Radca Prawny Malwina Czerska Konstancin Porady Prawne Ursynów
02 lipca 2024
Zasady wypłacania odszkodowań z ubezpieczenia OC są inne, niż zasady wypłaty świadczeń z ubezpieczenia NNW czy odszkodowania z tytułu wypadku
10 kwietnia 2024
Posiedzenia sądowe bywają stresujące nawet dla niejednego prawnika. Świadkowie, wezwani na rozprawę, niejednokrotnie są w sądzie po raz pierwszy, stąd
19 marca 2024
Świadczenie wyrównawcze agenta Po rozwiązaniu umowy agencyjnej, agent może żądać wypłaty świadczenia wyrównawczego, czyli świadczenia pieniężnego o maksymalnej wysokości wynagrodzenia
30 stycznia 2024
„Pakowany w atmosferze ochronnej” - co to znaczy? Chleb tostowy, mięso, ryby, dania gotowe czy chipsy – to przykłady produktów,
23 stycznia 2024
Wiele mówi się ostatnio o dyrektywie dot. greenwashing i green claims, ale co tak naprawdę wprowadzają nowe przepisy unijne i
06 grudnia 2023
Zgubiony pendrive, atak ransomware a może po prostu kradzież dokumentów? Jakie zagrożenia w erze cyfrowej skutkowały naruszeniem RODO i karą

Pozostałe artykuły

Sprawdź, czy nie narażasz się na karę za nieprzestrzeganie RODO

06 grudnia 2023
RODO - czy nie narażasz się na karę finansową?

Zgubiony pendrive, atak ransomware a może po prostu kradzież dokumentów? Jakie zagrożenia w erze cyfrowej skutkowały naruszeniem RODO i karą pieniężną w 2023 r.?


 
Poniżej przestawiam opis naruszeń danych osobowych, które stały się przedmiotem decyzji Prezesa UODO w 2023 r. Warto pamiętać, iż wysokość administracyjnej kary pieniężnej za naruszenie RODO jest kwestią indywidulaną i zależy m.in. od wagi i czasu trwania naruszenia, liczby poszkodowanych osób, stopnia współpracy z organem nadzorczym, wcześniejszych naruszeń.

 

1. Zagubione nośniki danych typu pendrive


W Sądzie Rejonowym zagubione zostały trzy nośniki danych typu pendrive: jeden służbowy - szyfrowany oraz dwa prywatne – nieszyfrowane. Co istotne, Administrator nie wdrożył blokady portów USB celem uniemożliwienia korzystania z prywatnych nośników danych.

 

Analogicznego naruszenia dopuścił się Rzecznik Dyscyplinarny Izby Adwokackiej. Doszło bowiem do uszkodzenia przesyłki i utraty zewnętrznego nośnika danych (pendrive). Nośnik zawierał nagranie rozprawy rozwodowej. Pendrive oraz plik, znajdujący się na zagubionym nośniku, nie zostały zaszyfrowane.

 

Do podobnego incydentu doszło w Urzędzie Miasta i Gminy. Pracownik Urzędu przekopiował na prywatny nośnik dane osobowe z komputera służbowego.

 

Stwierdzone przez Prezesa UODO naruszenie:

  • niewdrożenie przez Administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci.

 

Administracyjna kara pieniężna:

30.000 zł (Sąd Rejonowy), 23 580 zł (Rzecznik Dyscyplinarny Izby Adwokackiej), 10 000 zł (Burmistrz Miast i Gminy)

 

W tego typu sprawach nie wystarczy, aby Administrator posiadał odpowiednie zapisy w dokumentach (np. zakaz użytkowania prywatnych nośników danych ujęty w polityce czy procedurze). Aby uniknąć naruszeń, należy przeprowadzić analizę ryzyka związanego z wykorzystywaniem przez pracowników sprzętu komputerowego, umożliwiającego podłączenie pamięci USB. Prawidłowo przeprowadzona analiza ryzyka pozwoli dobrać adekwatne zabezpieczenia techniczne i organizacyjne. Komputery służbowe należy zabezpieczyć przed możliwością skopiowania danych osobowych na prywatne nośniki pamięci. Pracownicy powinni używać wyłącznie służbowych, szyfrowanych nośników. Warto również szyfrować pliki. Prezes UODO, w razie naruszenia, zwróci również uwagę na cykliczne szkolenie pracowników.

 

2. Kradzież dokumentacji


W wyniku włamania do mieszkania doszło do kradzieży niezabezpieczonej dokumentacji - były wśród niej protokoły z przeprowadzonych kontroli (gazowej, technicznej, kominiarskiej), wyciągi bankowe, faktury od dostawców, kopia aktu notarialnego. Na wyciągach bankowych znajdowały się imiona i nazwiska wpłacających, ich adresy zamieszkania oraz w niektórych przypadkach nr konta bankowego. Dokumentacja ta została skradziona Zarządcy, który współpracował ze Wspólnotą Mieszkaniową.

 

Stwierdzone przez Prezesa UODO naruszenie:

  • powierzenie przez Wspólnotę Mieszkaniową przetwarzania danych osobowych członków wspólnoty Zarządcy bez zawartej na piśmie umowy powierzenia;
  • brak weryfikacji, czy procesor (Zarządca) zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych;
  • nie zgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki;
  • braku zawiadomienia, przez Wspólnotę Mieszkaniową, o naruszeniu ochrony danych osobowych, osób, których dane dotyczą.
     

Administracyjna kara pieniężna:

1 556,28 zł

 

Prezes UODO zwrócił uwagę, iż Wspólnota Mieszkaniowa nie dokonała jakiegokolwiek sprawdzenia, czy Zarządca zapewnia wystarczające gwarancje w zakresie środków technicznych i organizacyjnych a ponadto podmioty te współpracowały bez zawarcia umowy powierzenia przetwarzania. Należy pamiętać, iż weryfikacja procesora (np. poprzez ankietę z pytaniami o zabezpieczenia, listę kontrolną, audyt) powinna odbyć się przed zawarciem umowy powierzenia, a ponadto należy ją cyklicznie powtarzać.

 

3. Działanie wirusa komputerowego


W wyniku działania wirusa komputerowego doszło do naruszenia polegającego na utracie poufności danych. Sprawa dotyczyła danych osobowych ok. 800 osób.

 

Stwierdzone przez Prezesa UODO naruszenie:

 

  • niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych;
  • brak weryfikacji podmiotu przetwarzającego pod kątem zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych.
     

Administracyjna kara pieniężna:

33 012 zł

 

Prezes UODO stwierdził, iż analiza ryzyka została wykonana w niewystarczającym stopniu w zakresie zapewnienia dostępu do danych osobowych pracownikom pracującym zdalnie. W efekcie dane osobowe znalazły się w niezabezpieczonej lokalizacji. Naruszenia można było uniknąć choćby poprzez ustawienie haseł dostępowych do folderów lub poprzez poddanie plików szyfrowaniu lub pseudonimizacji.

Dodatkowo, ważne jest przeprowadzanie testów zastosowanych środków bezpieczeństwa. Pozwala to na wykrycie błędów – w tej sprawie było to udostępnienie niezabezpieczonego zasobu w niewłaściwej lokalizacji

 

4. Atak ransomware w Urzędzie Miasta


Do naruszenia danych osobowych doszło w wyniku ataku ransomware na Urząd Miasta. Naruszenie dotyczyło dużej ilości osób (ponad 9 tysięcy) a wśród kategorii danych osobowych były m.in. nr PESEL i nr rachunku bankowego. Atak możliwy był dzięki podatności systemu informatycznego - baza wirusów nie była zaktualizowana a używany system operacyjny stracił wsparcie producenta.

 

Stwierdzone przez Prezesa UODO naruszenie:

 

  • dobór nieskutecznych zabezpieczeń systemu informatycznego;
  • brak odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków.
     

Administracyjna kara pieniężna:

30 000 złotych

 

W toku sprawy ustalono, iż Burmistrz co prawda przewidział ryzyko związane z atakiem ransomware, niemniej jednak nie podjął odpowiedniego działania – baza wirusów nie była aktualizowana, system operacyjny zainstalowany na serwerze stracił wsparcie producenta (co wiązało się z brakiem aktualizacji zabezpieczeń). Co więcej, w Urzędzie nie przeprowadzano testów przyjętych środków technicznych. Prezes UODO uznał więc, że Administrator nie miał pełnej kontroli nad bezpieczeństwem procesu przetwarzania danych osobowych.

 

Podkreślić należy, iż w tego typu sprawach Administrator nie jest „karany” za to, iż padł ofiarą ataku ransomware, ale za to, że nie zastosował adekwatnych zabezpieczeń systemu informatycznego.

 

5. Atak ransomware w spółce


Spółka, w wyniku ataku ransomware, utraciła dokumentację koncesyjną prowadzoną w formie elektronicznej. Złośliwe oprogramowanie przełamało zabezpieczenia systemu informatycznego oraz zaszyfrowało dane osobowe znajduje się na trzech serwerach.

 

Stwierdzone przez Prezesa UODO naruszenie:

 

  • niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych;
  • niewdrożenie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków;
  • niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki;
  • niezawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.
     

Administracyjna kara pieniężna:

47 160 zł

 

W toku postępowania Prezes UODO ustalił, iż spółka nie przeprowadziła prawidłowej analizy ryzyka dla procesu przetwarzania danych osobowych w formie elektronicznej. Rezultatem braku analizy ryzyka było oczywiście niezastosowanie odpowiednich środków bezpieczeństwa. Co więcej, Prezes UODO zwrócił uwagę na bierność spółki w obliczu zaistniałego naruszenia, faktyczny brak możliwości odzyskania danych z kopii zapasowej (zasady tworzenia kopii zapasowych nie zapewniały dostępności systemów oraz zdolności do szybkiego przywrócenia dostępności danych osobowych), brak testów zabezpieczeń w pełnym zakresie, niespójne i lakoniczne wyjaśnienia.

 

6. Kradzież służbowego laptopa


W wyniku włamania do samochodu służbowego osoby zajmującej kierownicze stanowisko doszło do kradzieży służbowego laptopa. Komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła.

 

Stwierdzone przez Prezesa UODO naruszenie:

 

  • niezastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych w przypadku pracy zdalnej, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
  • braku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, w szczególności w związku z wykorzystaniem przenośnych komputerów służbowych.
     

Administracyjna kara pieniężna:

15 000 zł

 

W przypadku komputerów wykorzystywanych do pracy zdalnej warto zastosować dodatkowe zabezpieczenia w postaci np. szyfrowania dysków twardych. W tej sprawie Administrator prawidłowo przeprowadził ocenę ryzyka i zdawał sobie sprawę z konieczności zabezpieczenia urządzeń mobilnych systemami szyfrującymi, niemniej jednak zaniechał wdrożenia mechanizmów mitygujących.

 

7. Niezgłoszenie organowi nadzorczemu naruszenia bez zbędnej zwłoki oraz niezawiadomienie o naruszeniu osoby, której dane dotyczą


Prezes Spółdzielni Mieszkaniowej, na konferencji prasowej, przekazał dziennikarzom kopie zawiadomienia o możliwości popełnienia przestępstwa przez członka Spółdzielni. Na kopii zawiadomienia znajdowały się dane osobowe - numer PESEL, imię i nazwisko, adres zamieszkania.

 

Analogicznych spraw było więcej w 2023 r. Jedną z nich było naruszenie, którego dopuściła się Prokuratura Rejonowa – polegało ono na przekazaniu lokalnemu dziennikarzowi, w ramach odpowiedzi na wniosek złożony w trybie ustawy o dostępie do informacji publicznej, dokumentacji z zakończonego postępowania przygotowawczego. Rezultatem było ujawnienie danych osobowych zawartych w jej treści.

 

Stwierdzone przez Prezesa UODO naruszenie:

 

  • niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia;
  • niezawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.
     

Administracyjna kara pieniężna:

51 876 zł (dla Spółdzielni Mieszkaniowej), 20 000 zł (dla Prokuratury Rejonowej), 11 790 zł (dla osoby fizycznej prowadzącej działalność gospodarczą)

 

Podkreślić należy, iż ujawnienie nr PESEL oraz imienia i nazwiska, może, zdaniem Prezesa UODO, rodzić szereg konsekwencji: kradzież lub sfałszowanie tożsamości poprzez uzyskanie pożyczek w instytucjach pozabankowych, wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może skutkować szkodą majątkową lub niemajątkową, przypisanie osobie, której dane dotyczą, odpowiedzialności za dokonanie oszustwa. Stąd też stanowisko Prezesa UODO jest rygorystyczne – naruszeniom tym należy przypisać znaczną wagę i poważny charakter, a prawdopodobieństwo wystąpienia szkody ocenić jako wysokie. Warto pamiętać o anonimizacji dokumentów przed ich przekazaniu dziennikarzom.

 

8. Brak współpracy z Prezesem Urzędu Ochrony Danych Osobowych


Prezes UODO niejednokrotnie zwraca się do administratorów o udzielenie wyjaśnień i informacji – lecz wezwania pozostawiane są bez jakiejkolwiek odpowiedzi ze strony wzywanych podmiotów. 

 

Stwierdzone przez Prezesa UODO naruszenie:

 

  • brak współpracy z Prezesem UODO w ramach wykonywania przez niego swoich zadań;
  • niezapewnienie Prezesowi UODO dostępu do informacji niezbędnych do realizacji swoich zadań.
     

Administracyjna kara pieniężna:

18 279 zł; 14 148 zł; 18 864 zł; 33 012 zł – wszystkie podmioty były spółkami

 

Warto wiedzieć, iż nieodbieranie pism od Prezesa UODO lub pozostawianie ich bez odpowiedzi nie uchroni administratora danych osobowych przed karą pieniężną. Niemniej jednak, iż w przypadkach, w których brak współpracy z Prezesem UODO miał charakter wyłącznie incydentalny, organ nie nałożył administracyjnej kary pieniężnej, a udzielił jedynie upomnienia.

 

9. Niewykonanie poprzedniej decyzji


Prezes UODO zwrócił się do Administratora celem sprawdzenia, czy nałożony poprzednią decyzją obowiązek został wykonany. Administrator nie odpowiedział na wezwanie ani nie przedstawił żadnych dowodów potwierdzających wykonanie decyzji.

 

Stwierdzone przez Prezesa UODO naruszenie:

  • niewykonanie przez Administratora nakazu decyzji administracyjnej.

 

Administracyjna kara pieniężna:

22 848 zł

 

Jakie wnioski można wyciągnąć na podstawie decyzji Prezesa UODO z 2023 r.? Przede wszystkim warto zadbać (i aktualizować) analizę ryzyka przetwarzania danych osobowych, gdyż dzięki niej można wychwycić potencjalne zagrożenia oraz dobrać efektywne zabezpieczenia. Szczególną uwagę należy zwrócić na szyfrowanie nośników danych oraz zabezpieczenie infrastruktury IT przed złośliwym oprogramowaniem. Pamiętać należy, że wdrożenie RODO to nie tylko polityki i procedury, ale również konkretne rozwiązania techniczne, które muszą być systematycznie aktualizowane i testowane.

Profil kancelarii:

Radca Prawny Malwina Czerska

 

Na spotkanie zapraszam Klientów, po wcześniejszym umówieniu, do:

 

 - biura Kancelarii w Konstancinie przy ul. Wilanowskiej 1 (2 piętro, nad Pocztą);

 

- salki konferencyjnej na Ursynowie przy ul. Indiry Gandhi 25 (około 400 metrów od Metra Imielin).

 

NIP 9512183706 REGON 523728432
 

Nr rachunku bankowego:
PKO BP 76 1020 1169 0000 8802 0842 8106

Logo Krajowej Izby Radców Prawnych, prawnik na Ursynowie
Radca Prawny Malwina Czerska - porady prawne na Ursynowie
Kancelaria Radcy Prawnego na Ursynowie