Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 32 ust. 1, 2, art. 33 ust. 1, art. 34 ust. 1, 4 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

W listopadzie 2018 r. City of Dublin Education and Training Board (CDETB) odkryło, że jego publiczny serwer WWW był zainfekowany złośliwym oprogramowaniem i przechowywał dane wnioskodawców o grant, choć serwer miał jedynie umożliwiać przesyłanie formularzy. Brak bieżącej kontroli dostępu, aktualizacji i monitorowania spowodował, że dane – w tym identyfikatory, numery PPS, dane kontaktowe i informacje dotyczące zdrowia – były przechowywane w nieodpowiednich warunkach. Incydent ujawnił również brak procedur szybkiego wykrywania i zgłaszania naruszeń oraz niewystarczające przygotowanie do komunikacji z osobami poszkodowanymi.

Opis wydarzeń

1. Wykrycie złośliwego oprogramowania i retencji danych: 16 października 2018 r. w ramach testu zapory firewall wykryto na serwerze CDETB złośliwy kod, który został szybko usunięty, a dostępy administracyjne zresetowane. W kolejnych tygodniach, 14 listopada 2018 r., instytucja odkryła, że serwer przechowuje wczytane formularze i dokumenty zamiast przekazywać je wyłącznie pocztą elektroniczną. Ten fakt skłonił CDETB do zgłoszenia naruszenia irlandzkiemu organowi nadzorczemu w dniu 16 listopada 2018.

2. Zakres naruszenia i rodzaj ujawnionych danych: W pierwszych informacjach CDETB szacowało liczbę poszkodowanych na około 8 000 osób. Późniejsze ustalenia wskazały, że naruszenie objęło nawet 13 000 wnioskodawców. Na serwerze znajdowały się m.in. imiona, nazwiska, daty urodzenia, numery PPS, dane kontaktowe, informacje finansowe, a także dane osobowe szczególnej kategorii, takie jak pochodzenie rasowe i dane dotyczące zdrowia.

3. Działania naprawcze i współpraca z dostawcami: Po wykryciu złośliwego kodu CDETB zlecił firmie exSite Communications audyt serwera. Raport potwierdził obecność podejrzanych plików, które usunięto, a hasła do serwera zmieniono. Następnie firma Wordfence przeprowadziła pełne skanowanie i usunięcie malware, identyfikując m.in. lukę w pluginie Buddypress. Wdrożono wzmocnioną zaporę, dodano funkcję skanowania i usunięto zainfekowane pliki.

4. Braki organizacyjne i ocena ryzyka: Dochodzenie irlandzkiego organu nadzorczego wykazało, że CDETB nie monitorował na bieżąco bezpieczeństwa strony i nie weryfikowała, czy dane z formularzy nie są przechowywane na serwerze. Brakowało analizy ryzyka, procedur szybkiego wykrywania incydentów i polityki reagowania na naruszenia.

5. Powiadomienie organu i działania DPC: CDETB przesłał zgłoszenie do irlandzkiego organu nadzorczego 16 listopada 2018 r., a 19 listopada przekazała dodatkowe raporty od exSite i Wordfence. Organ nadzorczy żądał dalszych wyjaśnień oraz wydawał polecenia powiadomienia osób poszkodowanych. CDETB zrealizowało to z opóźnieniem i bez pełnej dokumentacji.

6. Decyzja i kara: Wieloletnie postępowanie zakończyło się w czerwcu 2025 r. finalną decyzją irlandzkiego organu nadzorczego. Organ nadzorczy uznał, że CDETB naruszył obowiązki wynikające z przepisów o ochronie danych osobowych. W następstwie nałożono upomnienie, nakaz dostosowania przetwarzania do przepisów oraz administracyjną karę pieniężną łącznej wysokości 125 000 EUR – z czego 50 000 EUR dotyczyło niewystarczających zabezpieczeń, 15 000 EUR nieterminowego zgłoszenia naruszenia, 10 000 EUR opóźnionego powiadomienia osób, a 50 000 EUR braku dokumentacji.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Regularna ocena ryzyka i wzmocnienie zabezpieczeń: Organizacje powinny systematycznie identyfikować zagrożenia i dostosowywać środki techniczne i organizacyjne do rodzaju przetwarzanych danych. Dotyczy to m.in. aktualizacji oprogramowania, kontroli dostępu, szyfrowania oraz segregacji systemów.

2. Testy penetracyjne i monitoring: Zgodnie z dobrymi praktykami ENISA i wytycznymi UODO zaleca się przeprowadzanie regularnych testów penetracyjnych oraz stałe monitorowanie serwerów w celu wykrycia złośliwego oprogramowania i włamań. Audyty bezpieczeństwa powinny być planowane co najmniej raz w roku.

3. Procedury reagowania i zgłaszania incydentów: Administratorzy danych muszą opracować i ćwiczyć procedury postępowania na wypadek naruszenia, w tym ustalenia zakresu naruszenia oraz zgłoszenia go do organu nadzorczego w ciągu 72 godzin od uzyskania informacji o incydencie. Pracownicy powinni być szkoleni, jak rozpoznać i raportować incydenty.

4. Transparentna komunikacja z osobami poszkodowanymi: Należy przygotować wzory powiadomień i jasno określić, w jakich sytuacjach informować osoby, których dane dotyczą, o naruszeniu. Informacje te powinny być przekazywane bez zbędnej zwłoki, wraz z zaleceniami, jak mogą oni zminimalizować potencjalne szkody.

5. Privacy by Design i minimizacja danych: Projektując systemy i usługi, należy wdrażać zasadę ochrony danych w fazie projektowania oraz minimalizować zakres gromadzonych danych do niezbędnego minimum. Umożliwia to ograniczenie skutków ewentualnych naruszeń.

6. Dokumentowanie decyzji i procedur: Wszystkie incydenty, decyzje dotyczące zgłoszenia lub braku zgłoszenia oraz działania naprawcze powinny być dokumentowane. Pozwala to na wykazanie zgodności z RODO i ułatwia analizę przyczyn zdarzeń w przyszłości.

7. Szkolenia i świadomość pracowników: Personel powinien być regularnie szkolony z zakresu ochrony danych osobowych i bezpieczeństwa informacji, a także zapoznawany z aktualnymi wytycznymi UODO i EROD. Świadomi pracownicy są często najsłabszym lub najsilniejszym ogniwem systemu bezpieczeństwa.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu