Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/24

Kraj:

Polska

Data wydania decyzji:

03.06.2025 r.

Podmiot kontrolowany:

Gminny Ośrodek Pomocy Społecznej w K.

Wysokość kary (EUR):

1.170

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

U źródeł sprawy leżał atak ransomware – 23 marca 2021 r. złośliwe oprogramowanie zaszyfrowało bazy danych na serwerze współużytkowanym przez GOPS i Urząd Gminy K. Administrator (GOPS) nie miał dostępu do własnych danych, ponieważ infrastruktura była zarządzana przez podmiot przetwarzający. Prezes UODO stwierdził, że wpływ ataku był poważny z powodu zaniechania podstawowych obowiązków administratora: GOPS nie dokonał rzetelnej analizy ryzyka, nie zweryfikował dostawcy usług informatycznych (Urząd Gminy), nie testował stosowanych zabezpieczeń i nie przygotował kopii zapasowych. Dodatkowo, pomimo obowiązku zgłoszenia naruszenia organowi w ciągu 72 godzin, GOPS zgłosił incydent dopiero po kilkunastu miesiącach.

 

Opis wydarzeń

  1. Atak ransomware i wykrycie incydentu: W godzinach porannych 23 marca 2021 r. systemy informatyczne zaczęły automatycznie szyfrować bazy danych. Po zauważeniu problemu serwery i stacje robocze zostały wyłączone, a zespół informatyki śledczej ustalił, że zaszyfrowany został jeden serwer.

  2. Zakres naruszenia: W wyniku incydentu zaszyfrowane zostały dane około 1500 osób. Obejmowały one m.in. imiona, nazwiska, numery PESEL, adresy, rachunki bankowe, informacje o zarobkach i majątku, numery dokumentów tożsamości oraz numery telefonów. W zgłoszeniu GOPS wskazał, że naruszenie dotyczyło również pracowników, klientów jednostek publicznych, dzieci, osób starszych i osób o szczególnych potrzebach, a ponadto obejmowało dane o zdrowiu oraz wyrokach skazujących.

  3. Reakcja i kontynuacja usług: GOPS, jako administrator danych, w okresie niedostępności systemów kontynuował obsługę beneficjentów w formie papierowej i wypłacał świadczenia zgodnie z planem. Jednocześnie podmiot przetwarzający i specjalistyczna firma informatyczna podjęli próby przywrócenia danych; ustalono, że część baz została zaszyfrowana tylko fragmentarycznie, co pozwoliło na odtworzenie informacji.

  4. Stwierdzone nieprawidłowości: Podczas postępowania UODO ujawnił, że GOPS nie przeprowadził analizy ryzyka z uwzględnieniem zagrożeń ransomware, nie dokumentował kontroli nad podmiotem przetwarzającym i nie sprawdzał, czy zapewnia on odpowiednie gwarancje bezpieczeństwa. Administrator nie wdrożył procedur regularnego testowania zabezpieczeń ani polityki tworzenia i przechowywania kopii zapasowych. Ponadto, pomimo że naruszenie zostało wstępnie zgłoszone przez Wójta, GOPS przez długi czas nie dokonał własnego zgłoszenia organowi nadzorczemu.

  5. Decyzja i sankcje: Prezes UODO uznał, że naruszenia przepisów były następstwem braku odpowiednich środków bezpieczeństwa po stronie administratora danych. Nałożył na GOPS administracyjną karę pieniężną 5 000 zł i udzielił upomnienia za nieterminowe zgłoszenie naruszenia.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Analiza ryzyka i planowanie zabezpieczeń: Regularnie identyfikuj zagrożenia (np. ransomware) oraz oceniaj, jak wpływają one na przetwarzanie danych. Analiza powinna obejmować zarówno własne systemy, jak i te utrzymywane przez podmioty przetwarzające.

  2. Wybór i kontrola podmiotu przetwarzającego: Przed powierzeniem danych upewnij się, że usługodawca oferuje adekwatne zabezpieczenia i spełnia wymogi art. 28 RODO. Ustal w umowie jasne obowiązki i prawo do kontroli; przeprowadzaj audyty i dokumentuj wyniki.

  3. Środki techniczne i organizacyjne: Wdrażaj szyfrowanie danych, segmentację sieci, systemy antywirusowe i firewall, a także mechanizmy wieloskładnikowego uwierzytelniania. Twórz regularne, szyfrowane kopie zapasowe przechowywane poza środowiskiem produkcyjnym i testuj ich przywracanie.

  4. Regularne testy i szkolenia: Prowadź regularne testy penetracyjne, skany podatności oraz audyty zgodności. Szkol pracowników w zakresie cyberbezpieczeństwa, zwłaszcza w rozpoznawaniu phishingu i procedur reagowania na incydenty.

  5. Procedura zgłaszania naruszeń: Opracuj jasną procedurę identyfikacji i zgłaszania naruszeń danych osobowych. Zgodnie z art. 33 RODO naruszenia należy zgłaszać organowi nadzorczemu w ciągu 72 godzin od ich stwierdzenia. Wysokie ryzyko dla osób wymaga także powiadomienia tych osób.

  6. Zasada rozliczalności: Dokumentuj wszystkie działania związane z ochroną danych: analizy ryzyka, decyzje dotyczące środków technicznych, audyty, szkolenia i incydenty. Taka dokumentacja pomaga wykazać zgodność z przepisami podczas kontroli i ułatwia wyciąganie wniosków z incydentów.

  7. Współpraca z organami i innymi jednostkami: Utrzymuj współpracę z podmiotami przetwarzającymi, organem nadzorczym i służbami bezpieczeństwa (CERT, Policja). Wspólne działania ułatwiają szybką reakcję i ograniczanie szkód.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO