Ostatnia kara nałożona przez Prezesa Urzędu Ochrony Danych Osobowych („PUODO”) jest ciekawa nie tylko ze względu na jej wysokość 1.968.524,00 PLN, która już sama w sobie może zrobić wrażenie. Ciekawa jest jednak również przyczyna ukarania, tj. niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, którego wynikiem był wyciek danych w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu obejmujących 114 963 klientów.
Czytaj: Prawie 2 mln zł kary za brak zabezpieczenia danych osobowych>>
Jest to kolejna bardzo wysoka kara (po morele.net) odnosząca się do naruszenia mającego swe źródło w braku zapewnienia wystarczających mechanizmów bezpieczeństwa cybernetycznego.
Duży wyciek danych abonentów
Wprawdzie liczba osób fizycznych dotkniętych naruszeniem jest mniejsza niż w przypadku morele.net (i w tym kontekście można ewentualnie dyskutować nad zasadnością wysokości kary), jednak wyciek dotyczy dostawcy usług telekomunikacyjnych, co z kolei przenosi problem na grunt ustawy Prawo telekomunikacyjne, która zawiera dodatkowe wymogi dotyczące bezpieczeństwa i integralności sieci i usług telekomunikacyjnych, w tym w zakresie danych osobowych. Naruszenie podlegające badaniu PUODO ma charakter wielowymiarowy i dotyczy wielu przepisów prawa.
Warto zwrócić uwagę również na to, jakich danych dotyczy wyciek. Otóż w decyzji PUODO jest mowa o abonentach usługi przedpłaconej. Dla abonentów usług przedpłaconych, którzy zawarli umowę przed dniem wejścia w życie ustawy z 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz. U. z 2016 r., poz. 904), to jest przed 2 lipca 2016 r., obowiązek abonenta podania dostawcy usługi swoich danych osobowych wprowadził art. 60 tejże ustawy. Można przewrotnie twierdzić, że gdyby nie ów obowiązek, to nie doszłoby do naruszenia. Z drugiej jednak strony nagminne wykorzystywanie w przeszłości przez przestępców numerów przedpłaconych dobrze uzasadnia istnienie tego obowiązku.
Potrzebne skomplikowane zabezpieczenia
Oczywiście nie można poszukiwać usprawiedliwienia w sytuacji opisanej w decyzji PUODO, jednak na naruszenie miał z pewnością wpływ stopień skomplikowania systemów informatycznych wykorzystywanych do przetwarzania danych osobowych (tutaj danych osobowych abonentów usług przedpłaconych), wielość producentów tych systemów i podmiotów je utrzymujących. Według decyzji PUODO, dostawca usług telekomunikacyjnych mógł zaniedbać stosowania podstaw dotyczących bezpieczeństwa systemów informatycznych, tj. testowania, mierzenia i oceniania skuteczności stosowanych rozwiązań, co przy takiej liczbie systemów i zewnętrznych podmiotów zaangażowanych w przetwarzanie danych może być oceniane negatywnie. Z drugiej strony tego typu podejście jest niestety standardem w wielu przypadkach. Cyberbezpieczeństwo nadal pozostaje niedoceniane.