Podstawa prawna naruszenia

Art. 32 ust. 1, 2, art. 32 ust. 1, 2 w związku z art. 28 ust. 3 lit. c) i f) RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Naruszenie ochrony danych osobowych w Panek S.A. było wynikiem działań związanych z migracją witryny internetowej do nowego środowiska serwerowego. Firma IT odpowiedzialna za obsługę informatyczną, realizując zlecenie migracji, zastosowała standardowe procedury i zabezpieczenia, bazując na dostępnych informacjach dostarczonych przez administratora danych. Kluczową przyczyną incydentu była jednak niepełna i nieprecyzyjna komunikacja ze strony administratora, który nie poinformował o szczególnym charakterze przetwarzanych danych w witrynie, co skutkowało błędnym oszacowaniem ryzyka przez firmę IT.

Opis wydarzeń

1. Zlecenie migracji: Administrator danych zlecił firmie IT przeniesienie witryny internetowej na nowy serwer, informując, że proces ma charakter tymczasowy, a witryna wkrótce zostanie zastąpiona nową. Nie dostarczono jednak szczegółowych informacji o zawartości bazy danych witryny ani o tym, że przetwarza ona dane osobowe klientów.

2. Proces migracji: Firma IT przeprowadziła migrację witryny, kopiując dane na nowy serwer. Środowisko zostało przygotowane zgodnie z najlepszymi praktykami w zakresie standardowych witryn internetowych, jednak wprowadzone ustawienia nie uwzględniały pełnego szyfrowania i dodatkowych zabezpieczeń, ponieważ nie zidentyfikowano bazy danych jako zawierającej dane osobowe.

3. Nieprawidłowa konfiguracja: W wyniku domyślnej konfiguracji serwera, pliki starej witryny, w tym kopia zapasowa bazy danych, zostały udostępnione w sposób publiczny. Indeksacja tych plików przez roboty wyszukiwarek ujawniła poufne dane.

4. Rekomendacje i działania: Firma IT kilkukrotnie rekomendowała aktualizację starego systemu zarządzania treścią witryny oraz wdrożenie dodatkowych narzędzi monitorujących, takich jak rozwiązania klasy SIEM. Administrator danych zignorował te rekomendacje, uznając je za nieistotne w kontekście planowanej migracji do nowej witryny.

5. Brak informacji o danych: Firma IT nie została poinformowana, że witryna gromadzi i przetwarza dane osobowe, takie jak imiona, nazwiska, numery PESEL czy dane kontaktowe. W efekcie stosowane procedury bezpieczeństwa zostały ograniczone do standardowych wymagań dla typowych witryn informacyjnych.

6. Incydent i reakcja: Po zgłoszeniu incydentu przez administratora danych, firma IT podjęła działania naprawcze, wdrażając dodatkowe zabezpieczenia serwera. Firma współpracowała również z niezależnym audytorem oraz organem nadzorczym w celu ustalenia przyczyn i zakresu naruszenia.

7. Kara: Prezes UODO zdecydował o nałożeniu na firmę IT kary administracyjnej w wysokości 20.037 PLN.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Komunikacja z klientem: Przed realizacją podobnych zleceń należy uzyskać szczegółowe informacje o charakterze przetwarzanych danych oraz specyficznych wymaganiach dotyczących bezpieczeństwa.
2. Szczegółowe audyty wstępne: Każda migracja powinna być poprzedzona szczegółowym audytem infrastruktury IT oraz analizą ryzyka, szczególnie w kontekście przetwarzania danych osobowych.
3. Podwyższanie standardów: Nawet w przypadku standardowych zleceń należy wdrażać zaawansowane środki bezpieczeństwa, takie jak szyfrowanie danych oraz segmentacja sieci.
4. Współpraca z administratorami: Firmy IT powinny zobowiązać administratorów danych do dostarczania pełnej dokumentacji dotyczącej przetwarzania danych oraz do regularnych konsultacji w trakcie realizacji projektów.
5. Szkolenie personelu: Należy stale podnosić kwalifikacje pracowników firmy IT, szczególnie w zakresie ochrony danych osobowych oraz zarządzania incydentami bezpieczeństwa.
6. Proaktywne działania: Zaleca się regularne oferowanie klientom usług audytów i testów penetracyjnych w celu identyfikacji potencjalnych zagrożeń.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu