Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



24.05.2022

Nowe możliwości w zakresie...

VMware rozszerza ofertę zabezpieczeń end-to-end dla obciążeń cloud-native poprzez ochronę...
24.05.2022

Zarządzanie kluczami

IBM przedstawił nowe rozwiązanie do zarządzania kluczami w wielu chmurach, oferowane jako...
24.05.2022

Ochrona przed zagrożeniami

ESET wprowadził nowe wersje swoich produktów biznesowych do ochrony stacji roboczych,...
24.05.2022

Value Stream Management

Micro Focus zaprezentował nową platformę do zarządzania strumieniem wartości VSM (ang....
24.05.2022

Unijna decyzja Value Stream...

Komisja rynku wewnętrznego i ochrony konsumentów Parlamentu Europejskiego poparła...
24.05.2022

Nowy laptop Dynabooka

Sprzęt waży 1,45 kg, a jego grubość to 17,8 mm. Jest odporny na czynniki zewnętrzne, gdyż...
24.05.2022

Przepływ pracy

QNAP oferuje model TS-435XeU wykorzystujący procesor Marvell OCTEON TX2 CN9131 2,2 GHz z...
24.05.2022

Wideo bez wstrząsów

Kamera stałopozycyjna firmy Axis Communications służy do monitoringu miejsc zagrożonych...
24.05.2022

Akceleratory dla naukowców

Firma AMD ogłosiła wprowadzenie do sprzedaży opartych na architekturze AMD CDNA 2...

Bezpieczeństwo IT w decyzjach Hiszpańskiej Agencji Ochrony Danych

Data publikacji: 03-02-2022 Autor: Tomasz Cygan

Bezpieczeństwo IT jest przedmiotem analizy wszystkich organów nadzorczych w zakresie ochrony danych osobowych. Jest to z jednej strony efektem uregulowania tego obszaru w treści rodo, choćby w art. 32. Jednocześnie rośnie zainteresowanie tematyką bezpieczeństwa informatycznego. Tym razem na tapet trafia Agencia Española de Protección de Datos (AEPD), która korzysta z bardzo ciekawego narzędzia, jakim jest wydawanie decyzji stwierdzających zgodność działań administratora z przepisami rodo.

 

Przypomnijmy, że art. 32 rodo wymaga, aby administrator i podmiot przetwarzający wdrożyli odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Przepis ten stanowił podstawę wydania kilku ciekawych decyzji AEPD, do których omówienia teraz przejdziemy.

 

> DECYZJE AEPD – VODAFONE

 

W dniu 13 października 2021 roku hiszpański organ ochrony danych osobowych nałożył na Vodafone Spain karę w wysokości 40 tys. euro za naruszenie art. 5 ust. 1 lit. f) i art. 32 rodo (PS/00111/2021). Skargę inicjującą postępowanie złożyła osoba fizyczna, która wielokrotnie otrzymywała wiadomości elektroniczne zawierające faktury dla niej nieprzeznaczone. Co więcej, skarżący początkowo usiłował rozwiązać sprawę w kontakcie bezpośrednim z administratorem. Mimo przekazywanych informacji o naruszeniu za pośrednictwem telefonu oraz wiadomości elektronicznych nie uzyskał oczekiwanej pomocy i w dalszym ciągu był adresatem korespondencji elektronicznej przeznaczonej dla innej osoby. Także w toku postępowania przed organem ochrony danych osobowych, mimo zapewnień, że problem został rozwiązany, skarżący otrzymywał taką korespondencję. Ukarany podmiot w toku postępowania przedstawiał dowody potwierdzające usunięcie adresu poczty elektronicznej skarżącego, podnosząc jednocześnie, że problem został spowodowany przez klienta (prawidłowego adresata faktur), który wpisał adres e-mail skarżącego zamiast własnego (co skądinąd przypomina jedną ze spraw rozpoznawanych przez Prezesa Urzędu Ochrony Danych Osobowych).

 

Jedną z podstaw prawnych wymierzonej kary stanowiło naruszenie art. 5 ust. 1 lit. f rodo, czyli naruszenie zasady poufności danych. Zgodnie z jej treścią dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Organ ochrony danych osobowych wskazał między innymi, że to rolą administratora jest podejmowanie decyzji mających na celu wdrożenie skutecznych i odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu zabezpieczenia przed ryzykiem, aby zapewnić poufność danych osobowych, czyli nieujawnienie ich osobom nieupoważnionym. Co ważne, organ wskazuje wyraźnie na cel, jaki ma zostać osiągnięty. Uzasadnienie decyzji nie zawiera jednak żadnych wskazówek w zakresie dróg umożliwiających jego osiągnięcie.

 

Także w decyzji (PS/00212/2019) z dnia 28 lutego 2020 roku nałożono karę w kwocie 48 tys. euro na Vodafone (tym razem jednak na Vodafone ONO S.A.U.) za naruszenie bezpieczeństwa przetwarzania. Decyzja była konsekwencją skargi złożonej przez obywatelkę Hiszpanii, która stwierdziła, że gdy weszła do internetowej strefy klienta administratora danych (z odpowiednim użytkownikiem i hasłem) w celu anulowania usługi, która została zakontraktowana w imieniu jej matki, uzyskała dostęp do danych osobowych innej osoby niż jej matka, a w reklamacji zamieściła zrzuty ekranu strefy klienta. W toku postępowania ustalono, że naruszenie nastąpiło najprawdopodobniej z powodu błędu ludzkiego – pracownik przydzielił ten sam kod dostępu dwóm różnym klientom. Wymierzając karę, organ nadzorczy wziął pod uwagę nieumyślny charakter naruszenia, co jednak nie wpłynęło znacząco na wysokość wymierzonej kary.

 

> PRZYPADKI UJAWNIENIA WRAŻLIWYCH DANYCH

 

Z kolei w decyzji (PS/00335/2020) z dnia 2 lutego 2021 roku hiszpański organ ochrony danych osobowych nałożył karę w wysokości 5 tys. euro na ID Finance Spain, S.L. za nieprzestrzeganie art. 5 ust. 1 lit. f) i art. 32 rodo. Administrator wysłał do klienta wiadomość elektroniczną z wezwaniem do zwrotu kredytu. W wiadomości znajdował się link – gdy klient kliknął w link, miał dostęp do danych osobowych innego klienta. W szczególności skarżący mógł zobaczyć osobiste dane identyfikacyjne, lokalizację, dane finansowe i umowę drugiego klienta. Co ciekawe, administrator nie był w stanie wskazać, w jaki sposób klient mógł otrzymać link pocztą elektroniczną, ponieważ taki link jest generowany wyłącznie do wysłania SMS-em.

 

W decyzji z dnia 27 lipca 2021 roku (PS/00362/2021) hiszpański organ ochrony danych osobowych ukarał Banco Bilbao grzywną w wysokości 120 000 euro za umożliwienie każdemu, kto mógłby podać numer identyfikacyjny posiadacza karty, uzyskania szczegółowych informacji na temat ich ostatnich transakcji kartą kredytową. Stwierdził, że taka procedura narusza poufność danych osobowych ze względu na niewystarczające zabezpieczenia techniczne i organizacyjne. Bank zaoferował karty kredytowe, z których można było korzystać tylko w ramach powiązanej grupy kilku sklepów i firm. W tym przypadku każda osoba dzwoniąca na udostępnioną przez bank automatyczną infolinię informacyjną była w stanie uzyskać szczegóły ostatnich transakcji dokonanych kartą w zamian za numer identyfikacyjny posiadacza karty. Brak było jakichkolwiek środków bezpieczeństwa potwierdzających tożsamość klienta. Innymi słowy, każda osoba dzwoniąc na automatyczną infolinię banku, mogła uzyskać informacje, podając wyłącznie numer karty, bez żadnej weryfikacji, czy jest prawdziwym właścicielem dokumentu.

 

Hiszpański organ ochrony danych osobowych uznał, że działanie banku stanowi naruszenie zasady poufności danych (art. 5 ust. 1 lit. f rodo) oraz bezpieczeństwa przetwarzania (art. 32 rodo), a samo pytanie o numer karty nie wystarcza do odpowiedniego uwierzytelnienia danego klienta.

 

> NARUSZENIA INTEGRALNOŚCI, POUFNOŚCI I BEZPIECZEŃSTWA

 

W dniu 28 czerwca 2021 roku hiszpański organ ochrony danych wystosował ostrzeżenie (PS/00384/2020) do Dyrekcji Hiszpańskich Sił Policyjnych w związku z naruszeniem zasady integralności i poufności polegającym na wysłaniu wiadomości e-mail zawierającej wrażliwe dane osobowe osoby, której dane dotyczą, na ogólny adres e-mail niepowiązanej jednostki policji, do którego miała dostęp osoba trzecia. W ocenie organu w sprawie doszło do naruszenia art. 5 ust. 1 lit. f rodo za naruszenie zasady poufności, ponieważ osoby trzecie, które nie potrzebowały dostępu do danych, miały do nich dostęp. W związku z tym organ ochrony danych osobowych dał Dyrekcji Hiszpańskich Sił Policyjnych jeden miesiąc na przegląd procesów i dostosowanie ich do rodo.


Także w decyzji z dnia 16 listopada 2020 roku hiszpański organ ochrony danych osobowych nałożył ostrzeżenie na Sekretarza Generalnego ds. Innowacji i Jakości Służby Wymiaru Sprawiedliwości za naruszenie bezpieczeństwa (art. 5 ust. 1 lit. f), 25, 32 i 34 rodo), w trakcie przyznawania obywatelstwa i miejsca zamieszkania dla imigrantów (PS/00187/2020). Polegało ono na przesyłaniu zawiadomienia nieupoważnionym osobom zawiadomienia o nadaniu obywatelstwa hiszpańskiego (łącznie 36 osób).

 

[...]

 

Adwokat, inspektor ochrony danych, wykładowca, publicysta.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"