Brytyjski organ ochrony danych osobowych (Information Commisioner’s Officer, dalej ICO) konsekwentnie nakłada kary finansowe za naruszenia ochrony danych. Na podstawie informacji o wydanych decyzjach możemy zaobserwować za jakiego rodzaju naruszenia są nakładane kary finansowe przez ICO. Polscy administratorzy danych powinni z uwagą śledzić działalność brytyjskiego organu ochrony danych w zakresie wydawanych decyzji, aby przygotować się na podobne działania Generalnego Inspektora Ochrony Danych Osobowych.
Czego możemy się uczyć na błędach popełnionych w Wielkiej Brytanii?
Ostatnio ICO nałożył karę finansową w wysokości 70 tysięcy funtów na London Borough of Islington (podmiot administracji publicznej). Aplikacja wykorzystywana przez podmiot umożliwiała użytkownikowi zalogowanie się do aplikacji przez wprowadzenie numerów rejestracyjnych pojazdu (tzw. „VRN”) oraz numeru mandatu po to, aby zobaczyć zebrane przez kontrolerów dowody w postaci zdjęć lub nagrań wideo z kamer monitoringu będące podstawą wystawienia mandatu.
Użytkownik, który chciał się odwołać od nałożonego mandatu mógł przesłać odpowiedź mailem lub tradycyjną pocztą. Odpowiedź mogła zawierać szczegółowe informacje, jak np. dane adresowe, dane o stanie zdrowia, czy też dane finansowe. Odwołania były skanowane i dodawane jako załączniki do sprawy w systemie informatycznym. Każdy użytkownik miał swój własny katalog z zeskanowanymi plikami.
Dostęp do danych innych użytkowników przez osoby nieupoważnione był możliwy przez prostą modyfikację adresu URL ze ścieżką do plików. Praktycznie każdy na kogo został nałożony mandat za nieprawidłowe parkowanie mógł dostać się do danych osób trzecich.
Jak uniknąć tego typu błędów w przyszłości?
Dostęp do danych przez modyfikację parametrów w adresie URL jest stosunkowo częstym błędem w aplikacjach webowych. Incydent był możliwy do uniknięcia przez podjęcie odpowiednich kroków przez oddaniem aplikacji do użytku produkcyjnego. W zakres działań prewencyjnych może wejść przeprowadzenie testów manualnych, gdzie tester ręcznie będzie modyfikował adresy URL w celu wykrycia błędu lub testów automatycznych, które wykryłyby tego typu błąd na środowisku lokalnym lub testowym programistów.
Jak w praktyce może wyglądać taki błąd? Przykładowo dla adresu example.com/file/500 użytkownik mógłby podjąć próbę zmiany wartości z „500” na inną wartość „400” np. example.com/file/400. W sytuacji, gdy nie ma zaimplementowanych odpowiednich mechanizmów ograniczających dostęp do plików (lub jakichkolwiek danych), osoba trzecia może uzyskać dostęp do danych innych użytkowników tego systemu.
Czy po rozpoczęciu stosowania rodo polski organ ochrony danych również będzie mógł nakładać wysokie kary za naruszenia jak opisane w artykule?
Generalny Inspektor Ochrony Danych osobowych obecnie nie ma narzędzi, które umożliwiłyby mu w sposób bezpośredni nałożenie kar finansowych. Dopiero sąd administracyjny ma możliwość nałożenia administracyjnej kary pieniężnej w celu przymuszenia administratora danych do wykonania decyzji GIODO.
Od dnia 25 maja 2018 r. wraz rozpoczęciem stosowania przepisów ogólnego rozporządzenia o ochronie danych na mocy art. 83 organy ochrony danych będą uprawnione do nakładania administracyjnych kar pieniężnych w wysokości do 10 000 000 EUR lub do 20 000 000 EUR w zależności od typu naruszenia.
RODO nie przewiduje konkretnych kwot za naruszenia ochrony danych. W zależności od naruszenia organ ochrony danych będzie miarkował wysokość kary na podstawie przesłanek z art. 83 ust. 2 rodo. W przyszłości, gdy organ ochrony danych zostanie wyposażony w mechanizmy nakładania kar finansowych w zakresie naruszeń ochrony danych, miarkując wysokość kary może wzorować się na decyzjach brytyjskiego ICO.
Popełnienie prostych błędów bezpieczeństwa, np. SQL Injection, Enumeracja, czy Web Parameter Tampering może zakończyć się tym, że organ ochrony danych nałoży karę finansową za choćby nieumyślne naruszenie przepisów o ochronie danych. Wysokość kary finansowej może stanowić znaczną dolegliwość dla polskich administratorów danych. Wobec powyższego, administratorzy danych będą musieli kłaść znacznie większy nacisk na testowanie oprogramowania i kształcenie programistów w obszarze bezpieczeństwa IT.
