Środki techniczne i organizacyjne – spojrzenie na stanowisko Prezesa UODO

0
(0)

Dobór odpowiednich środków bezpieczeństwa dokonywany przez administratora danych osobowych nie należy do najłatwiejszych i często stanowi główne źródło problemów w firmie, gdyż metody zabezpieczenia danych każdorazowo powinny być dobierane do indywidualnych potrzeb przedsiębiorcy.

Kluczowe znaczenie analizy ryzyka

Na wstępie należy podkreślić, że odpowiedzialność administratora nie ma charakteru absolutnego. Wynika to z faktu, że ten nawet wprowadzając adekwatne środki bezpieczeństwa, to nie zawsze uniemożliwi to naruszeniu ochrony danych osobowych, dlatego przedsiębiorca nie powinien być za to karany.

Dobór właściwych środków winien uwzględniać ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Kluczowe jest zatem przeprowadzenie analizy ryzyka, która pomoże przedsiębiorcy w podjęciu decyzji co do zastosowania danych środków. Oczywistym jest bowiem, że inne środki podejmie bank, szpital, sklep e-commerce, a inne samozatrudniony stale współpracujący z software housem.

Sądy administracyjne niejednokrotnie wskazywały, że administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Powyższe tylko potwierdza kluczową rolę prawidłowo przeprowadzonej analizy ryzyka.

Warto aktualizować oprogramowanie

To stwierdzenie może zdawać się truizmem, ale nie bez powodu jest stale powtarzane podczas audytów bezpieczeństwa w firmach. Odkładanie w czasie aktualizacji oprogramowania lub korzystanie z oprogramowania, które nie jest już wspierane przez producenta, może prowadzić do poważnych konsekwencji. Takie nieakceptowalne sytuacje wciąż niejednokrotnie się zdarzają, o czym świadczą wydane przez PUODO decyzje administracyjne.

W decyzji administracyjnej z dnia 23 czerwca 2022 r., sygn. DKN.5131.11.2022, wskazano, że:„Administrator nie przewidział jednak zastępowania systemów operacyjnych ani innych systemów wykorzystywanych do przetwarzania danych osobowych, które utraciły już wsparcia ich producenta, systemami, które takie wsparcie posiadają z dokonanych ustaleń wynika, że to właśnie poprzez nieposiadający wsparcia producenta system operacyjny urządzenia służącego do wydawania kluczy (e-dozorca), tj.[…], nastąpiło przełamanie zabezpieczeń przez złośliwe oprogramowanie”.

Z kolei w decyzji administracyjnej z dnia 11 stycznia 2021 r., sygn. DKN.5130.2815.2020, wskazano, że: „(…) stwierdzono, że do pracy wykorzystywano system operacyjny E, dla którego zgodnie z informacją podaną na stronie producenta termin wsparcia technicznego zakończył się […] stycznia 2020 r. (https:// […]) oraz system baz danych B, dla którego wsparcie techniczne zakończono […] lipca 2019 r. (https:// […]). Oznacza to, że od tego momentu zgodnie z informacjami podanymi przez producenta oprogramowania dla ww. systemów nie były wydawane aktualizacje oprogramowania oraz aktualizacje zabezpieczeń i poprawek. Wobec braku zastosowania przez administratora danych innych środków technicznych i organizacyjnych mających na celu zminimalizowanie ryzyka naruszenia bezpieczeństwa danych w związku z zakończeniem wsparcia przez producenta oprogramowania używanego przez Spółkę do przetwarzania danych osobowych, stwierdzić należy, że Spółka nie zapewniła odpowiedniego zabezpieczenia danych przetwarzanych przy ich użyciu”.

Pamiętaj!

Podstawą bezpieczeństwa zawsze będzie używanie aktualnego oprogramowania dla wszystkich elementów infrastruktury teleinformatycznej.

Standard przy dostępie do baz danych – czyli wieloskładnikowe uwierzytelnianie

fot. freepik.com

Warto w tym miejscu przypomnieć decyzję z dnia 10 września 2019 r., sygn. ZSPR.421.2.2019, dotycząca spółki Morele, która co prawda została uchylona przez NSA, jednak bez wątpienia zawarte w niej tezy odnoszące się do adekwatnego standardu bezpieczeństwa pozostają aktualne.

Była to bowiem pierwsze decyzja, w której PUODO wprost wskazał, jaki punkt odniesienia należy przyjąć w kontekście doboru adekwatnych środków bezpieczeństwa, ale również jak należy ograniczyć dostęp do baz danych, w których przetwarzane są dane osobowe. Przedstawiając środki bezpieczeństwa oczami PUODO, nie można pominąć tej decyzji, która jawi się jako kanon.

Z decyzji tej wynika m.in., że „kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na którą wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06.”

Natomiast Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) w swoich wytycznych dotyczących bezpieczeństwa przetwarzania danych osobowych wydanych w 2016 r.[1] z uwzględnieniem ww. normy (w wersji z 2013 r.) oraz przepisów rozporządzenia 2016/679, w ramach kontroli dostępu i uwierzytelniania rekomenduje stosowanie mechanizmu uwierzytelnia dwuetapowego dla systemów obejmujących dostęp do danych osobowych.

Zatem nie ulega wątpliwości, że administratorzy danych osobowych powinni stosować lub co najmniej rozważyć stosowanie dwuskładnikowego uwierzytelniania również w przypadkach takich jak: logowanie do poczty służbowej, logowanie do wewnętrznych komunikatorów, umożliwienie swoim użytkownikom dwuskładnikowego uwierzytelnienia do kont w podmiotach e-commerce.

Hasło – zmieniać czy nie zmieniać?

W decyzji z 9 grudnia 2021 r., sygn. DKN.5130.2559.2020, Prezes Urzędu Ochrony Danych osobowych stwierdził, że: „Zastosowanie funkcji skrótu opartej na algorytmie MD5 (bez dodatkowych technik zabezpieczających) oraz ograniczenie złożoności zabezpieczanego w ten sposób hasła (…) stanowi niewystarczający środek techniczny, co stanowi o naruszeniu art. 32 ust. 1 rozporządzenia 2016/679. Słabość algorytmu MD5 jest powszechnie znana, a jego stosowanie w obecnych systemach teleinformatycznych niezalecane. Dodatkowo, mimo stosowania złożoności hasła w ww. zakresie, zastosowany algorytm wpływa na obniżenie czasochłonności uzyskania pierwotnej treści hasła.” Korzystanie z tego typu funkcji jest zatem obarczone dużym ryzykiem.

Warto także przytoczyć rekomendacje CERT Polska dotyczące zasad uwierzytelniania użytkownika. Zawierają one m.in. rekomendacje stosowania bezpiecznego algorytmu hashującego do przechowywania haseł (np. Argon2, Bcrypt), brak wymuszania okresowej zmiany haseł użytkowników (chyba że zachodzi podejrzenie, że aktualne hasło zostało przejęte lub upublicznione), minimalną długość hasła na co najmniej 12 znaków, zalecenie wsparcia dla uwierzytelnienia dwuskładnikowego oraz wyświetlenie użytkownikowi wskaźnika szacującego siłę nowo tworzonego hasła.

Logi i ich monitorowanie

Logi umożliwiają ustalenie tego, jakie działania nastąpiły w systemie informatycznym, a przede wszystkim to, który użytkownik wykonał daną akcję, jednak po stronie przedsiębiorców rodzą pytania dotyczące zasad ich zbierania oraz okresu ich przechowywania.

W tym kontekście pewną wskazówką może być decyzja z dnia 9 grudnia 2021 r., sygn. DKN.5130.2559.2020, gdzie istota problemu leżała w fakcie, że przedsiębiorca nie tylko nie monitorował logów, ale także przechowywał je przez zbyt krótki czas. Wyprowadzanie uniwersalnych, daleko idących wniosków, na kanwie opisanej sprawy byłoby zbyt dalekim uproszczeniem, niemniej jednak odnotować należy, że z decyzji wynika konieczność przeprowadzenia wnikliwej analizy zasadności przechowywania logów przez okres dłuższy niż 4 tygodnie.

Nie znajdziemy w przepisach RODO kanonu środków bezpieczeństwa. Nie wynika z nich ani wprost, ani bezpośrednio obowiązek szkolenia własnych pracowników. Taki obowiązek jednak istnieje, a wyprowadzić go można z ogólnych obowiązków administratorów, co potwierdza praktyka orzecznicza.

Szkolenie, a może jeszcze testowanie?

fot. freepik.com

Potwierdzenie powyższego znaleźć można w decyzji PUODO z 1 czerwca 2022 r., sygn. DKN.5131.2.2022, gdzie wskazano, iż „Przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi bowiem być realizowane w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem”.

Organ nadzorczy nie tylko potwierdził, że szkolenie jest istotnym środkiem zwiększającym bezpieczeństwo przetwarzanych danych, ale także podkreślił konieczność podejmowania w tym zakresie cyklicznych działań.

Potwierdzenie powyższego znaleźć można w decyzji PUODO z 1 czerwca 2022 r., sygn. DKN.5131.2.2022, gdzie wskazano, iż „Przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi bowiem być realizowane
w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem
”. Organ nadzorczy nie tylko potwierdził, że szkolenie jest istotnym środkiem zwiększającym bezpieczeństwo przetwarzanych danych, ale także podkreślił konieczność podejmowania w tym zakresie cyklicznych działań.

Interesujący wniosek płynie również z decyzji PUODO z dnia 9 grudnia 2021 r., sygn. DKN.5130.2559.2020, w której stwierdzono, że: „Nie można bowiem uzasadniać wskazywanych zabezpieczeń jako adekwatnych do ryzyka, wskazując na scenariusz działania sprawcy wykraczający poza schemat przyjęty w ocenie ryzyka, nie przedstawiając ku temu żadnych dowodów (analiza ryzyka). Trudno mówić o przyjmowaniu pewnych założeń dotyczących zagrożeń, nie przeprowadzając pełnego formalnego audytu systemu, w tym testów penetracyjnych, nie mając tym samym świadomości, jakie możliwości ma osoba uzyskująca nieuprawniony dostęp do systemu informatycznego.” Organ zasugerował bowiem, że w pewnych przypadkach przeprowadzenie testów penetracyjnych nie powinno być traktowane w kategoriach zbędnego kosztu, a wręcz powinno mieć charakter obowiązkowy.

Wnioski

Dotychczasowa praktyka orzecznicza Prezesa Urzędu Ochrony Danych Osobowych stanowi bogate źródło wiedzy o środkach bezpieczeństwa, które w dużej mierze mają lub mogą mieć charakter uniwersalny. Oznacza to, że ich wdrożenie powinno być dla organizacji, w danym kontekście przetwarzania danych, w zasadzie obowiązkowe. Wspomniane w niniejszym artykule środki bezpieczeństwa należy traktować za swoisty standard.

Pozostałe źródła:

* Wyrok NSA z dnia 9 lutego 2023 r., sygn. akt III OSK 3945/21 w sprawie Morele czy wyrok WSA w Warszawie w sprawie Virgin Mobile (II SA/Wa 272/21 – Wyrok WSA w Warszawie, po odwołaniu P4 jest kolejny wyrok (z 21 czerwca 2023 r. – sygn. akt. II SA/Wa 150/23));

* Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 września 2020 r., sygn.  II SA/Wa 2559/19; po odwołaniu skarżącego jest wyrok NSA III OSK 3945/21)

* Poradnik dotyczący bezpieczeństwa przetwarzania danych osobowych, ENISA, styczeń 2018

* Użyte zdjęcia i grafiki: zgodnie z warunkami licencji portalu freepik.com lub freerangestock.com

Maciej Bednarek

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Add a Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *