Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/49

Kraj:

Polska

Data wydania decyzji:

09.10.2024 r.

Podmiot kontrolowany:

Pani CD, Pan EF, Pan GH

Wysokość kary (EUR):

2.250

Podstawa prawna naruszenia

Art. 28 ust. 3 lit. f) w związku z art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Przyczyną naruszenia ochrony danych osobowych był atak ransomware, który doprowadził do zaszyfrowania danych osobowych przechowywanych w systemach informatycznych Pana AB prowadzącego działalność gospodarczą pod firmą X. (Przedsiębiorca). Atak ten był możliwy z powodu braku odpowiednich środków technicznych i organizacyjnych, w tym nieaktualizowanego oprogramowania serwera oraz niewłaściwego zarządzania uprawnieniami użytkowników.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: 3 grudnia 2019 r. Przedsiębiorca zgłosił naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych (UODO) po ataku ransomware, który miał miejsce 25 listopada 2019 r.
  2. Zakres danych: Naruszenie dotyczyło danych osobowych klientów oraz byłych i obecnych pracowników, w tym takich informacji jak numer PESEL, imiona, nazwiska, imiona rodziców, numery dowodów osobistych, daty urodzenia, adresy zamieszkania, numery rachunków bankowych, numery telefonów i adresy e-mail.
  3. Przyczyna naruszenia: Przyczyną naruszenia był najprawdopodobniej błąd pracownika, który wyłączył oprogramowanie antywirusowe, a celem ataku było uzyskanie korzyści materialnej poprzez zaszyfrowanie danych.
  4. Ocena UODO: Prezes UODO prowadząc postępowanie kontrolne u Przedsiębiorcy uznał, że za proces przetwarzania danych osobowych objętych naruszeniem ochrony danych osobowych odpowiedzialny był również każdy ze wspólników firmy informatycznej obsługującej Przedsiębiorcę.
  5. Decyzja: Prezes UODO nałożył na wspólników firmy informatycznej administracyjną karę pieniężną w wysokości 9.882 PLN za nieudzielenie pomocy Przedsiębiorcy w wywiązywaniu się przez niego z obowiązku wdrożenia adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Analiza ryzyka: Zaleca się przeprowadzanie regularnej i szczegółowej analizy ryzyka przetwarzania danych osobowych, uwzględniającej aktualny stan wiedzy technicznej, koszt wdrożenia, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.
  2. Wdrożenie środków technicznych i organizacyjnych: Należy wdrożyć odpowiednie środki techniczne i organizacyjne w celu minimalizacji ryzyka związanego z przetwarzaniem danych osobowych, w tym regularne aktualizacje oprogramowania, segmentację sieci oraz ograniczenie uprawnień użytkowników.
  3. Testowanie i ocena skuteczności: Zaleca się regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków technicznych i organizacyjnych, aby zapewnić ciągłe bezpieczeństwo przetwarzania danych osobowych.
  4. Szkolenia dla pracowników: Należy przeprowadzać regularne szkolenia dla pracowników z zakresu ochrony danych osobowych oraz cyberbezpieczeństwa, aby zwiększyć ich świadomość i umiejętności w zakresie zapobiegania naruszeniom.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO