Jeszcze jedna refleksja na temat kary nałożonej przez PUODO na Morele.net sp. z o.o.

ale to nie będzie kolejny post rozważający, czy zastosowana przez PUODO kara jest za niska, za wysoka, czy w sam raz. Nie zamierzam również analizować zasadności nałożenia kary, ponieważ nie znam akt postępowania, jego przebiegu – to byłoby zatem po prostu nieprofesjonalne i obarczone zbyt dużym ryzykiem błędu. Mam natomiast pomysł, jakie wnioski możemy wyciągnąć z całego wydarzenia. Zacznijmy jednak początku. 

W dniu 10 września 2019 r. Prezes Urzędu Ochrony Danych Osobowych (PUODO), stwierdzając naruszenie przez Morele.net Sp. z o. o. z siedzibą w Krakowie art. 5 ust. 1 lit. a oraz lit. f, art. 5 ust 2, art. 6 ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, lit. d, art. 32 ust. 2 RODO, nałożył na Morele.net Sp. z o. o. karę pieniężną w wysokości 2 830 410 PLN.

A teraz przekładając z prawniczego na ludzkie: 

PUODO nałożył na Morele.net blisko trzymilionową karę za naruszenia następujących obowiązków RODO-wskich:

  • obowiązku przetwarzania danych osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (art. 5 ust. 1 lit. a);
  • obowiązku przetwarzania danych osobowych w sposób zapewniający odpowiednie (do ryzyka – przyp. aut.) bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (art. 5 ust. 1 lit. f);
  • tzw. obowiązku rozliczalności – obowiązku zdolności wykazania wypełnienia ciążących na nim obowiązków związanych z przetwarzaniem danych osobowych (art. 5 ust. 2);

(tak, wiem, że to same ogólniki i truizmy, ale warto przez tę litanię przejść)

  • obowiązku wykazania, że w osoby, których dane osobowe są przetwarzane na podstawie zgody, taką zgodę wyraziły (art. 7 ust. 1);
  • obowiązku wdrożenia adekwatnych do (przede wszystkim) zdiagnozowanego ryzyka i standardów rynkowych środków organizacyjnych i technicznych zabezpieczających dane osobowe (art. 24 ust. 1), między innymi, w stosownych przypadkach:
    • zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b),
    • regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych (art. 32 ust. 1 lit. d);
  • obowiązku uwzględniania ochrony danych osobowych już w fazie projektowania swojej aktywności oraz stosowania tzw. domyślnej ochrony danych osobowych (art. 25 ust. 1);
  • obowiązku uwzględniania w swoich ocenach, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności biorąc pod uwagę ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych (art. 32 ust. 2).

Uff. To teraz do konkretów. 

W listopadzie 2018 r. Morele.net oraz jej klienci padli ofiarą ataku hakerskiego – początkowe doniesienia wskazywały na phishing, później do internetów miała wyciec baza danych klientów spółki. Spółka zgłosiła dwa naruszenia ochrony danych osobowych do PUODO. Szczegóły i bieg zdarzeń świetnie opisał Niebezpiecznik, także niezorientowanych z przyjemnością odsyłam

Po pierwsze – to nie jest kara „za atak”.

I bardzo ważne, abyśmy to zauważyli. Morele.net nie została ukarana za to, że padła ofiarą ataku (i w pewnym sensie sama się podłożyła, ponieważ zgłosiła sprawę do PUODO). Morele.net została ukarana za to, że:

  1. jej system bezpieczeństwa (rozumiany bardzo szeroko – zarówno jako sfera IT, jak i organizacja, czyli procedury i ludzie) nie był wystarczająco dobry, by zapobiec skutkom przeprowadzonego ataku, bądź je zminimalizować;
  2. nie wzięła pod uwagę, że w sytuacji, gdy przetwarza się dane osobowe X (tylu klientów, w takim zakresie (uwzględniając m.in. PESELE i numery dowodów osobistych), w dany sposób, to należy wdrożyć środki bezpieczeństwa rekomendowane „przez rynek” dla danych branż, rodzajów działalności (stąd w uzasadnieniu decyzji PUODO powołuje się m.in. na OWASP).

Doskonałym punktem odniesienia zza granicy może być sprawa British Airways, które w lipcu zarobiły od brytyjskiego odpowiednika PUODO 183 mln funtów kary za analogiczne naruszenia. Więcej informacji znajdziecie tutaj

Wniosek: to może być kierunek wymierzania kar za naruszenia RODO w całej UE.

Po drugie – dlaczego PUODO jako wymagany, niewdrożony przez Morele.net środek bezpieczeństwa tak mocno wskazuje dwuetapowe uwierzytelnianie i dlaczego ten argument jest trochę inwalidą?

Powodów powołania się na ten sposób uwierzytelniania zapewne jest kilka, o jednym wspomniałam powyżej – jest to pewien standard rekomendowany m.in. przez ENISA lub OWASP dla działalności takiej, jak prowadzona przez Morele.net. Jest to argument dobry i zły jednocześnie. Dobry – ponieważ autorytety zalecają stosowanie dwuetapowego uwierzytelniania, wobec czego możemy zakładać, że z wiarygodnych, profesjonalnych analiz ryzyka wynika, że jest to coś, co dobrze się sprawdza w praktyce. Zły – bo dwuetapowe uwierzytelnianie nie chroni przed phishingiem (od którego się zaczęło), a ewentualnie zminimalizuje jego skutki (trudniej przeprowadzić skuteczny atak phishingowy, gdy klient musi nam się jeszcze uwierzytelnić czymś więcej niż hasło), co kompletnie nie wynika z uzasadnienia decyzji PUODO. 

Po trzecie – wdrożenie teraz dwuetapowego uwierzytelniania wszędzie nie załatwi sprawy bezpieczeństwa danych osobowych.

Niezależnie od tego, że PUODO upodobał sobie w uzasadnieniu decyzji zarzut niewdrożenia akurat dwuetapowego uwierzytelniania, to art. 32 RODO jasno wskazuje, że katalog środków bezpieczeństwa w nim wymieniony jest wyłącznie przykładowy. Zatem dla każdego administratora, którego PUODO będzie „egzaminował”, katalog wymaganych zabezpieczeń będzie (a raczej powinien być) odmienny.

Po czwarte – czy brak monitorowania ruchu sieciowego i reagowania na anomalię w czasie rzeczywistym naprawdę jest „rażącym zaniedbaniem”?

Tutaj odpowiedź będzie analogiczna do punktu trzeciego – to zależy. To zresztą ulubiona odpowiedź prawników, ale wcale nie dlatego, że jesteśmy tak beznadziejnymi ludźmi i lawirantami. Po prostu jest to jedyna prawidłowa odpowiedź. 

Jeśli jesteś w stanie – biorąc pod uwagę specyfikę Twojej działalności, infrastrukturę, ludzi, pieniądze, którymi dysponujesz – zapewnić taki monitoring, być może jego niezapewnienie zostałoby uznane za zaniedbanie uzasadniające ukaranie. 

Uwaga: miliony pompowane „w bezpieczeństwo” także się nie będą liczyć, jeśli te inwestycje nie będą przemyślane i uzasadnione. Albo jeśli wdrożenie będzie przeprowadzane dla samego wdrożenia, „na sztukę”. Sorry.

Po piąte – co niesie za sobą nałożenie kary na Morele.net?

Poza uderzeniem spółki „po kieszeni”, w przypadku, gdy decyzja PUODO zostanie podtrzymana przez sąd, będzie ona mogła stanowić podstawę, na której osoby, których dane wyciekły z Morele.net będą mogły oprzeć swoje powództwa o odszkodowanie.

Co ważne, PUODO wskazuje, że nie ma dowodów na to, aby te osoby doznały szkody majątkowej, ale już samo naruszenie poufności danych stanowi szkodę niemajątkową (po cywilistycznemu – krzywdę). Osoby, do których danych dostęp uzyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać strach przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.

Wreszcie – jeśli mówicie, że usunęliście jakieś dane osobowe/konta użytkowników, to nie kłamcie, bo to nieładnie. I naruszacie np. obowiązek z art. 7 ust. 1 RODO. 

Dodaj komentarz

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s

Ta witryna wykorzystuje usługę Akismet aby zredukować ilość spamu. Dowiedz się w jaki sposób dane w twoich komentarzach są przetwarzane.

%d blogerów lubi to: