Systemy bezpieczeństwa trzeba regularnie testować

Niedawno prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 1,9 mln zł na firmę telekomunikacyjną Virgin Mobile (decyzja z 3 grudnia 2020 r., nr DKN.5112.1.2020). Organ nadzorczy stwierdził w niej, że spółka nie przeprowadzała regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych, mających zapewnić bezpieczeństwo przechowywanym przez nią danym osobowym swoich klientów. Jak ocenił UODO, w przypadku Virgin Mobile działania w tym zakresie były podejmowane jedynie przy okazji pojawiających się podejrzeń zaistnienia podatności albo w związku ze zmianami organizacyjnymi (wymiany firmy informatycznej). Zdaniem UODO to za mało, aby spełnić wymogi RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.Urz. UE L 119 s. 1). To właśnie zaniechania ze strony przedsiębiorcy miały w ocenie UODO doprowadzić do wycieku danych 114 tys. klientów, do jakiego doszło w grudniu 2019 r. Przy czym organ, nakładając karę, wziął pod uwagę, że naruszenie miało poważny charakter, gdyż stwarzało wysokie ryzyko negatywnych skutków ochrony prawnej dla dużej liczby osób (np. ryzyko kradzieży tożsamości). W ocenie prezesa UODO przyjęte przez spółkę środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawarto również zasady dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych. Tymczasem w prowadzonej przez firmę dokumentacji, która opisywała proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne, kwestie te nie zostały uregulowane.

Trzeba stale pamiętać