Obowiązek informacyjny rodo
Kraj:
Polska
Data wydania decyzji:
03.06.2025 r.
Podmiot kontrolowany:
Wójt Gminy K.
Wysokość kary (EUR):
2.341
Art. 32 ust. 1, 2 w związku z art. 28 ust. 3 lit. c), f) RODO.
Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.
Incydent został wywołany atakiem typu ransomware, który 23 marca 2021 r. zaszyfrował bazy danych wspólnego serwera Urzędu Gminy K. i GOPS-u. Prezes UODO uznał jednak, że wpływ ataku był duży z powodu braku adekwatnych środków technicznych i organizacyjnych po stronie Urzędu. Wójt, jako podmiot przetwarzający, nie zapewnił ciągłości działania, ograniczając się głównie do oprogramowania antywirusowego; nie przeprowadzał analiz ryzyka ani regularnych testów skuteczności zabezpieczeń, a infrastruktura była oparta na współdzielonym serwerze bez segmentacji.
Atak ransomware i natychmiastowa reakcja: 23 marca 2021 r. podczas pracy systemów informatycznych pracownik Urzędu zaobserwował automatyczne szyfrowanie baz danych. Informacja została przekazana inspektorowi ochrony danych, który polecił wyłączenie serwerów i stacji roboczych. Działania te ograniczyły rozprzestrzenianie się złośliwego oprogramowania.
Ograniczona dostępność danych: Incydent uniemożliwił dostęp do części baz danych, co sparaliżowało systemy Urzędu i GOPS-u. Administracja kontynuowała wypłatę świadczeń poprzez obsługę papierową i tworzenie tymczasowych kopii. Specjaliści stwierdzili, że uszkodzenia obejmowały jedynie część baz i umożliwiły odzyskanie danych bez płacenia okupu.
Nieprawidłowości po stronie Urzędu: Prezes UODO ustalił, że Urząd korzystał z jednego serwera dla wielu systemów i nie wdrożył zabezpieczeń takich jak segmentacja sieci, szyfrowanie i odseparowane kopie zapasowe. Pracownicy IT nie prowadzili regularnych testów, audytów ani analiz ryzyka, a wykorzystywane oprogramowanie antywirusowe było jedynym środkiem ochrony. Wójt nie weryfikował w wystarczający sposób zakresu obowiązków określonych w umowie powierzenia, co naruszyło art. 28 ust. 3 RODO.
Działania naprawcze: Po incydencie Wójt zlecił firmie zewnętrznej analizę forensic i przywrócenie baz danych. Później rozpoczęto modernizację infrastruktury: zbudowano nową serwerownię, wdrożono urządzenia zabezpieczające ruch sieciowy oraz plan wdrożenia systemu automatycznej walidacji anomalii. Mimo ograniczeń budżetowych, Urząd zlecił audyt bezpieczeństwa i opracował harmonogram prac modernizacyjnych.
Kara administracyjna: Za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych oraz brak dbałości o ich dostępność Prezes UODO nałożył na Wójta karę pieniężną w wysokości 10 000 zł.
Pełna treść decyzji organu nadzorczego
Stosuj zasadę „security by design”: Projektując infrastrukturę IT, uwzględniaj rozdzielenie serwerów, segmentację sieci i minimalizację uprawnień. Używaj szyfrowania danych w tranzycie i spoczynku oraz mechanizmów wieloskładnikowego uwierzytelniania.
Regularne testowanie i audyty: Wprowadzaj cykliczne testy podatności, symulacje ataków oraz audyty bezpieczeństwa. Dokumentuj wyniki i reaguj na wykryte nieprawidłowości; aktualizuj oprogramowanie i urządzenia zgodnie z harmonogramem.
Dokumentuj analizę ryzyka: Identyfikuj zagrożenia specyficzne dla usług świadczonych jako podmiot przetwarzający (np. ataki ransomware), oceniaj prawdopodobieństwo i wpływ oraz planuj adekwatne środki redukujące ryzyko. Analiza powinna być regularnie aktualizowana.
Zapewnij dostępność danych: Wykonuj częste, zaszyfrowane kopie zapasowe przechowywane w odseparowanym środowisku; testuj procedury przywracania i opracuj plan ciągłości działania, aby uniknąć przestojów.
Monitoruj i raportuj incydenty: Wdroż system monitorowania ruchu sieciowego i analizy logów; niezwłocznie zgłaszaj wszelkie naruszenia administratorowi i organowi nadzorczemu.