Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 25 ust. 1, art. 28 ust. 3, art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Naruszenie ochrony danych osobowych w Krajowej Szkole Sądownictwa i Prokuratury (KSSiP) wynikało z kilku kluczowych zaniedbań:

1. Brak odpowiednich środków technicznych i organizacyjnych: KSSiP nie zastosowała odpowiednich środków mających na celu zapewnienie bezpieczeństwa danych osobowych.
2. Brak testowania i oceny środków technicznych i organizacyjnych: KSSiP dokonała testowania i oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej,
3. Niewłaściwe powierzenie przetwarzania danych: Powierzenie przetwarzania danych firmie e. Sp. z o.o. odbyło się bez odpowiednich umownych zobowiązań dotyczących przetwarzania danych wyłącznie na polecenie administratora, bez określenia w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz bez doprecyzowania rodzaju danych osobowych przez wskazanie ich kategorii.
4. Niewłaściwa konfiguracja i brak weryfikacji: KSSiP nie zweryfikowała bezpieczeństwa środowiska przetwarzania danych po migracji do nowej platformy szkoleniowej.

Opis wydarzeń

1. Zgłoszenie naruszenia: W kwietniu 2020 r. KSSiP zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych (UODO) naruszenie ochrony danych osobowych, które dotyczyło danych 50 283 osób.
2. Przyczyna naruszenia: Naruszenie miało miejsce podczas testowej migracji danych do nowej platformy szkoleniowej w lutym 2020 r. Kopia bazy danych została nieodpowiednio zabezpieczona, co umożliwiło jej upublicznienie.
3. Zakres naruszenia: Naruszenie obejmowało dane osobowe: sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych, asystentów sędziów, asystentów prokuratorów, kuratorów zawodowych oraz urzędników sądów i prokuratury. Na platformie szkoleniowej KSSiP znajdowały się również konta części wykładowców prowadzących szkolenia ustawiczne, nielicznych aplikantów KSSiP oraz osób, których konta aktywowano na podstawie indywidualnych decyzji.
4. Zakres danych osobowych: Kategorie danych, których dotyczy naruszenie obejmowały: imię i nazwisko, adres email, nazwa użytkownika, numer telefonu, jednostka, wydział, adres jednostki, miejscowość, dane o charakterze technicznym: adres IP, data pierwszego i ostatniego logowania, hasło (w postaci niejawnej). W 44 262 przypadkach rekordy zawierały również numer PESEL.
5. Działania naprawcze: Po stwierdzeniu naruszenia, KSSiP podjęła działania mające na celu zminimalizowanie skutków, takie jak reset haseł, informowanie osób, których dane dotyczyło naruszenie, oraz zgłoszenie incydentu Prezesowi UODO.
6. Wysokość kary: 100 000 PLN.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Wdrożenie odpowiednich środków technicznych i organizacyjnych: Wdrożenie i regularne aktualizowanie środków mających na celu zapewnienie bezpieczeństwa danych osobowych.
2. Dokładne określenie warunków umownych: W umowach powierzenia przetwarzania danych należy precyzyjnie określić obowiązki podmiotu przetwarzającego, w tym przetwarzanie danych wyłącznie na polecenie administratora.
3. Regularna weryfikacja bezpieczeństwa: Regularna weryfikacja bezpieczeństwa środowiska przetwarzania danych, szczególnie po wprowadzeniu jakichkolwiek zmian w procesach przetwarzania.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu