Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Kara za brak szybkiej reakcji na incydent

12-05-2021 Autor: Katarzyna Frelak

Współpraca administratora z podmiotem przetwarzającym nie wyłącza odpowiedzialności za bezpieczeństwo danych osobowych obu podmiotów, a każdy sygnał o ewentualnych nieprawidłowościach powinien być dokładnie zweryfikowany. W innym przypadku administratora mogą spotkać przykre konsekwencje.

 

Decyzja DKN.5130.1354.2020

Stan faktyczny: Spółka zajmująca się udzielaniem pożyczek finansowych za pośrednictwem strony internetowej powierzyła innemu podmiotowi (podmiot przetwarzający) przetwarzanie danych osobowych jej klientów w celu realizacji usług o charakterze hostingu. Pracownik podmiotu przetwarzającego zrestartował jeden z serwerów używanych przez spółkę w celu zoptymalizowania jego działania.

Po pewnym czasie spółka otrzymała sygnał od niezależnego konsultanta ds. cyberbezpieczeństwa, który poinformował o odkryciu przez niego serwera z publicznie dostępnymi danymi klientów spółki. IOD przekazał informację dyrektorowi ds. finansów spółki, który zasugerował dyrektorowi podmiotu przetwarzającego, że może to być próba wyłudzenia poufnych danych (smart phishing), zagrażająca bezpieczeństwu firmy. Z powodu braku odpowiedzi ze strony procesora dyrektor ds. finansów spółki wystosował ponowne zapytanie, czy przedstawiony problem został zweryfikowany. W związku z otrzymanymi wiadomościami podmiot przetwarzający dokonał restartu serwera, jednak jego konfiguracja uwzględniająca prawidłowe zabezpieczenie środowiska była nadal nieprawidłowa. W międzyczasie nieustalona osoba, korzystając z niezabezpieczonej strony, pobrała i usunęła bazę danych, żądając okupu za jej zwrot. Fakt, że strona nie jest właściwie zabezpieczona, został zgłoszony przez kolejną osobę. Dopiero drugi sygnał przyczynił się do podjęcia przez podmiot przetwarzający działań, dzięki którym problem został zidentyfikowany (jednak po kolejnym sygnale administratora).

Jak ustalili pracownicy podmiotu przetwarzającego, po dokonanym restarcie pracownik podmiotu nie zweryfikował prawidłowości konfiguracji zabezpieczeń, tj. jeden z portów pozostawał otwarty. Potwierdzono również nieuprawnione pobranie danych. Następnie przywrócono prawidłową konfigurację serwera (zamknięcie portu), dokonano resetu haseł użytkowników portalu, a także poinformowano klientów i potencjalnych klientów o zresetowaniu haseł do logowania. Spółka zweryfikowała również pozostałe swoje serwery, gdzie nie zidentyfikowano żadnych problemów. Dopiero wówczas administrator dokonał wstępnego zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO (które następnie zostało uzupełnione), oceniając ryzyko naruszenia praw lub wolności osób fizycznych, których dane dotyczą, jako wysokie.

Zgodnie z informacjami przedstawionymi w zgłoszeniu naruszenie dotyczyło danych 140 699 klientów spółki, którzy zarejestrowali się (w całości bądź w części) na stronie internetowej, aby uzyskać pożyczkę. Dane osobowe znajdujące się na serwerze były publicznie dostępne. Administrator poinformował również o zawiadomieniu osób, których dane dotyczą, o naruszeniu (e-mail i SMS). W związku z otrzymaniem zgłoszenia Prezes UODO wezwał spółkę do przedstawienia:

  • wszystkich potrzebnych dokumentów;
  • korespondencji z osobami, których naruszenie dotyczyło (czas, kanał i treść);
  • wskazania zastosowanych przez administratora i podmiot przetwarzający środków zabezpieczenia technicznego i organizacyjnego, na gruncie art. 24 i 25 rodo;
  • wyjaśnienia, czy, kiedy i w jaki sposób administrator oraz podmiot przetwarzający dokonywali regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach teleinformatycznych.

[...]

 

Autorka jest inspektorem ochrony danych, członkiem korpusu służby cywilnej.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.