Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/1

Kraj:

Polska

Data wydania decyzji:

12.11.2024 r.

Podmiot kontrolowany:

Panek S.A.

Wysokość kary (EUR):

350.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych w Panek S.A. miało miejsce na skutek błędów w konfiguracji serwera podczas przenoszenia witryny internetowej, co doprowadziło do publicznego udostępnienia plików zawierających dane osobowe. Główną przyczyną było nieprawidłowe wykonanie konfiguracji przez firmę IT oraz brak należytej weryfikacji działań podwykonawcy przez administratora danych. W efekcie doszło do ujawnienia takich danych, jak imię, nazwisko, adres zamieszkania, numer PESEL, adres e-mail, numer telefonu oraz zaszyfrowane hasło do konta użytkownika.

 

Opis wydarzeń

  1. Zgłoszenie incydentu: Administrator danych zgłosił naruszenie Prezesowi UODO 24 kwietnia 2020 r. (zgłoszenie uzupełniające – 7 maja 2020 r.). Wskazano, że błędnie skonfigurowany serwer umożliwił indeksowanie plików przez roboty wyszukiwarek, co naruszyło zasadę poufności danych.
  2. Postępowanie wyjaśniające: Prezes UODO wszczął postępowanie, w którym stwierdzono liczne uchybienia, m.in. brak wdrożenia odpowiednich środków technicznych i organizacyjnych, nieweryfikowanie podmiotu przetwarzającego oraz brak skutecznego monitorowania procesów przetwarzania danych.
  3. Działania administratora: Administrator wskazał, że analiza ryzyka i zabezpieczenia techniczne były powierzone podmiotowi przetwarzającemu, jednak nie dostarczono wystarczających dowodów świadczących o skuteczności tych działań.
  4. Działania podmiotu przetwarzającego: Podmiot przetwarzający przyznał, że nie miał pełnej wiedzy o przeznaczeniu witryny i baz danych. Mimo zgłoszonych przez niego rekomendacji dotyczących bezpieczeństwa, działania te okazały się niewystarczające w kontekście charakteru danych i zagrożeń.
  5. Wyniki analizy UODO: Prezes UODO uznał, że błędy konfiguracyjne oraz brak należytej staranności zarówno ze strony administratora, jak i podmiotu przetwarzającego, były głównymi przyczynami incydentu.
  6. Kara: Nałożono na administratora karę administracyjną w wysokości 1.527.855 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zgłaszanie naruszeń: Należy bezwzględnie przestrzegać obowiązku zgłaszania naruszeń ochrony danych osobowych do Prezesa UODO w terminie 72 godzin od ich stwierdzenia.
  2. Analiza ryzyka: Przeprowadzanie szczegółowych analiz ryzyka z uwzględnieniem charakteru i zakresu przetwarzanych danych oraz stosowanych zabezpieczeń.
  3. Weryfikacja podwykonawców: Regularne kontrole podmiotów przetwarzających w celu zapewnienia, że stosowane środki techniczne i organizacyjne są zgodne z wymogami RODO.
  4. Szkolenia personelu: Organizowanie regularnych szkoleń dla pracowników oraz podmiotów przetwarzających w zakresie ochrony danych osobowych i zarządzania ryzykiem.
  5. Zabezpieczenia techniczne: Wdrożenie szyfrowania baz danych oraz innych mechanizmów zabezpieczających, takich jak blokowanie dostępu dla robotów indeksujących.
  6. Audyt procesów: Systematyczne testowanie i monitorowanie skuteczności wdrożonych środków ochrony danych osobowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO