Case study: Jak lekceważenie zasad RODO może kosztować miliony – analiza błędów PANEK SA i ITCenter

Pod koniec ubiegłego roku Prezes Urzędu Ochrony Danych Osobowych (UODO) podjął decyzję, która odbiła się szerokim echem w świecie biznesu. Spółka PANEK SA została ukarana grzywną w wysokości 1 527 855 zł, a ich partner technologiczny, firma ITCenter, zapłacił 20 037 zł. Ta sprawa to nie tylko przestroga dla firm, ale również cenne źródło wniosków, jak unikać kosztownych błędów w zarządzaniu danymi osobowymi.

Incydent RODO, który kosztował półtora miliona

Cała historia rozpoczęła się 17 kwietnia 2020 roku, kiedy podczas modernizacji witryny internetowej PANEK SA doszło do poważnego incydentu bezpieczeństwa informacji. W wyniku błędu pracownika ITCenter skopiowano pliki ze starej strony do nowego folderu, który został udostępniony publicznie i zindeksowany przez bota. Efekt? Wyciekały dane 21 453 osób – zarówno klientów, jak i pracowników.

Co zawierała baza? Historyczne dane klientów, takie jak:

• Imiona i nazwiska,
• Adresy zamieszkania,
• Adresy e-mail,
• Zaszyfrowane hasła dostępu do panelu strony,
• Numery telefonów.

Najbardziej niepokojące były jednak rekordy zawierające numery PESEL, co dodatkowo zwiększyło wagę incydentu. Szczegółowy opis można znaleźć w decyzji Prezes Urzędu Ochrony Danych Osobowych (UODO) o numerze DKN.5130.2415.2020, która opisuje cały incydent RODO.

Winni czy ofiary? Różne perspektywy

Decyzja UODO wskazuje, że odpowiedzialność za ten incydent była współdzielona, ale z wyraźnym akcentem na administratora danych, czyli PANEK SA.

Administrator twierdził, że pełną winę za naruszenie ponosi ITCenter. Pracownik tej firmy miał bez konsultacji skopiować pliki do nowego folderu, który powinien być ukryty. PANEK SA podkreślał, że nie mieli świadomości tego działania.

Z kolei podmiot przetwarzający dane wskazywał, że:

1. Informował administratora o konieczności aktualizacji przestarzałego systemu zarządzania treścią.
2. Nie miał dostępu do pełnej wiedzy na temat zawartości bazy danych, w tym informacji o danych osobowych.
3. Jego działania były ograniczone przez zakres umowy – nie obejmowały kompleksowego zarządzania bezpieczeństwem strony.

Kluczowe błędy po obu stronach

Po obu stronach pojawiły się uchybienia, które finalnie doprowadziły do powstania podatności i ujawnienia danych.

Administrator nie przeprowadził analizy ryzyka. PANEK SA nie przeprowadził analizy wpływu zmian na bezpieczeństwo danych osobowych, mimo że modernizacja witryny dotyczyła danych klientów i pracowników. Ponadto zaniedbał też obowiązek nadzoru. Zlecenie zewnętrznej firmie modernizacji strony bez aktywnego monitorowania działań. Nie zadbał o to, by dane procesowane przez podmiot przetwarzający były odpowiednio zabezpieczone.  Nie sprawdzono, czy miejsce przechowywania bazy danych zapewnia odpowiednią poufność.

Podmiot przetwarzający natomiast zaniedbał komunikację. ITCenter nie upewnił się, że pliki zawierające dane osobowe wymagają dodatkowych zabezpieczeń. Kolejnym uchybieniem przetwarzającego było niewdrożenie efektywnych środków technicznych. Zastosowane rozwiązania nie gwarantowały pełnej poufności danych.

Dlaczego UODO nałożył większą karę na administratora?

RODO jasno wskazuje, że to administrator odpowiada za ochronę danych osobowych. W tym przypadku PANEK S.A. nie tylko nie zapewnił odpowiednich zabezpieczeń, ale również nie kontrolował pracy procesora. Choć firma ITCenter popełniła błędy, ich skala była marginalna w porównaniu do zaniedbań administratora.

Jak uniknąć podobnych incydentów?

1. Analiza ryzyka: Każda zmiana w systemie IT powinna być poprzedzona badaniem wpływu na bezpieczeństwo danych osobowych.
2. Aktywny nadzór: Zlecenie usług zewnętrznej firmie nie zwalnia administratora z odpowiedzialności. Regularne audyty i testy to podstawa.
3. Efektywna komunikacja: Procesor i administrator muszą współpracować, dzieląc się kluczowymi informacjami i wprowadzając odpowiednie

Przypadek PANEK SA i ITCenter to przestroga dla wszystkich firm. Omawiany incydent RODO pokazuje, że ochrona danych osobowych to obowiązek, którego nie można delegować w całości na zewnętrznych dostawców. Każdy proces, w którym dane są przetwarzane, wymaga ścisłej współpracy i kontroli. Ignorowanie tych zasad może kosztować – nie tylko finansowo, ale również wizerunkowo.

Inny przypadek wysokiej kary dla administratora, choć wydaje się, że to procesor zaniedbywał kwestie bezpieczeństwa, znajdziecie tutaj:

Case study: wyłączony antywirus i 350 tys. kary z tytułu naruszenia RODO

Czy Twoja firma jest gotowa na takie wyzwania?