Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/14

Kraj:

Hiszpania

Data wydania decyzji:

28.11.2025 r.

Podmiot kontrolowany:

SPRINTER MEGACENTROS DEL DEPORTE, S.L.

Wysokość kary (EUR):

1.560.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 34 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Bezpośrednią przyczyną incydentu był zewnętrzny cyberatak typu ransomware, w wyniku którego osoby nieuprawnione uzyskały dostęp do systemów informatycznych spółki. Następnie dokonały one eksfiltracji oraz zaszyfrowania danych. Hiszpański organ nadzorczy wskazał jednak, że kluczowe znaczenie miała niewystarczająca adekwatność wdrożonych środków technicznych i organizacyjnych do skali oraz charakteru przetwarzania. Dodatkowo nieprawidłowości dotyczyły procesu zawiadamiania osób, których dane dotyczą. Świadczyło o niedostatecznie przygotowanych procedurach reagowania na incydenty.

 

Opis wydarzeń

  1. Nieuprawniony dostęp do infrastruktury IT: Atak rozpoczął się 24 października 2023 r., kiedy sprawcy uzyskali dostęp do systemów informatycznych spółki. Przez kilka dni działali w infrastrukturze przedsiębiorstwa, co wskazuje na brak skutecznych mechanizmów wczesnego wykrywania incydentów (np. monitorowania anomalii, EDR/SIEM).
  2. Wykrycie zakłóceń operacyjnych: 27 października 2023 r. odnotowano utratę łączności z usługami w centrum danych. Zakłócenia operacyjne były pierwszym widocznym sygnałem incydentu. Sugeruje to, że wykrycie nie nastąpiło na etapie nieautoryzowanego dostępu, lecz dopiero w fazie skutkowej.
  3. Potwierdzenie eksfiltracji danych: 28 października 2023 r., po analizie przeprowadzonej przez specjalistów ds. cyberbezpieczeństwa, potwierdzono, że doszło nie tylko do zaszyfrowania systemów, ale również do wycieku danych osobowych poza organizację.
  4. Skala naruszenia: Incydent objął łącznie 6 381 913 osób, w tym klientów, pracowników oraz byłych pracowników. Zakres danych był szeroki i obejmował dane identyfikacyjne (imię, nazwisko, dokument tożsamości), dane kontaktowe, dane finansowe (np. numery rachunków bankowych), a w przypadku części pracowników także dane dotyczące zdrowia (np. informacje o niepełnosprawności). Oznacza to, że naruszenie dotyczyło również danych szczególnej kategorii.
  5. Zgłoszenie do organu nadzorczego: Administrator zgłosił naruszenie do hiszpańskiego organu nadzorczego  31 października 2023 r. Organ nadzorczy nie kwestionował samego faktu notyfikacji, jednak szczegółowo przeanalizował adekwatność środków bezpieczeństwa oraz dalsze działania spółki.
  6. Zawiadomienie osób, których dane dotyczą: Komunikacja do osób dotkniętych naruszeniem została zrealizowana dopiero pod koniec listopada 2023 r., czyli około miesiąc po wykryciu incydentu. Hiszpański organ nadzorczy uznał, że w przypadku tak szerokiego zakresu danych, zawiadomienie powinno nastąpić bez zbędnej zwłoki.
  7. Postępowanie i sankcja: W toku postępowania sankcyjnego spółka uznała odpowiedzialność oraz skorzystała z przewidzianej w hiszpańskiej procedurze możliwości redukcji kary poprzez dobrowolną zapłatę. Ostateczna wysokość kary wyniosła 1 560 000 euro.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Systemowe podejście do zarządzania ryzykiem: Należy wdrożyć i regularnie aktualizować analizę ryzyka, obejmującą zarówno infrastrukturę IT, jak i procesy biznesowe. Ocena powinna uwzględniać scenariusze ransomware, eksfiltracji danych oraz ataków z wykorzystaniem uprzywilejowanych kont. Wyniki analizy muszą przekładać się na realne decyzje budżetowe i techniczne.
  2. Wzmocnienie zabezpieczeń technicznych: Rekomendowane jest stosowanie segmentacji sieci, mechanizmów MFA dla dostępu administracyjnego, systemów klasy EDR/XDR oraz centralnego monitoringu zdarzeń (SIEM). Niezbędne jest również regularne testowanie odporności organizacji poprzez testy penetracyjne i ćwiczenia typu red teaming. Kopie zapasowe powinny być odseparowane logicznie i fizycznie (zasada 3-2-1).
  3. Dojrzałe procedury reagowania na incydenty: Organizacja powinna posiadać przetestowany plan reagowania na incydenty, który precyzyjnie określa role, ścieżki eskalacji oraz sposób dokumentowania naruszeń. Procedura powinna umożliwiać dokonanie oceny ryzyka i podjęcie decyzji o notyfikacji w ciągu 72 godzin, oraz zapewnić niezwłoczną komunikację do osób w przypadku wysokiego ryzyka.
  4. Transparentna i terminowa komunikacja: Zawiadomienie osób, których dane dotyczą, musi zawierać elementy wskazane w RODO, w tym opis możliwych konsekwencji oraz zaleceń minimalizujących ryzyko (np. monitorowanie rachunków bankowych). Opóźnienia w komunikacji znacząco zwiększają ryzyko sankcji.
  5. Nadzór nad szczególnymi kategoriami danych: W przypadku przetwarzania danych zdrowotnych lub finansowych należy stosować podwyższone standardy bezpieczeństwa, zgodnie z zasadą rozliczalności oraz wytycznymi dotyczącymi odporności na ransomware.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO