Z uzasadnienia decyzji wynika, że jedną z przyczyn nałożenia kary stanowił brak zapewnienia odpowiednich środków technicznych w zakresie kontroli dostępu i uwierzytelniania. PUODO powołał się na stanowiska wyspecjalizowanych instytucji zajmujących się kwestiami bezpieczeństwa, w tym Europejskiej Agencji do spraw Bezpieczeństwa Sieci i Informacji (w skrócie – ENISA), które zalecają stosowanie uwierzytelnia wieloetapowego dla systemów obejmujących dostęp do danych osobowych. Powyższe rekomendacje wynikają min. z wysokiego ryzyka przełamania powszechnie stosowanych jednoetapowych środków zabezpieczenia.
Decyzja PUODO o nałożeniu kary zbiegła się w czasie z wejściem w życie zmian przepisów ustawy o usługach płatniczych (art. 32i ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych), wynikających z implementacji do polskiego prawa wymagań dyrektywy PSD2 w zakresie stosowania silnego uwierzytelniania użytkownika. Sektor finansowy należy do jednego z najbardziej innowacyjnych i zarazem podlegających rygorystycznym regulacjom.
Ponieważ implementacja dyrektywy PSD2 wiązała się także z koniecznością rozszerzenia katalogu podmiotów mających dostęp do rachunków płatniczych, specjalnie w tym celu został opracowany dedykowany interfejs (PolishAPI). Ostatnie zmiany ustawy o usługach płatniczych wprowadziły obowiązek stosowania co najmniej dwuskładnikowego weryfikowania tożsamości użytkownika w przypadku min. inicjowania elektronicznej płatniczej (zlecania przez Internet), czy uzyskiwania dostępu do rachunku w trybie on-line. Chociaż obowiązek silnego uwierzytelniania dotyczy wyłącznie określonej grupy podmiotów (min. banki), ze względu na ostatnie stanowisko PUODO, może stanowić przyczynek do podjęcia ogólnej dyskusji na temat metod zapewnienia bezpieczeństwa i kontroli danych (min. dotyczących klientów sklepów internetowych, serwisów aukcyjnych), zwłaszcza w przypadku udzielania dostępu do aplikacji bądź serwisów, przy pomocy których przetwarzane są dane osobowe. Podmioty działające w obszarach szczegółowo regulowanych mogą liczyć na wskazówki i wytyczne od organów nadzoru. Inni pozostają zdani na własne rozeznanie i wnioski wynikające z uzasadnień decyzji PUODO.
zobacz także:
Wymaga podkreślenia, że konieczność stosowania odpowiednich zabezpieczeń systemów informatycznych nie wynika wyłącznie ze stanowiska PUODO i organizacji międzynarodowych. Zgodnie z zasadą wyrażoną w art. 5 ust. 1 lit f , sposób przetwarzania danych osobowych powinien zapewnić integralność oraz poufność, przez co rozumieć należy obowiązek przetwarzania danych osobowych w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Odpowiedni poziom zabezpieczeń należy zapewnić poprzez wprowadzenie min. prawidłowo dobranych środków technicznych w zakresie kontroli dostępu i weryfikacji tożsamości. W tym celu RODO nakłada na administratora danych obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, przy czym w określonych sytuacjach decyzję odnośnie planowanych rozwiązań należy poprzedzić dokonaniem oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (art. 35 RODO). … czytaj dalej
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS