{"id":2254,"date":"2021-01-04T21:12:38","date_gmt":"2021-01-04T21:12:38","guid":{"rendered":"https:\/\/aplaw.pl\/?p=2254"},"modified":"2021-01-04T21:12:38","modified_gmt":"2021-01-04T21:12:38","slug":"analysis-of-the-cause-and-consequence-of-the-current-puodos-penalty-imposed-on-id-finance-poland-for-personal-data-breach","status":"publish","type":"post","link":"https:\/\/aplaw.pl\/en\/publications\/analysis-of-the-cause-and-consequence-of-the-current-puodos-penalty-imposed-on-id-finance-poland-for-personal-data-breach\/","title":{"rendered":"Analysis of the cause and consequence of the current PUODO’s penalty imposed on ID Finance Poland for personal data breach"},"content":{"rendered":"

04.01.2021 Portal prawo.pl published an article by Artur Piechocki “The company will pay for the processor’s negligence in personal data processing”.<\/strong><\/p>\n

Po raz kolejny okaza\u0142o si\u0119, \u017ce firma ponosi surowe konsekwencje za niestosowanie wystarczaj\u0105cych zabezpiecze\u0144 sieci i informacji przez profesjonalnych podwykonawc\u00f3w, a w zasadzie podwykonawc\u00f3w, kt\u00f3rzy powinni by\u0107 profesjonalistami – pisze radca prawny Artur Piechocki, komentuj\u0105c kar\u0119 na\u0142o\u017con\u0105 na sp\u00f3\u0142k\u0119 ID Finance Poland, w\u0142a\u015bciciela portalu szybkich po\u017cyczek.<\/p>\n

Kolejna kara prezesa Urz\u0119du Ochrony Danych Osobowych dotycz\u0105ca naruszenia bezpiecze\u0144stwa informacji (cybernetycznego) i ponownie problem dotyczy podwykonawcy (procesora). Okazuje si\u0119, \u017ce wiele wysokich kar zwi\u0105zana jest z wyciekami danych, kt\u00f3re stanowi\u0105 konsekwencj\u0119 niestosowania wystarczaj\u0105cych zabezpiecze\u0144 sieci i informacji, g\u0142\u00f3wnie przez profesjonalnych podwykonawc\u00f3w, a w zasadzie podwykonawc\u00f3w, kt\u00f3rzy powinni by\u0107 profesjonalistami.
\nPrzetwarzanie danych powierzaj fachowcom<\/p>\n

Warto w tym kontek\u015bcie przytoczy\u0107 tre\u015b\u0107 motywu 81 RODO: \u201eadministrator powinien, powierzaj\u0105c podmiotowi przetwarzaj\u0105cemu czynno\u015bci przetwarzania, korzysta\u0107 z us\u0142ug wy\u0142\u0105cznie podmiot\u00f3w przetwarzaj\u0105cych, kt\u00f3re zapewniaj\u0105 wystarczaj\u0105ce gwarancje – w szczeg\u00f3lno\u015bci je\u017celi chodzi o wiedz\u0119 fachow\u0105, wiarygodno\u015b\u0107 i zasoby – wdro\u017cenia \u015brodk\u00f3w technicznych i organizacyjnych odpowiadaj\u0105cych wymogom niniejszego rozporz\u0105dzenia, w tym wymogom bezpiecze\u0144stwa przetwarzania\u201d. Decyzja o wyborze dostawcy us\u0142ug elektronicznych, nawet najprostszego hostingu, powinna zosta\u0107 podj\u0119ta na podstawie analizy stosowanych przez dostawc\u0119 zabezpiecze\u0144 oraz faktycznie wdro\u017conych i dzia\u0142aj\u0105cych procedur. Zarz\u0105dzanie ryzykiem nie mo\u017ce ograniczy\u0107 si\u0119 do samego przedsi\u0119biorstwa administratora, ale powinno rozci\u0105ga\u0107 si\u0119 na us\u0142ugi dostarczane przez procesora, szczeg\u00f3lnie w czasach powszechnego outsourcingu, kt\u00f3ry w zasadzie obejmuje us\u0142ugi chmurowe, SaaS, SECaaS. Ustawodawca i organy nadzorcze r\u00f3wnie\u017c zauwa\u017caj\u0105 t\u0119 tendencj\u0119 o czym mog\u0105 \u015bwiadczy\u0107, np. zmiany w prawie bankowym dotycz\u0105ce outsourcingu, czy ostatni komunikat KNF w sprawie chmury obliczeniowej.<\/p>\n

Zr\u00f3b list\u0119 minimalnych wymaga\u0144<\/strong><\/p>\n

Dokonuj\u0105c analizy ryzyka wsp\u00f3\u0142pracy z podmiotem przetwarzaj\u0105cym warto sporz\u0105dzi\u0107 list\u0119 minimalnych wymaga\u0144, kt\u00f3re powinien spe\u0142nia\u0107 procesor. By\u0107 mo\u017ce nie jest konieczne \u017c\u0105danie wdro\u017cenia normy ISO 27001, czy posiadanie Security Operations Center zgodnego z wymogami ustawy o krajowym systemie cyberbezpiecze\u0144stwa, ale z pewno\u015bci\u0105 warto zastosowa\u0107 rekomendacje Europejskiej Agencji Bezpiecze\u0144stwa Sieci i Informacji (ENISA) albo skorzysta\u0107 z og\u00f3lnych rozwi\u0105za\u0144 opisanych w ramach Rozporz\u0105dzenia wykonawczego Komisji (UE) 2018\/151 (wprawdzie rozporz\u0105dzenie wykonawcze dotyczy dostawc\u00f3w us\u0142ug cyfrowych (np. internetowa platforma handlowa, us\u0142ugi przetwarzania w chmurze) i odwo\u0142uje si\u0119 ponownie do norm, jednak samo w sobie opisuje podstawowe zachowania z zakresu bezpiecze\u0144stwa sieci i system\u00f3w informatycznych). Pomocne mog\u0105 by\u0107 r\u00f3wnie\u017c inne akty wykonawcze do ustawy o krajowym systemie cyberbezpiecze\u0144stwa.<\/p>\n

Nie klikaj w fa\u0142szywe linki<\/strong><\/p>\n

Najnowsza kara PUODO jest r\u00f3wnie\u017c ciekawa ze wzgl\u0119du na to, \u017ce nie mamy tutaj do czynienia z klikni\u0119ciem przez pracownika administratora danych osobowych w fa\u0142szywy link do \u201eprzesy\u0142ki kurierskiej\u201d, kt\u00f3ry powoduje pobranie oprogramowania z\u0142o\u015bliwego, co zdarza si\u0119 bardzo cz\u0119sto, ale z problemem w warstwie profesjonalnej obs\u0142ugi informatycznej.<\/p>\n

Zauwa\u017caln\u0105 ju\u017c tendencj\u0105 jest nak\u0142adanie przez PUODO wysokich kar za naruszenia bezpiecze\u0144stwa dotycz\u0105cego przetwarzania danych osobowych. By\u0107 mo\u017ce stoi za tym swego rodzaju fiskalizm, ale by\u0107 mo\u017ce jest to jedyna droga do zapewniania prywatno\u015bci u\u017cytkownik\u00f3w internetu. Interesuj\u0105cy b\u0119dzie z pewno\u015bci\u0105 w\u0105tek dotycz\u0105cy post\u0119powania karnego, o kt\u00f3rym mo\u017cemy przeczyta\u0107 w tre\u015bci decyzji PUODO, cho\u0107 w praktyce rzadko udaje si\u0119 namierzy\u0107 sprawc\u00f3w pobrania danych.<\/p>\n

Godne natomiast podziwu jest funkcjonowanie pozarz\u0105dowych organizacji, czy te\u017c profesjonalist\u00f3w z zakresu bezpiecze\u0144stwa informacji (tutaj: zaufanatrzeciastrona.pl), kt\u00f3rzy informuj\u0105 o zauwa\u017conych lukach i mo\u017cliwych konsekwencjach. Takie ostrze\u017cenia powinny by\u0107 traktowane powa\u017cnie i nie s\u0142u\u017c\u0105 wy\u0142udzeniu wynagrodzenia za zauwa\u017cone problemy, lecz podniesieniu poziomu bezpiecze\u0144stwa u\u017cytkownik\u00f3w.<\/p>\n

Prawo.pl:<\/b>
\nhttps:\/\/www.prawo.pl\/biznes\/utrata-danych-osobowych-surowa-kara-nalozona-przez-uodo,505565.html<\/a><\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

[\u2026]<\/span><\/p>\n","protected":false},"author":1,"featured_media":2255,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[51],"tags":[],"class_list":["post-2254","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-publications"],"_links":{"self":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/2254","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/comments?post=2254"}],"version-history":[{"count":0,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/2254\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media\/2255"}],"wp:attachment":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media?parent=2254"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/categories?post=2254"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/tags?post=2254"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}