Realizacja przez administratora obowiązków z zakresu bezpieczeństwa danych osobowych
Stan faktyczny
W maju 2020 r. Politechnika Warszawska zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych, które następnie zostało uzupełnione. Naruszenie ochrony danych osobowych polegało na tym, że nieznana i nieuprawniona osoba pobrała z zasobów sieci informatycznej Politechniki bazę danych zawierającą dane osobowe studentów i wykładowców oraz kandydatów na studia – łącznie 5013 osób. Naruszenie dotyczyło następujących danych: imię, nazwisko, imiona rodziców, data urodzenia, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, nazwa użytkownika i/lub hasło, nazwisko rodowe matki, seria i numer dowodu osobistego, numer telefonu. Politechnika Warszawska, w związku z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, zawiadomiła wszystkie osoby o naruszeniu ochrony danych. W maju 2021 r. Prezes UODO wszczął postępowanie administracyjne w tej sprawie.
Rozstrzygnięcie
W decyzji z dnia 9 grudnia 2021 r. (DKN.5130.2559.2020) Prezes UODO nałożył na Politechnikę Warszawską administracyjną karę pieniężną w wysokości 45 000 zł za naruszenie przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO[1], polegające na niezrealizowaniu obowiązków wynikających z RODO, tj.:
- niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, brak regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa danych osobowych w systemie informatycznym, a tym samym nieuwzględnienie ryzyka związanego z przetwarzaniem danych osobowych;
- brak uwzględnienia ryzyka związanego z przetwarzaniem w aplikacji haseł użytkowników w postaci skrótu, co nie daje dostatecznej gwarancji bezpieczeństwa i w przypadku niezastosowania innych środków technicznych i organizacyjnych stanowi o narażeniu osób, których dane dotyczą, na zwiększenie ryzyka naruszenia praw lub wolności osób fizycznych w razie naruszenia zasady poufności;
- brak analizy zasadności 4-tygodniowego przechowywania logów maszyny wirtualnej, na której znajdował się system informatyczny, oraz brak analizy zasadności szczegółowego dziennika zdarzeń w aplikacji, co przesądza o niewłaściwym wdrożeniu środków technicznych i organizacyjnych zapewniających zdolność do szybkiego i skutecznego stwierdzenia wystąpienia naruszenia.
Należy zwrócić uwagę, że Prezes UODO umorzył postępowanie w zakresie naruszenia art. 34 ust. 1 RODO.
Komentarz
Z decyzji Prezesa UODO wynikają następujące wnioski:
- administrator powinien być w stanie udowodnić, że przeprowadził analizę ryzyka, co oznacza, że powinna być ona udokumentowana przez administratora;
- zastosowanie środków technicznych i organizacyjnych bez przeprowadzenia analizy ryzyka może skutkować tym, że wdrożone rozwiązania nie będą skuteczne ani adekwatne;
- zabezpieczenia danych osobowych na podstawie analizy ryzyka powinny być regularnie aktualizowane i dostosowywane do postępu technologii – przykładowo zabezpieczenie haseł może nie być skuteczne, jeżeli istnieją już techniki przełamywania tych zabezpieczeń.
Link do pełnej treści decyzji: https://uodo.gov.pl/pl/138/2248.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).