Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


04.11.2022

Nowa platforma Red Hat

Nowa platforma Red Hat Enterprise Linux (RHEL) w wersjach 8.7 i 9.1 Beta obsługuje...
04.11.2022

Wieloetapowa analiza

Firma WithSecure wprowadziła nową warstwę ochrony w swojej chmurowej platformie...
04.11.2022

MDR na straży bezpieczeństwa

Firma Sophos zadbała o kompatybilność swoich usług bezpieczeństwa MDR z rozwiązaniami...
04.11.2022

Ochrona urządzeń końcowych

Dostępne jest nowe rozwiązanie firmy Fortinet przeznaczone do zautomatyzowanej ochrony...
04.11.2022

Biznesowy monitoring

SentiOne, polska firma wspierająca marki w monitoringu internetu i automatyzacji obsługi...
04.11.2022

Praca w każdych warunkach

Advantech wprowadził dwa nowe komputery z szyną DIN – ARK-1221L oraz ARK-1250L....
04.11.2022

Serwery dedykowane

OVHcloud zwiększa ofertę serwerów dedykowanych o nowe rozwiązania skoncentrowane na...
04.11.2022

Monitory do pracy DC

MMD, producent monitorów marki Philips, wprowadził do sprzedaży trzy monitory...
04.11.2022

Monitoring PTZ

Najnowsza kamera Sony SRG-X40UH, która wzbogaca ofertę kamer PTZ, jest już dostępna w...

Bezpieczeństwo IT w decyzjach Hiszpańskiej Agencji Ochrony Danych

Data publikacji: 03-02-2022 Autor: Tomasz Cygan

Bezpieczeństwo IT jest przedmiotem analizy wszystkich organów nadzorczych w zakresie ochrony danych osobowych. Jest to z jednej strony efektem uregulowania tego obszaru w treści rodo, choćby w art. 32. Jednocześnie rośnie zainteresowanie tematyką bezpieczeństwa informatycznego. Tym razem na tapet trafia Agencia Española de Protección de Datos (AEPD), która korzysta z bardzo ciekawego narzędzia, jakim jest wydawanie decyzji stwierdzających zgodność działań administratora z przepisami rodo.

 

Przypomnijmy, że art. 32 rodo wymaga, aby administrator i podmiot przetwarzający wdrożyli odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Przepis ten stanowił podstawę wydania kilku ciekawych decyzji AEPD, do których omówienia teraz przejdziemy.

 

> DECYZJE AEPD – VODAFONE

 

W dniu 13 października 2021 roku hiszpański organ ochrony danych osobowych nałożył na Vodafone Spain karę w wysokości 40 tys. euro za naruszenie art. 5 ust. 1 lit. f) i art. 32 rodo (PS/00111/2021). Skargę inicjującą postępowanie złożyła osoba fizyczna, która wielokrotnie otrzymywała wiadomości elektroniczne zawierające faktury dla niej nieprzeznaczone. Co więcej, skarżący początkowo usiłował rozwiązać sprawę w kontakcie bezpośrednim z administratorem. Mimo przekazywanych informacji o naruszeniu za pośrednictwem telefonu oraz wiadomości elektronicznych nie uzyskał oczekiwanej pomocy i w dalszym ciągu był adresatem korespondencji elektronicznej przeznaczonej dla innej osoby. Także w toku postępowania przed organem ochrony danych osobowych, mimo zapewnień, że problem został rozwiązany, skarżący otrzymywał taką korespondencję. Ukarany podmiot w toku postępowania przedstawiał dowody potwierdzające usunięcie adresu poczty elektronicznej skarżącego, podnosząc jednocześnie, że problem został spowodowany przez klienta (prawidłowego adresata faktur), który wpisał adres e-mail skarżącego zamiast własnego (co skądinąd przypomina jedną ze spraw rozpoznawanych przez Prezesa Urzędu Ochrony Danych Osobowych).

 

Jedną z podstaw prawnych wymierzonej kary stanowiło naruszenie art. 5 ust. 1 lit. f rodo, czyli naruszenie zasady poufności danych. Zgodnie z jej treścią dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Organ ochrony danych osobowych wskazał między innymi, że to rolą administratora jest podejmowanie decyzji mających na celu wdrożenie skutecznych i odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu zabezpieczenia przed ryzykiem, aby zapewnić poufność danych osobowych, czyli nieujawnienie ich osobom nieupoważnionym. Co ważne, organ wskazuje wyraźnie na cel, jaki ma zostać osiągnięty. Uzasadnienie decyzji nie zawiera jednak żadnych wskazówek w zakresie dróg umożliwiających jego osiągnięcie.

 

Także w decyzji (PS/00212/2019) z dnia 28 lutego 2020 roku nałożono karę w kwocie 48 tys. euro na Vodafone (tym razem jednak na Vodafone ONO S.A.U.) za naruszenie bezpieczeństwa przetwarzania. Decyzja była konsekwencją skargi złożonej przez obywatelkę Hiszpanii, która stwierdziła, że gdy weszła do internetowej strefy klienta administratora danych (z odpowiednim użytkownikiem i hasłem) w celu anulowania usługi, która została zakontraktowana w imieniu jej matki, uzyskała dostęp do danych osobowych innej osoby niż jej matka, a w reklamacji zamieściła zrzuty ekranu strefy klienta. W toku postępowania ustalono, że naruszenie nastąpiło najprawdopodobniej z powodu błędu ludzkiego – pracownik przydzielił ten sam kod dostępu dwóm różnym klientom. Wymierzając karę, organ nadzorczy wziął pod uwagę nieumyślny charakter naruszenia, co jednak nie wpłynęło znacząco na wysokość wymierzonej kary.

 

> PRZYPADKI UJAWNIENIA WRAŻLIWYCH DANYCH

 

Z kolei w decyzji (PS/00335/2020) z dnia 2 lutego 2021 roku hiszpański organ ochrony danych osobowych nałożył karę w wysokości 5 tys. euro na ID Finance Spain, S.L. za nieprzestrzeganie art. 5 ust. 1 lit. f) i art. 32 rodo. Administrator wysłał do klienta wiadomość elektroniczną z wezwaniem do zwrotu kredytu. W wiadomości znajdował się link – gdy klient kliknął w link, miał dostęp do danych osobowych innego klienta. W szczególności skarżący mógł zobaczyć osobiste dane identyfikacyjne, lokalizację, dane finansowe i umowę drugiego klienta. Co ciekawe, administrator nie był w stanie wskazać, w jaki sposób klient mógł otrzymać link pocztą elektroniczną, ponieważ taki link jest generowany wyłącznie do wysłania SMS-em.

 

W decyzji z dnia 27 lipca 2021 roku (PS/00362/2021) hiszpański organ ochrony danych osobowych ukarał Banco Bilbao grzywną w wysokości 120 000 euro za umożliwienie każdemu, kto mógłby podać numer identyfikacyjny posiadacza karty, uzyskania szczegółowych informacji na temat ich ostatnich transakcji kartą kredytową. Stwierdził, że taka procedura narusza poufność danych osobowych ze względu na niewystarczające zabezpieczenia techniczne i organizacyjne. Bank zaoferował karty kredytowe, z których można było korzystać tylko w ramach powiązanej grupy kilku sklepów i firm. W tym przypadku każda osoba dzwoniąca na udostępnioną przez bank automatyczną infolinię informacyjną była w stanie uzyskać szczegóły ostatnich transakcji dokonanych kartą w zamian za numer identyfikacyjny posiadacza karty. Brak było jakichkolwiek środków bezpieczeństwa potwierdzających tożsamość klienta. Innymi słowy, każda osoba dzwoniąc na automatyczną infolinię banku, mogła uzyskać informacje, podając wyłącznie numer karty, bez żadnej weryfikacji, czy jest prawdziwym właścicielem dokumentu.

 

Hiszpański organ ochrony danych osobowych uznał, że działanie banku stanowi naruszenie zasady poufności danych (art. 5 ust. 1 lit. f rodo) oraz bezpieczeństwa przetwarzania (art. 32 rodo), a samo pytanie o numer karty nie wystarcza do odpowiedniego uwierzytelnienia danego klienta.

 

> NARUSZENIA INTEGRALNOŚCI, POUFNOŚCI I BEZPIECZEŃSTWA

 

W dniu 28 czerwca 2021 roku hiszpański organ ochrony danych wystosował ostrzeżenie (PS/00384/2020) do Dyrekcji Hiszpańskich Sił Policyjnych w związku z naruszeniem zasady integralności i poufności polegającym na wysłaniu wiadomości e-mail zawierającej wrażliwe dane osobowe osoby, której dane dotyczą, na ogólny adres e-mail niepowiązanej jednostki policji, do którego miała dostęp osoba trzecia. W ocenie organu w sprawie doszło do naruszenia art. 5 ust. 1 lit. f rodo za naruszenie zasady poufności, ponieważ osoby trzecie, które nie potrzebowały dostępu do danych, miały do nich dostęp. W związku z tym organ ochrony danych osobowych dał Dyrekcji Hiszpańskich Sił Policyjnych jeden miesiąc na przegląd procesów i dostosowanie ich do rodo.


Także w decyzji z dnia 16 listopada 2020 roku hiszpański organ ochrony danych osobowych nałożył ostrzeżenie na Sekretarza Generalnego ds. Innowacji i Jakości Służby Wymiaru Sprawiedliwości za naruszenie bezpieczeństwa (art. 5 ust. 1 lit. f), 25, 32 i 34 rodo), w trakcie przyznawania obywatelstwa i miejsca zamieszkania dla imigrantów (PS/00187/2020). Polegało ono na przesyłaniu zawiadomienia nieupoważnionym osobom zawiadomienia o nadaniu obywatelstwa hiszpańskiego (łącznie 36 osób).

 

[...]

 

Adwokat, inspektor ochrony danych, wykładowca, publicysta.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"