Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/13

Kraj:

Polska

Data wydania decyzji:

25.11.2025 r.

Podmiot kontrolowany:

Pan D. C. prowadzący działalność gospodarczą

Wysokość kary (EUR):

2.550

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 29, art. 32 ust. 1, 2 i 4 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

U podstaw incydentu leżało połączenie kilku zaniedbań. Administrator nie przeprowadził analizy ryzyka i nie wdrożył odpowiednich środków bezpieczeństwa. Pracownik podmiotu przetwarzającego zapisał hasło do panelu administracyjnego sklepu w zewnętrznym serwisie. W skutek czego atakujący po przełamaniu zabezpieczeń tego serwisu przejął dane logowania i dwukrotnie uzyskał dostęp do panelu sklepu. Administrator nie wymusił, by podmiot przetwarzający używał silnych haseł lub wieloskładnikowego uwierzytelniania i nie zapewnił, by przetwarzanie odbywało się wyłącznie na jego polecenie.

 

Opis wydarzeń

  1. Błędne powierzenie danych: Przedsiębiorca podpisał umowę powierzenia przetwarzania z firmą B., powierzając jej obsługę sklepu internetowego na platformie „R.”. Umowa nie precyzowała wymagań co do haseł ani sposobu autoryzacji, a więc nie zapewniała odpowiedniego standardu bezpieczeństwa.

  2. Nieprawidłowe przechowywanie haseł: Pracownik firmy B. używał serwisu Z., służącego do obsługi reklam, i zapisał tam dane logowania do panelu administracyjnego sklepu. Taka praktyka narusza zasady bezpieczeństwa, bo hasła powinny być przechowywane w bezpiecznym menedżerze haseł, a nie w serwisie do innych celów.

  3. Przejęcie konta i dane klientów: W wyniku ataku na konto w serwisie Z. nieznani sprawcy uzyskali zapisane dane logowania i dwukrotnie zalogowali się do panelu sklepu. Uzyskując uprawnienia administratora, weszli w posiadanie danych osobowych ponad sześciu tysięcy klientów, tj.: imion, nazwisk, adresów e‑mail, numerów telefonów, adresów korespondencyjnych, numerów NIP oraz specyfikacji zamówień.

  4. Opóźnione działania administratora: O incydencie administrator dowiedział się z wiadomości e‑mail od podmiotu przetwarzającego. Dopiero 10 czerwca 2021 r. zgłosił naruszenie Prezesowi UODO. Kontrola wykazała, że do momentu incydentu nie sporządzono analizy ryzyka, nie przeprowadzono profesjonalnych szkoleń z ochrony danych, nie udzielano pracownikom pisemnych upoważnień do przetwarzania danych, a rejestr czynności w ogóle nie istniał.

  5. Konsekwencje i kary: Prezes UODO stwierdził liczne naruszenia przepisów o ochronie danych osobowych. Za niewdrożenie odpowiednich środków technicznych i organizacyjnych oraz brak nadzoru nad podmiotem przetwarzającym nałożono karę 7 577 zł. Dodatkowo, za nieprowadzenie rejestru czynności przetwarzania przedsiębiorca otrzymał karę 3 157 zł.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Analiza ryzyka i audyty: Należy przeprowadzać i dokumentować analizę ryzyka dla wszystkich operacji przetwarzania danych, z uwzględnieniem współpracy z podmiotami zewnętrznymi. Analiza powinna identyfikować słabe punkty w systemach partnerów, oceniać stosowane środki ochrony i dokumentować działania korygujące. UODO wskazał, że regularne audyty i testowanie środków bezpieczeństwa są kluczowe dla utrzymania zgodności.

  2. Bezpieczne zarządzanie hasłami: Zalecane jest wdrożenie polityki silnych haseł, stosowanie unikalnych, złożonych haseł przechowywanych w szyfrowanych menedżerach, wymuszanie ich rotacji i wdrożenie wieloskładnikowego uwierzytelnianie (MFA). Dodatkowo należy zrezygnować z zapisywania haseł w serwisach nieprzeznaczonych do tego celu a dostęp do paneli administracyjnych powinien być ograniczony i indywidualny.

  3. Umowy z podmiotami przetwarzającymi: Umowy powierzenia muszą zawierać szczegółowe wymagania bezpieczeństwa (szyfrowanie, pseudonimizacja, MFA, szybkie zgłaszanie incydentów), a administrator powinien weryfikować ich przestrzeganie. Podmioty przetwarzające mogą przetwarzać dane wyłącznie na udokumentowane polecenie administratora.

  4. Szkolenia i upoważnienia: Regularne, udokumentowane szkolenia z zakresu ochrony danych i cyberbezpieczeństwa są konieczne. Powinny obejmować rozpoznawanie phishingu, zasady korzystania z haseł i obowiązek zgłaszania incydentów. Każdy pracownik przetwarzający dane powinien otrzymywać pisemne upoważnienie określające zakres dostępu, a szkolenia muszą być obowiązkowe dla nowych osób.

  5. Rejestr czynności przetwarzania: Prowadzenie rejestru czynności przetwarzania zgodnie z art. 30 RODO pozwala zidentyfikować procesy, ocenić ryzyko i wykazać zgodność podczas kontroli.

  6. Techniczne środki ochrony: W zależności od skali i charakteru przetwarzania należy stosować szyfrowanie danych i połączeń, mechanizmy monitorowania i wykrywania incydentów, testy penetracyjne oraz regularne aktualizacje oprogramowania. Organizacja powinna posiadać procedury reagowania na incydenty uwzględniające następujące elementy identyfikacja, ograniczenie skutków, zgłoszenie organowi nadzorczemu, powiadomienie osób, których dane dotyczą, oraz zapewnienie im wsparcia w razie wysokiego ryzyka.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO