Kara RODO Włochy

R

ousseau, internetowa platforma konsultacji wyborców, z której korzysta włoska partia polityczna 5 Star Movement, została ukarana grzywną w wysokości 50 000 EUR za narażenie danych użytkowników na atak, niestety taka kara RODO została nałożona.

Włoski organ ochrony danych, znany jako „Garante”, wydał 4 kwietnia karę pieniężną przeciwko Rousseau za naruszenie art. 32 RODO. To nie pierwszy raz, kiedy Rousseau ucieka przed Garante. Włoski organ ochrony danych przedstawił platformie serię zaleceń w grudniu 2017 r. (W języku włoskim) w celu usunięcia swoich słabych punktów, a w 2018 r. Nałożył na nią karę pieniężną w wysokości 32 000 EUR za obawy, że nielegalnie udostępnia dane członków stronom trzecim. Chociaż władze przyznają, że bezpieczeństwo przetwarzania danych Rousseau uległo poprawie, nadal nie jest ono zgodne ze standardami RODO, co doprowadziło do ostatniej kary.

Kara RODO – kolejne naruszenia

Dwa pozostałe naruszenia Rousseau polegały na braku odpowiedniej anonimizacji danych dotyczących głosowania elektronicznego i regulacji dostępu do danych osobowych na platformie. Garante stwierdził, że niewielka grupa osób ze Stowarzyszenia Rousseau i Ruchu 5 Gwiazd może uzyskać dostęp do platformy i jej danych (w tym wrażliwych danych osobowych, takich jak preferencje polityczne) bez pozostawiania śladu. W pkt 4.2 władze napisały, że:

-współdzielenie poświadczeń uwierzytelnienia przez kilku pracowników posiadających wysokie uprawnienia do zarządzania platformą Rousseau oraz [a] brak zdefiniowania i skonfigurowania różnych profili autoryzacji w celu ograniczenia dostępu tylko do danych niezbędnych w różnych obszarach działalności, które w poprzedni system prawny został zakwalifikowany, jako minimalne środki bezpieczeństwa dla administratorów danych… Jest zatem oczywiste, że nieprzyjęcie takich środków i, przeciwnie, udostępnianie poświadczeń uwierzytelnienia podmiotom uprawnionym do zarządzania platformą stanowi naruszenie.

Bezpieczeństwo przetwarzania danych osobowych

Artykuł 32 omawia minimalne standardy bezpieczeństwa, które muszą spełniać administratorzy danych i podmioty przetwarzające dane. Wymaga, aby organizacje stosowały zarówno zabezpieczenia techniczne, jak i procesy administracyjne, aby „zapewnić poziom bezpieczeństwa odpowiedni do ryzyka”. Wymienia cztery konkretne środki, które firmy powinny wdrożyć:

-Chroń dane za pomocą pseudonimizacji i szyfrowania – Kompleksowe usługi szyfrowane są szczególnie skuteczne w celu osiągnięcia wymaganego poziomu bezpieczeństwa RODO.

-Zapewnij ciągłą poufność, integralność, dostępność i odporność systemów i usług przetwarzania – Firmy muszą aktualizować całe swoje oprogramowanie i aplikacje oraz usuwać znane im wady.

-Być w stanie przywrócić dane osobowe w przypadku zdarzenia fizycznego lub technicznego – Zasadniczo firmy muszą mieć kopie zapasowe danych osobowych swoich użytkowników.

-Regularnie testuj, oceniaj i oceniaj skuteczność technicznych i organizacyjnych środków bezpieczeństwa – Firmy muszą nieustannie testować swoje bezpieczeństwo IT, gdy pojawiają się nowe i różne luki w zabezpieczeniach.

Rousseau rzeczywiście wykonał poważną robotę, spełniając zalecenia Garante dotyczące tych czterech czynników. Jednak fakt, że pozwolili swoim pracownikom i członkom partii 5-Gwiazdkowego Ruchu na wymianę danych uwierzytelniających, uniemożliwił Rousseau zastosowanie się do art. 32 sekcji 4, który wymaga, aby „Administrator i podmiot przetwarzający podjęli kroki w celu zapewnienia, że ​​każda osoba fizyczna działająca pod nadzorem administratora lub podmiotu przetwarzającego, który ma dostęp do danych osobowych, nie przetwarza ich, chyba że na polecenie administratora. ”

RODO stawia wiele wymagań przedsiębiorstwom, ale dzięki proaktywności i staraniom można osiągnąć zgodność z RODO np. za pomocą programu RODO. Nasza lista kontrolna RODO i nasz przegląd prawa to świetne miejsca na rozpoczęcie.

Bezpieczeństwo danych i zgodność z RODO

Firmy mogą uniknąć tego rodzaju grzywien RODO, uniemożliwiając pracownikom udostępnianie danych uwierzytelniających. Kolejnym byłoby dodanie dodatkowego szyfrowania do wrażliwych danych. Może to również pomóc w anonimizacji danych dotyczących głosowania elektronicznego. Rousseau ze swojej strony twierdzi, że planuje zastosować technologię blockchain, aby rozwiązać problemy wskazane przez Garante.

RODO stworzyło wyższe oczekiwania w zakresie bezpieczeństwa danych osobowych przetwarzanych przez organizacje. Wymaga od organizacji korzystania z zaawansowanego szyfrowania, ograniczenia dostępu pracowników do danych osobowych potrzebnych do wykonywania pracy oraz regularnej oceny ogólnego bezpieczeństwa. Kara przeciwko Rousseau pokazuje również, że podmioty przetwarzające dane mogą być szczególnie odpowiedzialne za zgodność z RODO w zakresie bezpieczeństwa danych. W tym przypadku 5-Gwiazdkowy Ruch był administratorem danych, a Rousseau przetwarzał dane, ale partia uniknęła jakichkolwiek sankcji. Dlatego, aby uniknąć grzywien RODO, podmioty przetwarzające dane muszą również zachować ostrożność, aby spełnić oczekiwania określone w art. 32. Kolejnym naruszeniem RODO jest problem z anonimizacją danych.