Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



01.12.2022

Wyższy poziom programowania

Progress oferuje nowe narzędzia programistyczne: Progress Telerik, Progress Kendo UI i...
01.12.2022

Łączność w podróży

VMware SD-WAN VMware zaprezentował rozwiązanie SD-WAN nowej generacji, w tym nowego...
01.12.2022

Bezpieczne e-maile

Nowa aplikacja firmy Cypherdog Security Inc. umożliwia bezpieczną wymianę maili i...
01.12.2022

Pierwszy w branży

Schneider Electric wprowadza na rynek APC Smart-UPS Ultra. To pierwszy w branży...
01.12.2022

Przełączniki 10G dla MŚP

Nowe urządzenia to przełączniki 10G kompatybilne z systemem Omada SDN.
01.12.2022

Zarządzanie danymi

Firma Synology wprowadziła na rynek czterokieszeniowy DiskStation DS923+.
01.12.2022

Nowatorski system chłodzenia

OVHcloud zaprezentował nową, autorską technologię hybrydowego zanurzeniowego chłodzenia...
01.12.2022

Linia smart routerów

D-Link zaprezentował najnowszą rodzinę routerów Smart Wi-Fi z algorytmami sztucznej...
04.11.2022

Nowa platforma Red Hat

Nowa platforma Red Hat Enterprise Linux (RHEL) w wersjach 8.7 i 9.1 Beta obsługuje...

Bezpieczeństwo danych osobowych w projektach IT

Data publikacji: 06-05-2022 Autor: Tomasz Cygan

28 lutego na stronie internetowej UODO pojawił się wpis informujący o rekordowej karze dla administratora za naruszenie ochrony danych – ponad 4,9 mln zł. Jednak to nie wysokość kary jest tu najważniejsza, lecz analiza jej przyczyn. Warto wiedzieć, jakie środki należy wdrożyć, by takiej sytuacji uniknąć.

 

Rekordową karę Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) nałożył na administratora za niewdrożenie wystarczających środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz za brak weryfikacji podmiotu przetwarzającego. Ten ostatni natomiast został obciążony kwotą 250 tys. zł. Wysokość kary to wypadkowa różnych czynników: nie tylko charakteru, wagi i czasu trwania naruszenia, ale także stopnia odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (DzUrz UE L 119 z 4.05.2016; dalej: rodo). W tekście tym przyjrzymy się nałożonej karze właśnie pod kątem wdrożenia środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych.

Wszystko przez… błąd


Naruszone przez administratora (Fortum) i podmiot przetwarzający (PIKA) obowiązki wynikające z rodo stanowią prawie pełny ich przegląd w zakresie zapewnienia bezpieczeństwa przetwarzania. Jak w tym przypadku doszło do naruszenia ochrony danych osobowych? Rzeczywistość okazała się nad wyraz trywialna – podmiot przetwarzający popełnił błąd.


Administrator dokonując zgłoszenia naruszenia ochrony danych osobowych w trybie art. 33 rodo, wskazał, że: „doszło do „skopiowania danych” klientów Administratora, a zdarzenie jest związane z faktem wprowadzenia zmiany w środowisku teleinformatycznym dla usługi […] (systemu spełniającego rolę archiwum cyfrowego dokumentów i informacji na temat klientów, pochodzących z procesu przetwarzania nośników papierowych na elektroniczne) w celu zwiększenia wydajności działania całości repozytorium. Zmiana dokonywana była przez podmiot przetwarzający, tj. PIKA, w następstwie zgłoszenia do niego przez Administratora faktu powolnego działania usługi [...], której Podmiot Przetwarzający był dostawcą. Zmiana polegała na utworzeniu i instalacji dodatkowej bazy danych klientów Fortum (która następnie została skopiowana przez nieuprawnione podmioty), działającej w oparciu o rozwiązanie […]. Naruszenie poufności dotyczyło nowoutworzonej bazy danych zawierającej informacje o klientach Fortum w zakresie: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika), określonej przez Fortum w zgłoszeniu jako «dodatkowa, wtórna, pomocnicza baza metadanych o nazwie […]». W zgłoszeniu wskazano, że naruszenie dotyczyło danych osobowych 137 314 osób klientów Fortum”.


W toku postępowania doprecyzowano informacje zawarte w zgłoszeniu, wskazując m.in. że: „Po przeprowadzeniu wewnętrznej analizy zwiększenia wydajności działania systemu [podmiot przetwarzający] zlecił utworzenie nowego serwera dla bazy danych działającej w oparciu o rozwiązanie […] dla Fortum. Po utworzeniu wskazanego rozwiązania nie zweryfikował, czy wykonana została odpowiednia konfiguracja […], co miało zapewnić zabezpieczenie transmisji danych nowego serwera z pozostałymi elementami teleinformatycznymi całego środowiska Fortum wykorzystywanego do przetwarzania danych osobowych. Następnie zasilił rzeczywistymi danymi osobowymi klientów Administratora nowo utworzoną bazę danych. W związku z tym, że realizowana dla Fortum zmiana była w trakcie wdrożenia, nie wszystkie stosowane przez podmiot przetwarzający zabezpieczenia mające na celu zapewnienie bezpieczeństwa przewarzania danych zostały zaimplementowane na moment zdarzenia powodującego naruszenie ochrony danych osobowych”.

Niezabezpieczone dane


W tak zarysowanym stanie faktycznym i prawnym PUODO przypomniał m.in., że: „Wdrożenie środków technicznych i organizacyjnych powinno polegać na implementowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu uprzednio przyjętych zabezpieczeń” oraz że „ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, zgodnie z lit. b) i d) tego artykułu, powinny obejmować środki takie, jak zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania”.


Jednocześnie w uzasadnieniu decyzji wskazano, że „podstawowym środkiem bezpieczeństwa mającym na celu ochronę przed nieuprawnionym dostępem do danych osobowych jest ustanowienie odpowiednich zabezpieczeń baz danych i systemów informatycznych wykorzystywanych do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na który wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06. Jak wynika z art. 32 ust. 1 rozporządzenia 2016/679, jednym z czynników, jakie należy brać pod uwagę przy doborze właściwych środków technicznych i organizacyjnych, jest stan wiedzy technicznej, który powinno się oceniać z uwzględnieniem warunków rynkowych, w szczególności dostępności i akceptowalności rynkowej danego rozwiązania technicznego. Wskazówek konkretyzujących w tym przedmiocie dostarczają obowiązujące standardy i normy, w szczególności normy ISO, które ulegają również ciągłym przeglądom i zmianom warunkowanym postępem technologicznym. Zgodnie z normą PN-EN ISO/IEC 27002:2017-06 zaleca się unikania stosowania danych zawierających dane identyfikujące osobę lub inne poufne dane w charakterze danych testowych. Jeżeli dane identyfikujące osobę są wykorzystywane podczas testów, zaleca się ochronienie wszystkich wrażliwych szczegółów i kontekstu poprzez ich usunięcie lub modyfikację. Ww. norma dopuszcza możliwość wykorzystania danych rzeczywistych do celów testowych, niemniej dane te powinny podlegać szczególnej ochronie. Przede wszystkim w przypadku gdy do celów testowych wykorzystywane są dane rzeczywiste, w testowanych aplikacjach powinny być zastosowane takie same procedury kontroli dostępu, jak te stosowane w systemach produkcyjnych”.

Rola pseudonimizacji


W dalszej części decyzji PUODO prowadzi rozważania na temat roli pseudonimizacji jako mechanizmu mogącego zagwarantować odpowiedni poziom bezpieczeństwa danych w procesie przetwarzania danych osobowych: „Art. 32 ust. 1 lit. a) rozporządzenia 2016/679 wskazuje na pseudonimizację danych osobowych jako mechanizm, który może zagwarantować odpowiedni poziom bezpieczeństwa danych, zaś z motywu 29 rozporządzenia 2016/679 wynika, że pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Zaznaczono jednocześnie, że wprowadzenie pseudonimizacji nie służy wykluczeniu innych środków ochrony danych. Wskazać także należy, że pseudonimizację wymienia również art. 25 ust. 1 rozporządzenia 2016/679, z którego wynika dla administratora danych obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zarówno na etapie określania sposobów przetwarzania, jak i w czasie samego przetwarzania. Zarówno zatem rozporządzenie 2016/679, jak i dobre praktyki określone w normach ISO, wskazują administratorom i podmiotom przetwarzającym możliwe rozwiązania, jakie mogą być zastosowane przez nich w trakcie dokonywania zmian w systemach informatycznych, w których przetwarzane są dane osobowe. Należy podkreślić, że pseudonimizacja danych jest skutecznym środkiem bezpieczeństwa w celu zapewnienia poufności danych. Osoba nieuprawniona, która weszła w posiadanie poddanych pseudonimizacji danych np. w wyniku wystąpienia naruszenia ochrony danych osobowych, nie jest w stanie bowiem ich przypisać do konkretnej osoby bez dysponowania dodatkowymi informacjami o tej osobie. Z tego rozwiązania ani Administrator, ani Podmiot Przetwarzający jednak nie skorzystali, decydując się, w ramach wprowadzania zmian w usłudze [...], na zasilenie nowoutworzonej bazy opartej o rozwiązanie […] rzeczywistymi danymi osobowymi klientów Fortum, co w połączeniu z brakiem zastosowania innych skutecznych zabezpieczeń, o czym niżej, doprowadziło do wystąpienia naruszenia ochrony danych osobowych, w wyniku którego doszło do naruszenia poufności danych ponad 95 tys. osób”.

 

Co więcej, PUODO  podkreślił, że: „Jak wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06, funkcje bezpieczeństwa należy testować w czasie prac rozwojowych. […] Pomimo tego, że nowo utworzona baza danych zasilona została rzeczywistymi danymi osobowymi, na etapie prac rozwojowych PIKA nie przetestowała funkcji bezpieczeństwa, co w konsekwencji doprowadziło do naruszenia poufności danych osobowych ponad 95 tysięcy klientów Administratora, w przypadku których, z uwagi na zakres ujawnionych danych, ryzyko naruszenia praw lub wolności osób fizycznych w związku z naruszeniem ochrony danych osobowych było wysokie”.

 

[...]
 

Autor jest adwokatem, inspektorem ochrony danych, wykładowcą i publicystą. Posiada certyfikat Approved Whistleblowing Officer.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"