania tych danych. Adekwatność środków ocenia się poprzez weryfikację, czy są one proporcjonalne do wagi i prawdopodobieństwa przewidywanych zagrożeń, zgodnie z charakterem i kontekstem przetwarzania danych osobowych, a także kosztem i złożonością środków możliwych do wdrożenia. Wskazano przy tym, że podstawowe kryteria pozwalające na ocenę siły hasła to właśnie ich długość i złożoność. Dodatkowo CNIL przypomniał o swoich wytycznych nr 2017–012 z dnia 19 stycznia 2017 r., w których – w sytuacji gdy uwierzytelnianie opiera się wyłącznie na nazwie użytkownika i haśle – zaleca, aby hasło miało:

• co najmniej 12 znaków uwzględniających co najmniej jedną wielką literę, jedną małą literę, jedną cyfrę i jeden znak specjalny;
• lub co najmniej osiem znaków zawierających trzy z tych czterech kategorii znaków. Jeśli towarzyszy temu dodatkowy środek, taki jak np. timeout dostępu do konta po kilku awariach (czasowe zawieszenie dostępu, którego czas trwania wydłuża się wraz z podejmowanymi próbami), ustanowienie mechanizmu zabezpieczającego przed automatycznym i intensywnym zgłaszaniem prób (takich jak captcha) lub zablokowanie konta po kilku nieudanych próbach uwierzytelnienia.

Polityka haseł stosowana przez administratora była niewystarczająca, a hasła zbyt słabe, co mogło prowadzić do ataków np. typu brute force ze strony nieuprawnionych osób trzecich. Dodatkowo organ nadzorczy wskazał, że przechowywanie haseł dostępu do baz danych w postaci jawnej w pliku tekstowym znajdującym się w komputerze firmowym nie stanowi bezpiecznego rozwiązania w zakresie zarządzania hasłami. Co za tym idzie, CNIL uznał, że polityka haseł obowiązująca u administratora jest niewystarczająca i stanowiła naruszenie art. 32 rodo.

Na marginesie należy wspomnieć, że w toku kontroli okazało się także, że w spółce występowały współdzielone konta pracowników z uprawnieniami dostępu do bazy danych klientów. W tym przypadku CNIL wskazał, że przyznanie niepowtarzalnego identyfikatora każdemu użytkownikowi oraz zakaz współdzielenia kont należą do podstawowych środków ostrożności gwarantujących skuteczną identyfikowalność dostępu do bazy danych. Udostępnienie konta umożliwiającego dostęp do kopii produkcyjnej bazy danych przez czterech pracowników nie gwarantuje poprawnego uwierzytelnienia użytkowników, a co za tym idzie efektywnego zarządzania uprawnieniami i poprawnej identyfikowalności dostępów. Taki brak możliwości śledzenia dostępu uniemożliwia zatem zidentyfikowanie nieuczciwego dostępu lub autora ewentualnej zmiany, lub usunięcia danych osobowych. Korzystanie z kont wspólnych nie gwarantuje bezpieczeństwa danych w rozumieniu art. 32 rodo.

Także w decyzji z 8 grudnia 2020 r. CNIL – SAN-2020-018 francuski organ nadzorczy nałożył grzywnę na firmę cateringową m.in. za niezapewnienie wystarczającego bezpieczeństwa przetwarzanych danych osobowych. Ponownie polegało ono na nienależytej polityce haseł. Do zalogowania się do serwisu internetowego wystarczyło jednoznakowe hasło w aplikacji i sześcioznakowe na stronie internetowej. Takie rozwiązania zostały uznane przez organ nadzorczy za niewystarczające – długość i złożoność haseł są decydujące ze względów bezpieczeństwa. Francuska Narodowa Agencja ds. Bezpieczeństwa Systemów Informatycznych (ANSSI) wskazuje, że „dobre hasło to przede wszystkim silne hasło. […] Siła hasła zależy od jego długości i liczby możliwości dostępnych dla każdego znaku w nim zawartego. Dzieje się tak, ponieważ hasło składające się z małych liter, wielkich liter, znaków specjalnych i cyfr jest technicznie trudniejsze do wykrycia niż hasło składające się wyłącznie z małych liter”.

Co ciekawe, po raz kolejny CNIL zauważył, że wcale nie musi dojść do naruszenia ochrony danych osobowych, by uznać, że stopień bezpieczeństwa jest niewystarczający. Wyraźnie akcentuje to konieczność proaktywnego podejścia do ochrony danych osobowych – „siła haseł akceptowanych przez spółkę była zbyt słaba, co prowadziło do ryzyka naruszenia powiązanych kont i zawartych w nich danych”.

[...]

Adwokat, inspektor ochrony danych, wykładowca, publicysta, audytor wewnętrzny normy PN-ISO/IEC 27001:2014-12. Ukończył m.in. kurs „Data Protection and Privacy Rights” organizowany przez Radę Europy Help Programme, kurs „Cybersecurity for Critical Urban Infrastructure” prowadzony przez Massachusetts Institute of Technology, kurs „Cybersecurity Risk Management” prowadzony przez Rochester Institute of Technology.