1,5 mln kary za niedopilnowanie modernizacji strony
Niefortunne skopiowanie pliku sprawiło, że dane 21 tys. osób wyciekły z bazy Panek SA. Błąd popełnił podmiot przetwarzający, ale administrator dostanie ponad 1,5 mln kary bo “poleganie na procesorze” to trochę za mało. Prezes Urzędu Ochrony Danych Osobowych stwierdził w jednej ze swoich ostatnich decyzji, że spółka Panek SA nie zapewniła odpowiedniego poziomu ochrony danych […]
Niefortunne skopiowanie pliku sprawiło, że dane 21 tys. osób wyciekły z bazy Panek SA. Błąd popełnił podmiot przetwarzający, ale administrator dostanie ponad 1,5 mln kary bo “poleganie na procesorze” to trochę za mało.
Prezes Urzędu Ochrony Danych Osobowych stwierdził w jednej ze swoich ostatnich decyzji, że spółka Panek SA nie zapewniła odpowiedniego poziomu ochrony danych w trakcie czynności związanych z modernizacją strony internetowej. Z tego powodu na firmę została nałożona kara w wysokości 1,52 mln zł, a dodatkowo karę 20 tys. zł dostał podmiot przetwarzający (ITCenter). Opowiedzmy sobie dokładnie co się stało.
Się skopiowało i udostępniło…
W kwietniu 2020 r. doszło do niezamierzonego skopiowania “plików starej witryny” firmy Panek do “nowego folderu” i niestety ten folder został udostępniony, a następnie zindeksowany przez bota. Wszystko odbyło się w sposób niezamierzony, w wyniku błędu pracownika. Niestety pliki zawierały kopie zapasowe bazy danych, w której znajdowały się:
- imiona i nazwiska,
- numery PESEL,
- adresy e-mail,
- adresy zamieszkania,
- hasła dostępu do panelu klienta (“zaszyfrowane” jak napisano w zgłoszeniu wycieku).
Naruszenie mogło dotyczyć 21,4 tys. osób, którymi byli zarówno pracownicy jak i klienci spółki. Na pierwszy rzut oka można powiedzieć, że sprawę zawaliła firma przetwarzająca dane. Ale czy tylko ona?
Administrator i procesor się nie dogadali
UODO po incydencie zwrócił się z dodatkowymi pytaniami do administratora. Chciał wiedzieć jakie były ustalenia umowne między nim a procesorem. Czy administrator brał pod uwagę ryzyko związane z modernizacją i czy jakkolwiek się na nie przygotował? Pytania poszły też do podmiotu przetwarzającego.
Administrator (Panek) wskazał na pełną winę procesora (ITCenter). Bo przecież procesor miał wszystko dobrze zrobić i również on miał “mierzyć i testować” czy jest bezpiecznie. Procesor miał trochę inne zdanie ponieważ…
[PROCESOR – red.] dokonał wstępnych oględzin i zgłosił Administratorowi fakt, że strona internetowa jest wykonana z wykorzystaniem starego systemu do zarządzania treścią oraz to, że nie była aktualizowana. W powyższym zakresie została wydana rekomendacja dotycząca wprowadzenia niezbędnej aktualizacji. Podmiot przetwarzający wskazał, że nie był uprawniony do podjęcia tego rodzaju działań, nie posiadał niezbędnych dostępów oraz, że przeprowadzenie aktualizacji nie stanowiło przedmiotu zawartej umowy o świadczenie usług.
Podmiot przetwarzający twierdził też, że nie tylko informował o nieaktualnym oprogramowaniu, ale też rekomendował wprowadzenie lepszego nadzoru nad stroną i wdrożenie dodatkowego oprogramowania np. do automatycznej analizy logów. Najwyraźniej było więcej niedomówień między administratorem i procesorem. Przykładowo podmiot przetwarzający miał nie wiedzieć, że baza danych nie była szyfrowana i do momentu wystąpienia incydentu rzekomo nie wiedział, że chodzi o dane osobowe.
Prezes UODO próbował konfrontować te sprzeczne zeznania i zadawał kolejne pytania. Administrator generalnie upierał się, że za całe bezpieczeństwo odpowiedzialny był procesor. Czy jednak była sporządzona analiza ryzyka na okazję migracji? Nie było, bo zdaniem administratora nie było to obowiązkowe skoro zawodowcy wzięli się za modernizację strony. Czy zawarta umowa naprawdę obejmowała wszystkie niezbędne czynności? Zdaniem administratora była kompleksowa, ale zdaniem procesora nie została zawarta taka umowa, która obejmowałaby weryfikację “sposobu, zakresu lub faktycznego przetwarzania danych osobowych“.
W ogólności UODO uznał, że wyjaśnienia obydwu podmiotów są… sensowne. Niemniej były ze sobą sprzeczne w wielu miejscach, a do incydentu jakimś cudem doszło.
Potrzebna analiza ryzyka i nadzór
Wróćmy do tego, że administrator założył, iż podmiot przetwarzający odpowiada za bezpieczeństwo i ma wszystko zrobić profesjonalnie. Podejście zrozumiałe, ale jednak niezbyt zgodne z RODO. Rozporządzenie nakłada bowiem obowiązki na administratora, dając mu w zamian możliwość kontrolowania podmiotu przetwarzającego.
W decyzji czytamy:
Administrator nie podjął samodzielnych działań i nie zweryfikował, czy lokalizacja, w których znajdują się kopie bazy danych, jest skonfigurowana w sposób zapewniający ich poufność. Według przekazanych wyjaśnień, Administrator na podstawie informacji otrzymanych od X. przyjął, że całość wykonanych przez „specjalistyczny podmiot” zadań z obszaru bezpieczeństwa i poufności danych, daje dostateczne gwarancje ochrony dla klientów.
Przyjęcie takiego założenia było pierwszym błędem. Drugim był – według UODO – brak tego, co określa się jako “regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych“. To motyw niejednej głośnej decyzji UODO np. tej dotyczącej Virgin Mobile albo tej nowej i starej dotyczącej Morele.net. Analiza ryzyka nie może być dokumentem sporządzanym “raz na jakiś czas”, wkładanym do szuflady i wyciąganym na specjalne okazje. Modernizacja strony internetowej z pewnością sprowadzała na spółkę nowe ryzyka tym bardziej, iż strona ta miała przetwarzać duże ilości danych osobowych. Tu znów cytat z decyzji.
…konieczne jest analizowanie wpływu każdej zmiany na poziom bezpieczeństwa przetwarzanych danych. Co za tym idzie, przed wykonaniem jakichkolwiek działań, zwłaszcza polegających np. na przenoszeniu zasobu obejmującego dane osobowe z jednej lokalizacji do innej lokalizacji, Administrator i Podmiot przetwarzający winni zachować jak najdalej posuniętą ostrożność,
Kolejnym błędem firmy Panek SA miało być nierealizowanie obowiązków polegających na weryfikacji podmiotu przetwarzającego. Ta weryfikacja mogła obejmować przeprowadzanie inspekcji i kontroli u podmiotu przetwarzającego. No dobrze, ale co z procesorem? Czy on nie zawinił? Oczywiście on również popełnił błędy i zdaniem UODO mógł zadbać o nieco lepszą komunikację ze swoim kontrahentem (administratorem) choćby dopytując go o to, czy na stronie znajdą się dane osobowe.
Szczegóły w decyzji UODO DKN.5130.2415.2020.
Problemowe kontrole
Osoby czytające o tej decyzji UODO mogą mieć mieszane uczucia. Owszem, możliwość kontroli podmiotu przetwarzającego to wspaniały instrument dla administratora. W praktyce jest on stosowany w ograniczonym stopniu. Bywa, że administratorzy proszą o przedstawienie polityk albo protokołów z jakiejś czynności, ale teoretycznie mogliby żądać wstępu do siedziby podmiotu przetwarzającego w celu dokonania oględzin. Z jednej strony to uprawnienie istnieje, z drugiej podmioty przetwarzające muszą zadbać o to, aby wykonawcy oględzin nie zobaczyli w trakcie kontroli więcej niż powinni (większość procesorów ma niejednego klienta). Pojawia się przy okazji szereg innych problemów np. możliwość zatrudnienia do audytu procesora podmiotu zewnętrznego, który może być w konflikcie z podmiotem kontrolowanym. Mogą temu zapobiec odpowiednie zapisy w umowach przetwarzania. To z kolei pokazuje, iż te umowy powinny być dobrze przemyślane, a nie klepane według jednego wzoru.
Decyzja dotyczącego Panek SA mówi jedno. Niekontrolowanie podmiotu przetwarzającego może boleć. Zwłaszcza wtedy, gdy podmiot ten ma dokonywać operacji na dużych zbiorach danych. Zaboli jeszcze bardziej, jeśli komunikacja między podmiotami nie będzie wystarczająco klarowna.
