Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez A. S.A. z siedzibą w U. wynikało z niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych. W szczególności nie przeprowadzono regularnych testów, pomiarów i ocen skuteczności tych środków, co skutkowało naruszeniem zasady integralności, poufności oraz rozliczalności danych osobowych.

Opis wydarzeń

1. Zgłoszenie naruszenia: A. S.A. zgłosiła naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Naruszenie polegało na uzyskaniu nieuprawnionego dostępu do zasobów informatycznych spółki przez grupę hakerską „A.”, która zainstalowała oprogramowanie typu ransomware.
2. Skutki naruszenia: W wyniku ataku doszło do utraty dostępności oraz poufności danych osobowych pracowników i pacjentów spółki. Dane te zostały rozpowszechnione na stronie darknetu.
3. Zakres naruszenia: Dane, które zostały naruszone, obejmują następujące kategorie: nazwisko, imię, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, nazwa użytkownika lub hasło, informacje o zarobkach lub majątku, dane zdrowotne, nazwisko rodowe matki, seria i numer dowodu osobistego oraz numer telefonu.
4. Działania naprawcze: Spółka uruchomiła infolinię dla osób, których dane zostały naruszone, oraz zawarła umowę z B. S.A. w celu umożliwienia zainteresowanym osobom zasięgnięcia informacji o wpisach w BIK.
5. Kontrola UODO: Prezes UODO przeprowadził kontrolę, która wykazała liczne nieprawidłowości, w tym brak aktualizacji oprogramowania, błędną konfigurację systemów, brak regularnych testów zabezpieczeń, brak aktualnego wsparcia technicznego producenta systemu informatycznego oraz przechowywanie danych związanych z usługami zdrowotnymi niezgodnie z przyjętymi zasadami.
6. Decyzja Prezesa Urzędu Ochrony Danych Osobowych: Nałożenie administracyjnej kary pieniężnej w wysokości 1 440 549 PLN oraz nakazanie wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych oraz wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków mających zapewnić bezpieczeństwo przetwarzania – w terminie 30 dni.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Wdrożenie środków technicznych i organizacyjnych: Zaleca się wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka związanego z przetwarzaniem danych osobowych. Należy przeprowadzić analizę ryzyka uwzględniającą stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.
2. Regularne testowanie zabezpieczeń: Konieczne jest wdrożenie procedur regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych.
3. Aktualizacja oprogramowania: Należy zapewnić regularne aktualizacje oprogramowania systemowego oraz urządzeń brzegowych, aby zapobiec wykorzystaniu luk bezpieczeństwa przez osoby nieuprawnione.
4. Szkolenia dla pracowników: Zaleca się przeprowadzenie regularnych szkoleń dla pracowników w zakresie ochrony danych osobowych oraz procedur bezpieczeństwa informatycznego.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu