„Kontrola” najwyższą formą zaufania – o tym dlaczego warto audytować swoich procesorów?

Rekordowa kara RODO. 28 lutego br. na stronie UODO pojawiła się kolejna informacja o administracyjnej karze pieniężnej.

Prezes UODO nałożył administracyjną karę pieniężną na na Spółkę Fortum Marketing and Sales Polska. Jej  wysokość to prawie 5 mln zł (dokładnie 4 911 732 zł). Przyczyną nałożenia kary, był brak wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego.

Taką informację możemy wyczytać z ogólnego komunikatu opublikowanego na stronie UODO. Jak zwykle jednak, zachęcam by dokładniej prześledzić decyzję Prezesa UODO (https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020). We wspomnianej decyzji bardzo dokładnie przedstawiono przyczyny wystąpienia naruszenia.  są one opisane z dwóch punktów widzenia: Administratora oraz Procesora (PIKA Sp. z o.o.). Tu warto zaznaczyć, że procesor również został ukarany administracyjną karą pieniężną (250 tys. zł).

Najważniejsze informacje związane z Decyzją DKN.5130.2215.2020:

• kara jest skutkiem naruszenia ochrony danych osobowych, polegająca na skopiowaniu danych około 95 tys. klientów Fortum Marketing and Sales przez nieuprawnione osoby;
• zakres danych, których dotyczyło naruszenie, jest bardzo szeroki i zawiera między innymi: imię i nazwisko, adres zamieszkania, nr PESEL, rodzaj, seria i numer dokumentu tożsamości;
• do skopiowania danych doszło w wyniku prac podmiotu przetwarzającego (dostawca usług IT), który nie zabezpieczył w poprawny sposób środowiska testowego;
• Spółka zawarła umowę powierzenia przetwarzania danych osobowych z dostawcą usług, w której ustaliła wymogi bezpieczeństwa, ale nie zweryfikowała, czy są faktycznie wdrożone;
• prace dotyczące zmian w systemie były wykonywane na kopii danych produkcyjnych, a zabezpieczenia środowiska testowego nie były analogiczne do produkcyjnego;
• Spółka nie zbadała czy produkt dostarczany przez dostawcę jest bezpieczny (brak weryfikacji skuteczności środków technicznych i organizacyjnych).

Co można wywnioskować na tej podstawie?

• sama umowa powierzenia przetwarzania, nawet z najbardziej surowymi zapisami, nie chroni administratora przed karą jeżeli nie będzie on kontrolował swojego procesora (audyt procesora),
• administrator powinien umieć przedstawić dowód na przeprowadzenie badań podatności/testów penetracyjnych wdrażanych rozwiązań IT – faktyczna weryfikacja skuteczności środków technicznych i organizacyjnych,
• nieuprawnione ujawnienie takiej kategorii danych, jak nr PESEL wraz imieniem i nazwiskiem, w opinii UODO może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych – takie naruszenie wymaga więc notyfikacji zarówno do organu nadzorczego, jak i podmiotów danych,
• nie należy wykorzystywać produkcyjnych danych, w szczególności zawierających dane osobowe na środowisku testowym,
• faktycznie to procesor otrzymał dotkliwszą karę aniżeli administrator (4,9 mln zł stanowi jedynie 0,18 % obrotu Fortum Marketing and Sales osiągniętego w 2020 r., 50 tys. zł stanowi aż 1,19 % obrotu osiągniętego przez PIKA w 2020 r.),

Czy zarządzamy procesorami?

Kto z Państwa w ramach nadzoru nad swoimi procesorami faktycznie ich audytuje? Nie mówię tu o „ankiecie RODO” przesłanej do procesora, bo ta mówiąc kolokwialnie jest guzik warta. Kto z Państwa opracował i przedstawił swoim dostawcom usług IT procedurę zarządzania zmianą? Kto z Państwa regularnie przeprowadza badanie podatności i testy penetracyjne swoich systemów IT?

W większości organizacji RODO kojarzone jest wyłącznie z klauzulami informacyjnymi, zasadami czystego biurka i umowami powierzenia przetwarzania. W mojej ocenie jest to pokłosie braku właściwych kompetencji.  Nie bez znaczenia, jest brak doświadczenia osób odpowiadających za wdrażanie RODO w organizacjach. Trochę łatwiej jest napisać klauzulę informacyjną, aniżeli wykonać test penetracyjny 😊.

Świat pokazuje, że faktyczne bezpieczeństwo danych osobowych jest kluczowym aspektem w zapewnieniu zgodności z przepisami RODO. Dlatego zachęcam do zwrócenia się o pomoc do podmiotów zewnętrznych. Takich, które  specjalizują się w zagadnieniach dotyczących ochrony danych osobowych i bezpieczeństwa informacji, jak Blue Energy.

Chcesz zapewnić bezpieczeństwo danych osobowych, nie czekaj:

• przeprowadź audyt:
  • zgodności z wymaganiami RODO
  • bezpieczeństwa IT
  • sieci
  • systemów teleinformatycznych – test penetracyjny
• analizuj podatności
• wynajmij profesjonalnego IOD
• audytuj procesorów i podprocesorów
• automatyzuj zarządzanie ochroną danych przy wykorzystaniu BPM RODO

Potrzebujesz więcej informacji: biuro@grupablue.pl