Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/30

Kraj:

Irlandia

Data wydania decyzji:

10.12.2025 r.

Podmiot kontrolowany:

University of Limerick

Wysokość kary (EUR):

98.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 30 ust. 1, art. 32 ust. 1, art. 33 ust. 1, art. 34 ust. 1 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Bezpośrednią przyczyną naruszeń był brak adekwatnych środków technicznych i organizacyjnych zabezpieczających system poczty elektronicznej, w szczególności brak wieloskładnikowego uwierzytelniania oraz niewdrożenie mechanizmów uwierzytelniania domen. Dodatkowo organizacja nie doszacowała ryzyka phishingu i nie wdrożyła skutecznych mechanizmów jego ograniczania. Istotnym czynnikiem był również niewystarczający poziom świadomości pracowników oraz opóźnienia w reagowaniu na incydenty.

 

Opis wydarzeń

  1. Seria incydentów phishingowych: W okresie od listopada 2018 r. do stycznia 2020 r. zgłoszono co najmniej 12 naruszeń związanych z nieautoryzowanym dostępem do kont e-mail pracowników.
  2. Podszywanie się pod wiarygodne źródła: Atakujący wykorzystywali fałszywe wiadomości e-mail imitujące komunikaty wewnętrzne (np. od władz uczelni), zawierające linki do spreparowanych stron logowania.
  3. Przechwycenie danych uwierzytelniających: Użytkownicy wprowadzali swoje dane logowania na fałszywych stronach, co umożliwiało przejęcie kont pocztowych przez osoby nieuprawnione.
  4. Utrwalenie dostępu przez atakujących: Po uzyskaniu dostępu do kont, przestępcy tworzyli reguły przekierowań i ukrywania wiadomości, co utrudniało wykrycie incydentu.
  5. Szeroki zakres naruszenia: Dostęp uzyskano nie tylko do skrzynek pracowników, ale także do danych osób trzecich, w tym studentów i innych podmiotów komunikujących się z uczelnią.
  6. Różnorodność danych: Naruszone dane obejmowały m.in. dane identyfikacyjne, dane kontaktowe, CV, a w niektórych przypadkach także informacje wrażliwe lub finansowe.
  7. Brak adekwatnych zabezpieczeń technicznych: W czasie incydentów nie stosowano MFA, a systemy nie wykorzystywały skutecznych mechanizmów weryfikacji nadawcy wiadomości (SPF, DKIM, DMARC).
  8. Niewystarczające środki organizacyjne: Brak skutecznych polityk dotyczących przekierowywania wiadomości oraz niewystarczające szkolenia pracowników zwiększyły podatność na phishing.
  9. Opóźnienia w zgłoszeniach: Część naruszeń nie została zgłoszona w terminie 72 godzin od momentu ich wykrycia.
  10. Niepełne zawiadomienia osób, których dane dotyczą: W niektórych przypadkach nie poinformowano wszystkich poszkodowanych, mimo wysokiego ryzyka naruszenia ich praw i wolności.
  11. Nieprawidłowości w dokumentacji: Rejestr czynności przetwarzania nie odzwierciedlał faktycznych operacji przetwarzania i stosowanych zabezpieczeń.
  12. Ocena organu nadzorczego: Irlandzki organ nadzorczy uznał, że wdrożone środki nie były adekwatne do poziomu ryzyka, szczególnie biorąc pod uwagę skalę przetwarzania (ok. 18 000 użytkowników systemu).
  13. Konsekwencje regulacyjne: Irlandzki organ nadzorczy stwierdził naruszenie przepisów RODO i nałożył administracyjną karę pieniężną w wysokości 98 000 EUR.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie wieloskładnikowego uwierzytelniania (MFA): MFA powinno być standardem dla wszystkich systemów przetwarzających dane osobowe, szczególnie dla poczty elektronicznej.
  2. Zastosowanie mechanizmów uwierzytelniania domen (SPF, DKIM, DMARC): Wdrożenie tych technologii znacząco ogranicza skuteczność phishingu i spoofingu. Wytyczne ENISA oraz NIST wskazują je jako podstawowy element ochrony komunikacji e-mail.
  3. Regularna i udokumentowana analiza ryzyka: Zgodnie z art. 32 RODO środki bezpieczeństwa muszą być adekwatne do ryzyka. Analiza powinna uwzględniać realne scenariusze ataków (np. phishing) oraz aktualne zagrożenia.
  4. Zarządzanie konfiguracją systemów pocztowych: Należy ograniczyć możliwość automatycznego przekierowywania wiadomości na zewnętrzne adresy oraz monitorować reguły skrzynek pocztowych pod kątem nadużyć.
  5. Systematyczne szkolenia pracowników: Szkolenia powinny mieć charakter cykliczny i praktyczny (np. symulacje phishingu). Zgodnie z podejściem organów nadzorczych, czynnik ludzki pozostaje jednym z głównych wektorów ryzyka.
  6. Procedury reagowania na incydenty: Organizacja powinna posiadać jasno określone procedury wykrywania, analizy i raportowania naruszeń, tak aby zapewnić dotrzymanie 72-godzinnego terminu zgłoszenia.
  7. Pełna i aktualna dokumentacja: Rejestr czynności przetwarzania powinien odzwierciedlać rzeczywiste operacje przetwarzania, w tym stosowane środki techniczne i organizacyjne.
  8. Ocena konieczności notyfikacji osób, których dane dotyczą: Każde naruszenie powinno być analizowane pod kątem ryzyka dla osób fizycznych. W przypadku wysokiego ryzyka konieczne jest niezwłoczne poinformowanie wszystkich poszkodowanych.
  9. Testowanie i audyty środków bezpieczeństwa: Zgodnie z art. 32 ust. 1 lit. d RODO należy regularnie testować i oceniać skuteczność zabezpieczeń.
  10. Podejście „security by design i by default”: Systemy powinny być projektowane z uwzględnieniem bezpieczeństwa już na etapie wdrożenia, a nie dopiero po wystąpieniu incydentu.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO