Znów kara za brak weryfikacji procesora

Administrator zgłosił naruszenie ochrony danych polegające na ujawnieniu danych osobowych z polis ubezpieczeniowych zawieranych w okresie od maja 2015 r. do listopada 2020 r. Polisy te zostały ujawnione w ramach systemu informatycznego prowadzonego na rzecz administratora przez firmę informatyczną. W zarządzanym przez tą firmę systemie informatycznym przetwarzane były więc dane osobowe powierzane przez ADO. Informacje o naruszeniach dotarły do UODO także z mediów. Naruszenia te miały miejsce w okresie od maja 2015 r. do listopada 2020 r.

Do ujawnienia danych osobowych doszło podczas wprowadzania zmian w systemie informatycznym. Stało się to podczas wydzielenia wspólnego zasobu roboczego zawierającego repozytorium plików i udostępnienia go pracownikom w sieci lokalnej oraz zdalnie.

W toku postępowania Prezes UODO stwierdził naruszenia w zakresie bezpieczeństwa danych. Przede wszystkim nie zweryfikowano przebiegu wprowadzania tych zmian. Administrator nie przeprowadził też analizy ryzyka i wdrożył odpowiednich środków technicznych i organizacyjnych i naruszył przez to regułę integralności oraz poufności danych.

W opisywanej sprawie administrator dokonał jedynie wstępnej analizy ryzyka, poprzestając na ogólnych założeniach. Analiza ta nie została jednak odpowiednio ukierunkowana, a w konsekwencji nie wdrożono środków bezpieczeństwa odpowiadających występującemu ryzyku. Administrator wprawdzie wskazał, że wraz z procesorem przyjęte przez siebie regulacje

wewnętrzne tj. Politykę ochrony danych osobowych. Samo to nie wystarczyło. Przyjęte rozwiązania były bowiem nieadekwatne do poziomu ryzyka.

To jednak nie wszystko. Administrator powinien także na bieżąco weryfikować stosowane środki i sprawdzać, czy wprowadzane zmiany są prawidłowe. Takiej weryfikacji niestety zabrakło, co w ocenie organu nadzorczego doprowadziło do ujawnienia danych.

Administratorowi zarzucono także brak weryfikacji, czy podmiot przetwarzający, z którym współpracuje, zapewnia odpowiednie gwarancje wdrożenia środków bezpieczeństwa. Weryfikację taką w opisanej sprawie ograniczono do przeprowadzenia rozmowy. ADO nie wykazał więc kompleksowej weryfikacji potencjalnego procesora. W podobnej sprawie ukarano już jeden z ośrodków kultury.

W konsekwencji Prezes UODO nałożył na administratora karę pieniężną w wysokości ponad 33 tys. zł. Poza tym nakazał mu zaprzestać powierzania przetwarzania danych osobowych procesorowi. Karę w wysokości 472 zł otrzymał także sam procesor.