Sprawdź, czy nie narażasz się na karę za nieprzestrzeganie RODO

Zgubiony pendrive, atak ransomware a może po prostu kradzież dokumentów? Jakie zagrożenia w erze cyfrowej skutkowały naruszeniem RODO i karą pieniężną w 2023 r.?

 
Poniżej przestawiam opis naruszeń danych osobowych, które stały się przedmiotem decyzji Prezesa UODO w 2023 r. Warto pamiętać, iż wysokość administracyjnej kary pieniężnej za naruszenie RODO jest kwestią indywidulaną i zależy m.in. od wagi i czasu trwania naruszenia, liczby poszkodowanych osób, stopnia współpracy z organem nadzorczym, wcześniejszych naruszeń.

1. Zagubione nośniki danych typu pendrive

W Sądzie Rejonowym zagubione zostały trzy nośniki danych typu pendrive: jeden służbowy - szyfrowany oraz dwa prywatne – nieszyfrowane. Co istotne, Administrator nie wdrożył blokady portów USB celem uniemożliwienia korzystania z prywatnych nośników danych.

Analogicznego naruszenia dopuścił się Rzecznik Dyscyplinarny Izby Adwokackiej. Doszło bowiem do uszkodzenia przesyłki i utraty zewnętrznego nośnika danych (pendrive). Nośnik zawierał nagranie rozprawy rozwodowej. Pendrive oraz plik, znajdujący się na zagubionym nośniku, nie zostały zaszyfrowane.

Do podobnego incydentu doszło w Urzędzie Miasta i Gminy. Pracownik Urzędu przekopiował na prywatny nośnik dane osobowe z komputera służbowego.

Stwierdzone przez Prezesa UODO naruszenie:

• niewdrożenie przez Administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci.

Administracyjna kara pieniężna:

30.000 zł (Sąd Rejonowy), 23 580 zł (Rzecznik Dyscyplinarny Izby Adwokackiej), 10 000 zł (Burmistrz Miast i Gminy)

W tego typu sprawach nie wystarczy, aby Administrator posiadał odpowiednie zapisy w dokumentach (np. zakaz użytkowania prywatnych nośników danych ujęty w polityce czy procedurze). Aby uniknąć naruszeń, należy przeprowadzić analizę ryzyka związanego z wykorzystywaniem przez pracowników sprzętu komputerowego, umożliwiającego podłączenie pamięci USB. Prawidłowo przeprowadzona analiza ryzyka pozwoli dobrać adekwatne zabezpieczenia techniczne i organizacyjne. Komputery służbowe należy zabezpieczyć przed możliwością skopiowania danych osobowych na prywatne nośniki pamięci. Pracownicy powinni używać wyłącznie służbowych, szyfrowanych nośników. Warto również szyfrować pliki. Prezes UODO, w razie naruszenia, zwróci również uwagę na cykliczne szkolenie pracowników.

2. Kradzież dokumentacji

W wyniku włamania do mieszkania doszło do kradzieży niezabezpieczonej dokumentacji - były wśród niej protokoły z przeprowadzonych kontroli (gazowej, technicznej, kominiarskiej), wyciągi bankowe, faktury od dostawców, kopia aktu notarialnego. Na wyciągach bankowych znajdowały się imiona i nazwiska wpłacających, ich adresy zamieszkania oraz w niektórych przypadkach nr konta bankowego. Dokumentacja ta została skradziona Zarządcy, który współpracował ze Wspólnotą Mieszkaniową.

Stwierdzone przez Prezesa UODO naruszenie:

• powierzenie przez Wspólnotę Mieszkaniową przetwarzania danych osobowych członków wspólnoty Zarządcy bez zawartej na piśmie umowy powierzenia;
• brak weryfikacji, czy procesor (Zarządca) zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych;
• nie zgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki;
• braku zawiadomienia, przez Wspólnotę Mieszkaniową, o naruszeniu ochrony danych osobowych, osób, których dane dotyczą.
   

Administracyjna kara pieniężna:

1 556,28 zł

Prezes UODO zwrócił uwagę, iż Wspólnota Mieszkaniowa nie dokonała jakiegokolwiek sprawdzenia, czy Zarządca zapewnia wystarczające gwarancje w zakresie środków technicznych i organizacyjnych a ponadto podmioty te współpracowały bez zawarcia umowy powierzenia przetwarzania. Należy pamiętać, iż weryfikacja procesora (np. poprzez ankietę z pytaniami o zabezpieczenia, listę kontrolną, audyt) powinna odbyć się przed zawarciem umowy powierzenia, a ponadto należy ją cyklicznie powtarzać.

3. Działanie wirusa komputerowego

W wyniku działania wirusa komputerowego doszło do naruszenia polegającego na utracie poufności danych. Sprawa dotyczyła danych osobowych ok. 800 osób.

Stwierdzone przez Prezesa UODO naruszenie:

• niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych;
• brak weryfikacji podmiotu przetwarzającego pod kątem zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych.
   

Administracyjna kara pieniężna:

33 012 zł

Prezes UODO stwierdził, iż analiza ryzyka została wykonana w niewystarczającym stopniu w zakresie zapewnienia dostępu do danych osobowych pracownikom pracującym zdalnie. W efekcie dane osobowe znalazły się w niezabezpieczonej lokalizacji. Naruszenia można było uniknąć choćby poprzez ustawienie haseł dostępowych do folderów lub poprzez poddanie plików szyfrowaniu lub pseudonimizacji.

Dodatkowo, ważne jest przeprowadzanie testów zastosowanych środków bezpieczeństwa. Pozwala to na wykrycie błędów – w tej sprawie było to udostępnienie niezabezpieczonego zasobu w niewłaściwej lokalizacji

4. Atak ransomware w Urzędzie Miasta

Do naruszenia danych osobowych doszło w wyniku ataku ransomware na Urząd Miasta. Naruszenie dotyczyło dużej ilości osób (ponad 9 tysięcy) a wśród kategorii danych osobowych były m.in. nr PESEL i nr rachunku bankowego. Atak możliwy był dzięki podatności systemu informatycznego - baza wirusów nie była zaktualizowana a używany system operacyjny stracił wsparcie producenta.

Stwierdzone przez Prezesa UODO naruszenie:

• dobór nieskutecznych zabezpieczeń systemu informatycznego;
• brak odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków.
   

Administracyjna kara pieniężna:

30 000 złotych

W toku sprawy ustalono, iż Burmistrz co prawda przewidział ryzyko związane z atakiem ransomware, niemniej jednak nie podjął odpowiedniego działania – baza wirusów nie była aktualizowana, system operacyjny zainstalowany na serwerze stracił wsparcie producenta (co wiązało się z brakiem aktualizacji zabezpieczeń). Co więcej, w Urzędzie nie przeprowadzano testów przyjętych środków technicznych. Prezes UODO uznał więc, że Administrator nie miał pełnej kontroli nad bezpieczeństwem procesu przetwarzania danych osobowych.

Podkreślić należy, iż w tego typu sprawach Administrator nie jest „karany” za to, iż padł ofiarą ataku ransomware, ale za to, że nie zastosował adekwatnych zabezpieczeń systemu informatycznego.

5. Atak ransomware w spółce

Spółka, w wyniku ataku ransomware, utraciła dokumentację koncesyjną prowadzoną w formie elektronicznej. Złośliwe oprogramowanie przełamało zabezpieczenia systemu informatycznego oraz zaszyfrowało dane osobowe znajduje się na trzech serwerach.

Stwierdzone przez Prezesa UODO naruszenie:

• niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych;
• niewdrożenie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków;
• niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki;
• niezawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.
   

Administracyjna kara pieniężna:

47 160 zł

W toku postępowania Prezes UODO ustalił, iż spółka nie przeprowadziła prawidłowej analizy ryzyka dla procesu przetwarzania danych osobowych w formie elektronicznej. Rezultatem braku analizy ryzyka było oczywiście niezastosowanie odpowiednich środków bezpieczeństwa. Co więcej, Prezes UODO zwrócił uwagę na bierność spółki w obliczu zaistniałego naruszenia, faktyczny brak możliwości odzyskania danych z kopii zapasowej (zasady tworzenia kopii zapasowych nie zapewniały dostępności systemów oraz zdolności do szybkiego przywrócenia dostępności danych osobowych), brak testów zabezpieczeń w pełnym zakresie, niespójne i lakoniczne wyjaśnienia.

6. Kradzież służbowego laptopa

W wyniku włamania do samochodu służbowego osoby zajmującej kierownicze stanowisko doszło do kradzieży służbowego laptopa. Komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła.

Stwierdzone przez Prezesa UODO naruszenie:

• niezastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych w przypadku pracy zdalnej, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
• braku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, w szczególności w związku z wykorzystaniem przenośnych komputerów służbowych.
   

Administracyjna kara pieniężna:

15 000 zł

W przypadku komputerów wykorzystywanych do pracy zdalnej warto zastosować dodatkowe zabezpieczenia w postaci np. szyfrowania dysków twardych. W tej sprawie Administrator prawidłowo przeprowadził ocenę ryzyka i zdawał sobie sprawę z konieczności zabezpieczenia urządzeń mobilnych systemami szyfrującymi, niemniej jednak zaniechał wdrożenia mechanizmów mitygujących.

7. Niezgłoszenie organowi nadzorczemu naruszenia bez zbędnej zwłoki oraz niezawiadomienie o naruszeniu osoby, której dane dotyczą

Prezes Spółdzielni Mieszkaniowej, na konferencji prasowej, przekazał dziennikarzom kopie zawiadomienia o możliwości popełnienia przestępstwa przez członka Spółdzielni. Na kopii zawiadomienia znajdowały się dane osobowe - numer PESEL, imię i nazwisko, adres zamieszkania.

Analogicznych spraw było więcej w 2023 r. Jedną z nich było naruszenie, którego dopuściła się Prokuratura Rejonowa – polegało ono na przekazaniu lokalnemu dziennikarzowi, w ramach odpowiedzi na wniosek złożony w trybie ustawy o dostępie do informacji publicznej, dokumentacji z zakończonego postępowania przygotowawczego. Rezultatem było ujawnienie danych osobowych zawartych w jej treści.

Stwierdzone przez Prezesa UODO naruszenie:

• niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia;
• niezawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.
   

Administracyjna kara pieniężna:

51 876 zł (dla Spółdzielni Mieszkaniowej), 20 000 zł (dla Prokuratury Rejonowej), 11 790 zł (dla osoby fizycznej prowadzącej działalność gospodarczą)

Podkreślić należy, iż ujawnienie nr PESEL oraz imienia i nazwiska, może, zdaniem Prezesa UODO, rodzić szereg konsekwencji: kradzież lub sfałszowanie tożsamości poprzez uzyskanie pożyczek w instytucjach pozabankowych, wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może skutkować szkodą majątkową lub niemajątkową, przypisanie osobie, której dane dotyczą, odpowiedzialności za dokonanie oszustwa. Stąd też stanowisko Prezesa UODO jest rygorystyczne – naruszeniom tym należy przypisać znaczną wagę i poważny charakter, a prawdopodobieństwo wystąpienia szkody ocenić jako wysokie. Warto pamiętać o anonimizacji dokumentów przed ich przekazaniu dziennikarzom.

8. Brak współpracy z Prezesem Urzędu Ochrony Danych Osobowych

Prezes UODO niejednokrotnie zwraca się do administratorów o udzielenie wyjaśnień i informacji – lecz wezwania pozostawiane są bez jakiejkolwiek odpowiedzi ze strony wzywanych podmiotów. 

Stwierdzone przez Prezesa UODO naruszenie:

• brak współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań;
• niezapewnienie Prezesowi UODO dostępu do informacji niezbędnych do realizacji swoich zadań.
   

Administracyjna kara pieniężna:

18 279 zł; 14 148 zł; 18 864 zł; 33 012 zł – wszystkie podmioty były spółkami

Warto wiedzieć, iż nieodbieranie pism od Prezesa UODO lub pozostawianie ich bez odpowiedzi nie uchroni administratora danych osobowych przed karą pieniężną. Niemniej jednak, iż w przypadkach, w których brak współpracy z Prezesem UODO miał charakter wyłącznie incydentalny, organ nie nałożył administracyjnej kary pieniężnej, a udzielił jedynie upomnienia.

9. Niewykonanie poprzedniej decyzji

Prezes UODO zwrócił się do Administratora celem sprawdzenia, czy nałożony poprzednią decyzją obowiązek został wykonany. Administrator nie odpowiedział na wezwanie ani nie przedstawił żadnych dowodów potwierdzających wykonanie decyzji.

Stwierdzone przez Prezesa UODO naruszenie:

• niewykonanie przez Administratora nakazu decyzji administracyjnej.

Administracyjna kara pieniężna:

22 848 zł

Jakie wnioski można wyciągnąć na podstawie decyzji Prezesa UODO z 2023 r.? Przede wszystkim warto zadbać (i aktualizować) analizę ryzyka przetwarzania danych osobowych, gdyż dzięki niej można wychwycić potencjalne zagrożenia oraz dobrać efektywne zabezpieczenia. Szczególną uwagę należy zwrócić na szyfrowanie nośników danych oraz zabezpieczenie infrastruktury IT przed złośliwym oprogramowaniem. Pamiętać należy, że wdrożenie RODO to nie tylko polityki i procedury, ale również konkretne rozwiązania techniczne, które muszą być systematycznie aktualizowane i testowane.

autor: r.pr. Malwina Czerska

Pozostałe artykuły

Szanowni Państwo, jeżeli opisywany wyżej temat dotyczy Państwa problemu, zapraszamy do kontaktu - chętnie doradzimy jak postąpić w Państwa indywidualnym przypadku.

Jeśli wśród udostępnionych przez nas artykułów nie odnaleźli Państwo odpowiedzi na swoje wątpliwości, zapraszamy do bezpośredniego kontaktu z Kancelarią. Chętnie przyjrzymy się Państwa problemom i zaproponujemy rozwiązanie.

Kancelaria Radcowska

r.pr. Oliwia Józwicka

r.pr. Malwina Czerska

ul. Wilanowska 1, 05-520 Konstancin-Jeziorna