Regulacje RODO wprowadzają surowe wymagania dotyczące ochrony danych osobowych i nakładają na podmioty przetwarzające dane, czyli administratorów danych, szereg obowiązków w zakresie zabezpieczeń technicznych. Wdrażając odpowiednie środki techniczne i organizacyjne, administrator musi zapewnić właściwy stopień bezpieczeństwa danych osobowych odpowiadający przeprowadzonej analizie ryzyka.
Nieskuteczne zabezpieczenia techniczne – czyli jakie?
Zgodnie z art. 24 RODO administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom oraz uaktualniane. Dodatkowo rozporządzenie RODO nakazuje, by stosowanie środków technicznych i organizacyjnych było proporcjonalne, a przetwarzanie danych poprzedzone przyjęciem odpowiedniej polityki ochrony danych.
Za nieskuteczne zabezpieczenia techniczne można uznać:
- niewystarczające szyfrowanie danych osobowych – brak lub niewłaściwe zastosowanie szyfrowania danych osobowych, może spowodować wyciek lub dostęp osób nieuprawnionych do poufnych informacji,
- brak aktualizacji oprogramowania – nieaktualne oprogramowanie, zarówno systemowe, jak i aplikacyjne, może narażać dane na ryzyko naruszenia,
- słabe zarządzanie uprawnieniami dostępu – niekontrolowany dostęp do danych osobowych przez pracowników lub osoby trzecie, które nie mają prawa do ich przetwarzania, może prowadzić do naruszenia prywatności,
- brak monitorowania działań na danych – brak systemu monitorowania i audytowania aktywności związanej z przetwarzaniem danych osobowych może uniemożliwić wykrycie oraz zidentyfikowanie incydentów bezpieczeństwa. Testowanie, mierzenie i ocenianie zastosowanych zabezpieczeń, musi być dokonywane w sposób regularny, nie może mieć charakteru jednorazowego,
- niezabezpieczone transmisje danych – niewystarczające zabezpieczenie komunikacji między systemami może ułatwić przechwycenie i odczytanie danych osobowych przez osoby trzecie,
- słabe hasła i uwierzytelnianie – używanie słabych haseł lub brak zastosowania wieloetapowej weryfikacji tożsamości może zwiększyć ryzyko nieautoryzowanego dostępu do danych,
- brak tworzenia kopii zapasowych – zasady tworzenia kopii zapasowych oraz praktyka wykonywania tych kopii powinny zapewnić dostępność systemów i usług przetwarzania oraz szybkie przywrócenia dostępności danych osobowych w przypadku zaistniałego naruszenia. Jeżeli odtworzenie danych zajmuje dłuższy okres – np kilka miesięcy – to takie kopie zapasowe też nie mogą być uznane za wystarczające.
- Brak systemu pozwalającego ustalić kto, kiedy miał dw systemie dostęp do danych osobowych, w tym kto je modyfikował.
Kara za nieskuteczne zabezpieczenia techniczne
Niezgodność z przepisami RODO w zakresie zabezpieczeń technicznych może prowadzić do poważnych konsekwencji, takich jak kary finansowe nałożone przez organy nadzorczy, bądź utrata zaufania klientów i partnerów biznesowych. W związku z czym ważnym jest, aby podmioty przetwarzające dane osobowe stosowały odpowiednie i skuteczne zabezpieczenia techniczne w celu zapewnienia pełnego przestrzeganie przepisów o ochronie danych osobowych.
W ostatnim czasie Prezes UODO nałożył administracyjną karę pieniężną w wysokości 30 000 zł na jednego z burmistrzów za dobór nieskutecznych zabezpieczeń dla wykorzystywanego systemu informatycznego oraz za ich nieprzetestowanie.
Urząd Miasta zgłosił do Urzędu Ochrony Danych Osobowych naruszenie ochrony danych osobowych spowodowane atakiem ransomware na skutek wykorzystania podatności istniejącej w systemie teleinformatycznym. Przestępcy zablokowali dostęp do serwera Urzędu Miasta i zażądali okupu. Na serwerze znajdowały się dane 9400 osób i obejmowały m.in. numer PESEL, adres e-mail, numer rachunku bankowego, adres zamieszkania, numer telefonu.
Po przeprowadzonym postępowaniu Prezes UODO stwierdził, że faktyczną przyczyną wystąpienia ataku ransomware była niezaktualizowana od roku 2020 baza wirusów. Dodatkowo organ kontrolny uznał, że administrator nie przeprowadził w sposób rzetelny analizy ryzyka, a także nie wdrożył pełnych środki technicznych i organizacyjnych, które miały gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych.