04.01.2021 Portal prawo.pl opublikował artykuł Artura Piechockiego „Firma zapłaci za zaniedbanie podwykonawcy od danych osobowych”.
Po raz kolejny okazało się, że firma ponosi surowe konsekwencje za niestosowanie wystarczających zabezpieczeń sieci i informacji przez profesjonalnych podwykonawców, a w zasadzie podwykonawców, którzy powinni być profesjonalistami – pisze radca prawny Artur Piechocki, komentując karę nałożoną na spółkę ID Finance Poland, właściciela portalu szybkich pożyczek.
Kolejna kara prezesa Urzędu Ochrony Danych Osobowych dotycząca naruszenia bezpieczeństwa informacji (cybernetycznego) i ponownie problem dotyczy podwykonawcy (procesora). Okazuje się, że wiele wysokich kar związana jest z wyciekami danych, które stanowią konsekwencję niestosowania wystarczających zabezpieczeń sieci i informacji, głównie przez profesjonalnych podwykonawców, a w zasadzie podwykonawców, którzy powinni być profesjonalistami.
Przetwarzanie danych powierzaj fachowcom
Warto w tym kontekście przytoczyć treść motywu 81 RODO: „administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania”. Decyzja o wyborze dostawcy usług elektronicznych, nawet najprostszego hostingu, powinna zostać podjęta na podstawie analizy stosowanych przez dostawcę zabezpieczeń oraz faktycznie wdrożonych i działających procedur. Zarządzanie ryzykiem nie może ograniczyć się do samego przedsiębiorstwa administratora, ale powinno rozciągać się na usługi dostarczane przez procesora, szczególnie w czasach powszechnego outsourcingu, który w zasadzie obejmuje usługi chmurowe, SaaS, SECaaS. Ustawodawca i organy nadzorcze również zauważają tę tendencję o czym mogą świadczyć, np. zmiany w prawie bankowym dotyczące outsourcingu, czy ostatni komunikat KNF w sprawie chmury obliczeniowej.
Zrób listę minimalnych wymagań
Dokonując analizy ryzyka współpracy z podmiotem przetwarzającym warto sporządzić listę minimalnych wymagań, które powinien spełniać procesor. Być może nie jest konieczne żądanie wdrożenia normy ISO 27001, czy posiadanie Security Operations Center zgodnego z wymogami ustawy o krajowym systemie cyberbezpieczeństwa, ale z pewnością warto zastosować rekomendacje Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA) albo skorzystać z ogólnych rozwiązań opisanych w ramach Rozporządzenia wykonawczego Komisji (UE) 2018/151 (wprawdzie rozporządzenie wykonawcze dotyczy dostawców usług cyfrowych (np. internetowa platforma handlowa, usługi przetwarzania w chmurze) i odwołuje się ponownie do norm, jednak samo w sobie opisuje podstawowe zachowania z zakresu bezpieczeństwa sieci i systemów informatycznych). Pomocne mogą być również inne akty wykonawcze do ustawy o krajowym systemie cyberbezpieczeństwa.
Nie klikaj w fałszywe linki
Najnowsza kara PUODO jest również ciekawa ze względu na to, że nie mamy tutaj do czynienia z kliknięciem przez pracownika administratora danych osobowych w fałszywy link do „przesyłki kurierskiej”, który powoduje pobranie oprogramowania złośliwego, co zdarza się bardzo często, ale z problemem w warstwie profesjonalnej obsługi informatycznej.
Zauważalną już tendencją jest nakładanie przez PUODO wysokich kar za naruszenia bezpieczeństwa dotyczącego przetwarzania danych osobowych. Być może stoi za tym swego rodzaju fiskalizm, ale być może jest to jedyna droga do zapewniania prywatności użytkowników internetu. Interesujący będzie z pewnością wątek dotyczący postępowania karnego, o którym możemy przeczytać w treści decyzji PUODO, choć w praktyce rzadko udaje się namierzyć sprawców pobrania danych.
Godne natomiast podziwu jest funkcjonowanie pozarządowych organizacji, czy też profesjonalistów z zakresu bezpieczeństwa informacji (tutaj: zaufanatrzeciastrona.pl), którzy informują o zauważonych lukach i możliwych konsekwencjach. Takie ostrzeżenia powinny być traktowane poważnie i nie służą wyłudzeniu wynagrodzenia za zauważone problemy, lecz podniesieniu poziomu bezpieczeństwa użytkowników.
Prawo.pl:
https://www.prawo.pl/biznes/utrata-danych-osobowych-surowa-kara-nalozona-przez-uodo,505565.html