Wysokie kary za uchybienia w kwestii analizy ryzyka dot. bezpieczeństwa danych osobowych

O konieczności rzetelnego podejścia do prowadzonych ocen i analiz ryzyka wymaganych w przypadku występowania naruszeń bezpieczeństwa danych osobowych dowodzi wydana w ostatnim czasie przez prezesa UODO decyzja. Przepisy RODO nakładają bowiem nie tylko obowiązek wdrożenia odpowiednich procedur w celu zapewnienia bezpieczeństwa, ale także prawidłowego stosowania przyjętych kryteriów i metodyki. Powinny one pozwalać w sposób obiektywny dokonać analizy ryzyka dla występujących zdarzeń. Niedopuszczalne jest, by fałszować wyniki, czy też subiektywnie zaniżać poziom zagrożenia.
|Prowadzone przez podmioty oceny podlegają weryfikacji przez UODO. Nie mogą być prowadzone w sposób dowolny.

Spółka ubezpieczeniowa zgłoszona do UODO za uchybienia

W związku ze zgłoszeniem, które wpłynęło do UODO, dotyczącym naruszenia ochrony danych osobowych poprzez ujawnienie danych osobowych osobie nieuprawnionej prezes UODO nałożył dotkliwą karę pieniężną Sopockiemu Towarzystwu Ubezpieczeń ERGO Hestia S.A.. W wyniku przeprowadzonego postępowania wyjaśniającego spółka ma zapłacić ok 160 tyś zł za stwierdzone nieprawidłowości.
Sytuacja dotyczyła przesłania przez pracownika pod błędny adres mailowy dokumentacji elektronicznej wraz z załącznikami zawierającymi dane osobowe.
Jak się okazało, pliki nie były zabezpieczone. Nie zastosowano szyfrowania i adresat mógł zyskać w nie wgląd. Warto w tym miejscu nadmienić, że w wyniku tej pomyłki osoba nieuprawniona uzyskała dane takie jak: imię, nazwisko, numer PESEL, miejscowość, kod pocztowy czy informację o przedmiocie ubezpieczenia. Były one przetwarzane w związku z prowadzoną analizą potrzeb ubezpieczeniowych oraz przygotowaniem oferty ubezpieczenia.
W toku weryfikacji sprawy ustalono, że zgłoszenie o tym incydencie wpłynęło od kilku towarzystw ubezpieczeniowych, będących administratorami danych, jednak obowiązku tego nie dopełniło Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A..
W odpowiedzi na wezwanie UODO do złożenia wyjaśnień Spółka próbowała tłumaczyć odstąpienie od zawiadomienia w oparciu o wynik własnej oceny ryzyka naruszenia praw i wolności osób fizycznych. Przeprowadzona przez Spółkę analiza doprowadziła do wydania oceny, która uznawała, że „nie doszło do naruszenia skutkującego koniecznością zgłoszenia naruszenia Prezesowi UODO”. Jednocześnie w ocenie Spółki nie powstała konieczność zawiadomienia osoby, której danych osobowych dotyczy rzeczona sprawa.

UODO stwierdził poważne nieprawidłowości


Takie postępowanie UODO ocenił jako nieprawidłowe i stwierdził naruszenie obowiązujących przepisów. Według UODO ocena została dokonana w błędny sposób. Formularz oceny, jakim posługiwali się pracownicy odpowiedzialni za jej sporządzenie wzbudził uzasadnione wątpliwości organu nadzorczego. Stwierdzono nieprawidłowości dotyczące m.in. zaniżania wyników dla poszczególnych kryteriów, ale też pomijania istotnych czynników. Tym samym analiza nie spełniała wymogów stawianych dla takiego narzędzia i nie pozwalała na uzyskanie rzetelnego wyniku. W konsekwencji tak sporządzona analiza nie może być wykorzystywana przy ocenie, czy zaistniało naruszenie wymagające dokonania zgłoszenia organom nadzorczym i potencjalnym poszkodowanym.
Jedynym krokiem jaki wykonała Spółka w celu minimalizacji ryzyka było pozyskanie od nieuprawnionego adresata oświadczenia, w którym osoba ta potwierdziła usunięcie błędnie otrzymanych dokumentów. Takie postępowanie UODO również oceniło jako nieprawidłowe i niewystarczające.

Problemów z bezpieczeństwem danych osobowych można było uniknąć

W kontekście przedstawionego incydentu należy wskazać, że administratorzy danych nie powinni uchylać się od obowiązku zgłaszania występowania naruszeń do UODO. Przeprowadzenie samej analizy ryzyka, z której wynika, iż zagrożenie jest niewielkie nie jest wystarczającym umotywowaniem takiej praktyki. Każda prowadzona na potrzeby oceny naruszeń bezpieczeństwa danych osobowych analiza musi być prowadzona w sposób rzetelny, a dodatkowo podlega sprawdzeniu przez organ nadzoru. W razie potrzeby organ ten może wezwać administratora do przeprowadzenia ponownej weryfikacji. Stąd też dużą rolę powinno przykładać się do prawidłowego doboru kryteriów i metodyk stosowanych przez podmiot. Z drugiej strony pracownicy odpowiedzialni za ich stosowanie w ramach prowadzonych czynności winni są dokonywać ocen i analiz w sposób obiektywny. Zaniżanie wyników, czy pomijanie istotnych kwestii dla danej sprawy jest niedopuszczalne. Pamiętać też należy, że sama ocena ryzyka nie uprawnia do odstąpienia od zgłoszenia. Należy zawsze uwzględnić klasyfikację danych, których naruszenie dotyczy zatem warto cyklicznie wykonywać audyt rodo.

Pełna treść dostępna pod: https://uodo.gov.pl/pl/138/2096

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Wypełnij to pole
Wypełnij to pole
Proszę wprowadzić prawidłowy adres e-mail.
You need to agree with the terms to proceed

Menu