Z uzasadnienia decyzji wynika, że jedną z przyczyn nałożenia kary stanowił brak zapewnienia odpowiednich środków technicznych w zakresie kontroli dostępu i uwierzytelniania. PUODO powołał się na stanowiska wyspecjalizowanych instytucji zajmujących się kwestiami bezpieczeństwa, w tym Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji (w skrócie - ENISA), które zalecają stosowanie uwierzytelnia wieloetapowego dla systemów obejmujących dostęp do danych osobowych. Powyższe rekomendacje wynikają min. z wysokiego ryzyka przełamania powszechnie stosowanych jednoetapowych środków zabezpieczenia.

Decyzja PUODO o nałożeniu kary zbiegła się w czasie z wejściem w życie zmian przepisów ustawy o usługach płatniczych (art. 32i ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych), wynikających z implementacji do polskiego prawa wymagań dyrektywy PSD2 w zakresie stosowania silnego uwierzytelniania użytkownika. Sektor finansowy należy do jednego z najbardziej innowacyjnych i zarazem podlegających rygorystycznym regulacjom.

Ponieważ implementacja dyrektywy PSD2 wiązała się także z koniecznością rozszerzenia katalogu podmiotów mających dostęp do rachunków płatniczych, specjalnie w tym celu został opracowany dedykowany interfejs (PolishAPI). Ostatnie zmiany ustawy o usługach płatniczych wprowadziły obowiązek stosowania co najmniej dwuskładnikowego weryfikowania tożsamości użytkownika w przypadku min. inicjowania elektronicznej transakcji płatniczej (zlecania przelewu przez Internet), czy uzyskiwania dostępu do rachunku w trybie on-line. Chociaż obowiązek silnego uwierzytelniania dotyczy wyłącznie określonej grupy podmiotów (min. banki), ze względu na ostatnie stanowisko PUODO, może stanowić przyczynek do podjęcia ogólnej dyskusji na temat metod zapewnienia bezpieczeństwa i kontroli danych (min. dotyczących klientów sklepów internetowych, serwisów aukcyjnych), zwłaszcza w przypadku udzielania dostępu do aplikacji bądź serwisów, przy pomocy których przetwarzane są dane osobowe. Podmioty działające w obszarach szczegółowo regulowanych mogą liczyć na wskazówki i wytyczne od organów nadzoru. Inni pozostają zdani na własne rozeznanie i wnioski wynikające z uzasadnień decyzji PUODO.

Wymaga podkreślenia, że konieczność stosowania odpowiednich zabezpieczeń systemów informatycznych nie wynika wyłącznie ze stanowiska PUODO i organizacji międzynarodowych. Zgodnie z zasadą wyrażoną w art. 5 ust. 1 lit f RODO, sposób przetwarzania danych osobowych powinien zapewnić integralność oraz poufność, przez co rozumieć należy obowiązek przetwarzania danych osobowych w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Odpowiedni poziom zabezpieczeń należy zapewnić poprzez wprowadzenie min. prawidłowo dobranych środków technicznych w zakresie kontroli dostępu i weryfikacji tożsamości. W tym celu RODO nakłada na administratora danych obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, przy czym w określonych sytuacjach decyzję odnośnie planowanych rozwiązań należy poprzedzić dokonaniem oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (art. 35 RODO). Zastosowane metody w razie potrzeby powinny być poddawane przeglądom i uaktualniane (art. 24 ust. 1 RODO). W ocenie PUODO do środków zapewniających odpowiedni stopień bezpieczeństwa należy zaliczyć min. dwuetapowe uwierzytelnianie.

Obowiązki wynikające RODO dotyczą zarówno podmiotów prywatnych (np. sklepy internetowe, platformy aukcyjne, aplikacje mobilne), jak również podmiotów publicznych (np. ministerstwa, urzędy centralne, itp.). Przy czym warto zaznaczyć, że nie tylko przedsiębiorcy miewają problemy z prawidłową realizacją wymagań. Jako przykład można wskazać sytuację związaną ze świadczoną przez Ministerstwo Finansów usługą „Twój e-PIT”, gdzie wystąpił problem z uwierzytelnianiem podatnika. Osoby, które posiadały informacje wymagane przy uwierzytelnieniu miały mieć możliwość dostępu do danych podatnika (np. danych o zarobkach).

W ostatnich dniach media podały, że dziennikarz portalu trojmiasto.pl wykazał wady systemu informatycznego aktualnie stosowanego w Gdańsku przy głosowaniu nad projektami w budżecie obywatelskim. System informatyczny używany przez miasto Gdańsk nie weryfikował powiązania numeru PESEL z faktycznym jego posiadaczem. Według relacji chcąc oddać głos w budżecie obywatelskim można było wprowadzić dowolny numer PESEL i wymyślone dane głosującego. Wprowadzenie losowo wybranych numerów PESEL umożliwiało zagłosowanie w imieniu przypadkowych osób, w dodatku używając jednego numeru telefonu, czego system nie był w stanie wychwycić. 

Brak odpowiednich rozwiązań w przypadku dojścia do naruszenia zasad przetwarzania danych osobowych może skutkować nałożeniem sankcji w postaci wysokich kar administracyjnych oraz odpowiedzialnością odszkodowawczą w stosunku do osób, których dotkną potencjalnie negatywne skutki naruszenia. Dla uniknięcia negatywnych konsekwencji nie wystarczy jednak stosowanie dwuetapowego uwierzytelnienia. Obecnie funkcjonuje kilka opcji uwierzytelniania dwuskładnikowego. Powszechną metodą jest wysłanie kodu SMS-em. Ten sposób jest nadal wykorzystywany przez banki podczas logowania on-line. Wiadomości SMS stanowią jednak częsty obiekt ataków oszustów. Powszechnie występujące metody oszustw stanowią „phishing” (wykorzystana w przypadki klientów Morele.net sp. z o.o.) i „spoofing”, używane w celu wyłudzenia informacji (w tym danych logowania, np. kodu SMS, loginu). Zasadniczo polegają na podszywaniu się pod inną osobę lub instytucję. Podobnie adresy e-mail i hasła także nie dają gwarancji bezpieczeństwa, gdyż są stosunkowo łatwe do złamania.

Osiągniecie wysokiego bezpieczeństwa przetwarzanych danych zależy od kompleksowych rozwiązań, w tym doboru technologii. Dlatego coraz częściej mówi się o projektach opartych na technologii blockchain. Oczywiście każda technologia posiada mankamenty, niemniej jednak technologia blockchain jest oceniana jako jedna z najbezpieczniejszych. O technologii blockchain w Polsce głośno stało się stosunkowo niedawno, chociaż po raz pierwszy została zastosowana już ponad dziewięć lat temu w projekcie o nazwie Bitcoin. Z tego względu wciąż bywa kojarzona głownie z kryptowalutami. Obecnie podkreśla się zalety jej zastosowania również w obszarze cyberbezpieczeństwa. Technologia blockchain jest rodzajem rozproszonej sieci komputerowej, w której przypadku nie występuje centralny węzeł (serwer), gdyż wykorzystuje sieć peer-to-peer. Występują wspólne rejestry transakcji rozproszonej po całej sieci, w takich samych kopiach, stanowiący zbiór wszystkich zrealizowanych transakcji. To rozwiązanie daje blockchainom przewagę nad tradycyjnie używanymi sieciami scentralizowanymi, gdyż w praktyce kompromitacja danych staje się o wiele trudniejsza. Haker musiałby bowiem jednocześnie dokonać ataku na wiele kopii transakcji, a nie tylko na jeden serwer (jak w przypadku sieci scentralizowanych). Za główne zalety blockchain uważane są również: jawność i transparentność. Zastosowane rozwiązania kryptograficzne (w tym podpisy cyfrowe, szyfrowanie, znakowanie czasem), przyczyniają się do powstania relatywnie bezpiecznego sposób przechowywania i zarządzania informacją.

Wskazuje się na duży potencjał wykorzystania blockchain przy zabezpieczeniu danych zbieranych przez urządzenia Internetu Rzeczy. Takie rozwiązania wprowadziły min. IBM, czy zagraniczne firmy telekomunikacyjne. Aktualnie prowadzone są także prace nad rozwiązaniami wykorzystującymi bazy danych oparte na blockchainie, co ma wspomóc zabezpieczanie danych przed ich utratą w drodze ataków jak phishing, czy spoofing. Implementacja tej technologii może także wpłynąć na zmianę w sposobie uwierzytelniania użytkowników usług internetowych przy zastosowaniu opartego na kryptografii klucza publicznego i prywatnego. Oparty na kryptografii proces uwierzytelniania może umożliwić bezpieczną identyfikację użytkowników.

Artur Piechocki - radca prawny, partner zarządzający w kancelarii APLaw

Katarzyna Gorzkowska - prawnik w kancelarii APLaw