Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 28 ust. 1,art. 32 ust. 1, 2, art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c), d) RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Przyczyną naruszenia ochrony danych osobowych był atak ransomware, który doprowadził do zaszyfrowania danych osobowych przechowywanych w systemach informatycznych Pana AB prowadzącego działalność gospodarczą pod firmą X. (Przedsiębiorca). Atak ten był możliwy z powodu braku odpowiednich środków technicznych i organizacyjnych, w tym nieaktualizowanego oprogramowania serwera oraz niewłaściwego zarządzania uprawnieniami użytkowników.

Opis wydarzeń

1. Zgłoszenie naruszenia: 3 grudnia 2019 r. Przedsiębiorca zgłosił naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych (UODO) po ataku ransomware, który miał miejsce 25 listopada 2019 r.
2. Zakres danych: Naruszenie dotyczyło danych osobowych klientów oraz byłych i obecnych pracowników, w tym takich informacji jak numer PESEL, imiona, nazwiska, imiona rodziców, numery dowodów osobistych, daty urodzenia, adresy zamieszkania, numery rachunków bankowych, numery telefonów i adresy e-mail.
3. Przyczyna naruszenia: Przyczyną naruszenia był najprawdopodobniej błąd pracownika, który wyłączył oprogramowanie antywirusowe, a celem ataku było uzyskanie korzyści materialnej poprzez zaszyfrowanie danych.
4. Komunikat o naruszeniu: Przedsiębiorca poinformował osoby, których dane dotyczą, o naruszeniu ich danych osobowych poprzez publiczny komunikat w siedzibie firmy.
5. Działania naprawcze: Administrator podjął działania mające na celu odzyskanie dostępu do zaszyfrowanych danych oraz wdrożenie środków technicznych i organizacyjnych w celu zapobieżenia podobnym incydentom w przyszłości. Wprowadzono m.in. aktualizacje systemów operacyjnych, segmentację sieci oraz ograniczenie uprawnień użytkowników.
6. Ocena UODO: Prezes UODO stwierdził, że Administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych przed atakiem, co przyczyniło się do naruszenia ochrony danych. Podkreślono również brak regularnego testowania i oceniania skuteczności tych środków. Co więcej Prezes UODO zwrócił uwagę na brak pełnego zawiadomienia osób, których dane dotyczą, o naruszeniu.
7. Decyzja: Prezes UODO nałożył na Przedsiębiorcę administracyjną karę pieniężną w wysokości 353.589 PLN.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Analiza ryzyka: Zaleca się przeprowadzanie regularnej i szczegółowej analizy ryzyka przetwarzania danych osobowych, uwzględniającej aktualny stan wiedzy technicznej, koszt wdrożenia, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.
2. Wdrożenie środków technicznych i organizacyjnych: Należy wdrożyć odpowiednie środki techniczne i organizacyjne w celu minimalizacji ryzyka związanego z przetwarzaniem danych osobowych, w tym regularne aktualizacje oprogramowania, segmentację sieci oraz ograniczenie uprawnień użytkowników.
3. Testowanie i ocena skuteczności: Zaleca się regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków technicznych i organizacyjnych, aby zapewnić ciągłe bezpieczeństwo przetwarzania danych osobowych.
4. Weryfikacja podmiotów przetwarzających: Należy dokładnie weryfikować podmioty przetwarzające pod kątem ich zdolności do zapewnienia odpowiednich środków bezpieczeństwa danych osobowych.
5. Szkolenia dla pracowników: Należy przeprowadzać regularne szkolenia dla pracowników z zakresu ochrony danych osobowych oraz cyberbezpieczeństwa, aby zwiększyć ich świadomość i umiejętności w zakresie zapobiegania naruszeniom.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu