Pozostałe artykuły
Poniżej przestawiam opis naruszeń danych osobowych, które stały się przedmiotem decyzji Prezesa UODO w 2023 r. Warto pamiętać, iż wysokość administracyjnej kary pieniężnej za naruszenie RODO jest kwestią indywidulaną i zależy m.in. od wagi i czasu trwania naruszenia, liczby poszkodowanych osób, stopnia współpracy z organem nadzorczym, wcześniejszych naruszeń.
W Sądzie Rejonowym zagubione zostały trzy nośniki danych typu pendrive: jeden służbowy - szyfrowany oraz dwa prywatne – nieszyfrowane. Co istotne, Administrator nie wdrożył blokady portów USB celem uniemożliwienia korzystania z prywatnych nośników danych.
Analogicznego naruszenia dopuścił się Rzecznik Dyscyplinarny Izby Adwokackiej. Doszło bowiem do uszkodzenia przesyłki i utraty zewnętrznego nośnika danych (pendrive). Nośnik zawierał nagranie rozprawy rozwodowej. Pendrive oraz plik, znajdujący się na zagubionym nośniku, nie zostały zaszyfrowane.
Do podobnego incydentu doszło w Urzędzie Miasta i Gminy. Pracownik Urzędu przekopiował na prywatny nośnik dane osobowe z komputera służbowego.
30.000 zł (Sąd Rejonowy), 23 580 zł (Rzecznik Dyscyplinarny Izby Adwokackiej), 10 000 zł (Burmistrz Miast i Gminy)
W tego typu sprawach nie wystarczy, aby Administrator posiadał odpowiednie zapisy w dokumentach (np. zakaz użytkowania prywatnych nośników danych ujęty w polityce czy procedurze). Aby uniknąć naruszeń, należy przeprowadzić analizę ryzyka związanego z wykorzystywaniem przez pracowników sprzętu komputerowego, umożliwiającego podłączenie pamięci USB. Prawidłowo przeprowadzona analiza ryzyka pozwoli dobrać adekwatne zabezpieczenia techniczne i organizacyjne. Komputery służbowe należy zabezpieczyć przed możliwością skopiowania danych osobowych na prywatne nośniki pamięci. Pracownicy powinni używać wyłącznie służbowych, szyfrowanych nośników. Warto również szyfrować pliki. Prezes UODO, w razie naruszenia, zwróci również uwagę na cykliczne szkolenie pracowników.
W wyniku włamania do mieszkania doszło do kradzieży niezabezpieczonej dokumentacji - były wśród niej protokoły z przeprowadzonych kontroli (gazowej, technicznej, kominiarskiej), wyciągi bankowe, faktury od dostawców, kopia aktu notarialnego. Na wyciągach bankowych znajdowały się imiona i nazwiska wpłacających, ich adresy zamieszkania oraz w niektórych przypadkach nr konta bankowego. Dokumentacja ta została skradziona Zarządcy, który współpracował ze Wspólnotą Mieszkaniową.
1 556,28 zł
Prezes UODO zwrócił uwagę, iż Wspólnota Mieszkaniowa nie dokonała jakiegokolwiek sprawdzenia, czy Zarządca zapewnia wystarczające gwarancje w zakresie środków technicznych i organizacyjnych a ponadto podmioty te współpracowały bez zawarcia umowy powierzenia przetwarzania. Należy pamiętać, iż weryfikacja procesora (np. poprzez ankietę z pytaniami o zabezpieczenia, listę kontrolną, audyt) powinna odbyć się przed zawarciem umowy powierzenia, a ponadto należy ją cyklicznie powtarzać.
W wyniku działania wirusa komputerowego doszło do naruszenia polegającego na utracie poufności danych. Sprawa dotyczyła danych osobowych ok. 800 osób.
33 012 zł
Prezes UODO stwierdził, iż analiza ryzyka została wykonana w niewystarczającym stopniu w zakresie zapewnienia dostępu do danych osobowych pracownikom pracującym zdalnie. W efekcie dane osobowe znalazły się w niezabezpieczonej lokalizacji. Naruszenia można było uniknąć choćby poprzez ustawienie haseł dostępowych do folderów lub poprzez poddanie plików szyfrowaniu lub pseudonimizacji.
Dodatkowo, ważne jest przeprowadzanie testów zastosowanych środków bezpieczeństwa. Pozwala to na wykrycie błędów – w tej sprawie było to udostępnienie niezabezpieczonego zasobu w niewłaściwej lokalizacji
Do naruszenia danych osobowych doszło w wyniku ataku ransomware na Urząd Miasta. Naruszenie dotyczyło dużej ilości osób (ponad 9 tysięcy) a wśród kategorii danych osobowych były m.in. nr PESEL i nr rachunku bankowego. Atak możliwy był dzięki podatności systemu informatycznego - baza wirusów nie była zaktualizowana a używany system operacyjny stracił wsparcie producenta.
30 000 złotych
W toku sprawy ustalono, iż Burmistrz co prawda przewidział ryzyko związane z atakiem ransomware, niemniej jednak nie podjął odpowiedniego działania – baza wirusów nie była aktualizowana, system operacyjny zainstalowany na serwerze stracił wsparcie producenta (co wiązało się z brakiem aktualizacji zabezpieczeń). Co więcej, w Urzędzie nie przeprowadzano testów przyjętych środków technicznych. Prezes UODO uznał więc, że Administrator nie miał pełnej kontroli nad bezpieczeństwem procesu przetwarzania danych osobowych.
Podkreślić należy, iż w tego typu sprawach Administrator nie jest „karany” za to, iż padł ofiarą ataku ransomware, ale za to, że nie zastosował adekwatnych zabezpieczeń systemu informatycznego.
Spółka, w wyniku ataku ransomware, utraciła dokumentację koncesyjną prowadzoną w formie elektronicznej. Złośliwe oprogramowanie przełamało zabezpieczenia systemu informatycznego oraz zaszyfrowało dane osobowe znajduje się na trzech serwerach.
47 160 zł
W toku postępowania Prezes UODO ustalił, iż spółka nie przeprowadziła prawidłowej analizy ryzyka dla procesu przetwarzania danych osobowych w formie elektronicznej. Rezultatem braku analizy ryzyka było oczywiście niezastosowanie odpowiednich środków bezpieczeństwa. Co więcej, Prezes UODO zwrócił uwagę na bierność spółki w obliczu zaistniałego naruszenia, faktyczny brak możliwości odzyskania danych z kopii zapasowej (zasady tworzenia kopii zapasowych nie zapewniały dostępności systemów oraz zdolności do szybkiego przywrócenia dostępności danych osobowych), brak testów zabezpieczeń w pełnym zakresie, niespójne i lakoniczne wyjaśnienia.
W wyniku włamania do samochodu służbowego osoby zajmującej kierownicze stanowisko doszło do kradzieży służbowego laptopa. Komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła.
15 000 zł
W przypadku komputerów wykorzystywanych do pracy zdalnej warto zastosować dodatkowe zabezpieczenia w postaci np. szyfrowania dysków twardych. W tej sprawie Administrator prawidłowo przeprowadził ocenę ryzyka i zdawał sobie sprawę z konieczności zabezpieczenia urządzeń mobilnych systemami szyfrującymi, niemniej jednak zaniechał wdrożenia mechanizmów mitygujących.
Prezes Spółdzielni Mieszkaniowej, na konferencji prasowej, przekazał dziennikarzom kopie zawiadomienia o możliwości popełnienia przestępstwa przez członka Spółdzielni. Na kopii zawiadomienia znajdowały się dane osobowe - numer PESEL, imię i nazwisko, adres zamieszkania.
Analogicznych spraw było więcej w 2023 r. Jedną z nich było naruszenie, którego dopuściła się Prokuratura Rejonowa – polegało ono na przekazaniu lokalnemu dziennikarzowi, w ramach odpowiedzi na wniosek złożony w trybie ustawy o dostępie do informacji publicznej, dokumentacji z zakończonego postępowania przygotowawczego. Rezultatem było ujawnienie danych osobowych zawartych w jej treści.
51 876 zł (dla Spółdzielni Mieszkaniowej), 20 000 zł (dla Prokuratury Rejonowej), 11 790 zł (dla osoby fizycznej prowadzącej działalność gospodarczą)
Podkreślić należy, iż ujawnienie nr PESEL oraz imienia i nazwiska, może, zdaniem Prezesa UODO, rodzić szereg konsekwencji: kradzież lub sfałszowanie tożsamości poprzez uzyskanie pożyczek w instytucjach pozabankowych, wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może skutkować szkodą majątkową lub niemajątkową, przypisanie osobie, której dane dotyczą, odpowiedzialności za dokonanie oszustwa. Stąd też stanowisko Prezesa UODO jest rygorystyczne – naruszeniom tym należy przypisać znaczną wagę i poważny charakter, a prawdopodobieństwo wystąpienia szkody ocenić jako wysokie. Warto pamiętać o anonimizacji dokumentów przed ich przekazaniu dziennikarzom.
Prezes UODO niejednokrotnie zwraca się do administratorów o udzielenie wyjaśnień i informacji – lecz wezwania pozostawiane są bez jakiejkolwiek odpowiedzi ze strony wzywanych podmiotów.
18 279 zł; 14 148 zł; 18 864 zł; 33 012 zł – wszystkie podmioty były spółkami
Warto wiedzieć, iż nieodbieranie pism od Prezesa UODO lub pozostawianie ich bez odpowiedzi nie uchroni administratora danych osobowych przed karą pieniężną. Niemniej jednak, iż w przypadkach, w których brak współpracy z Prezesem UODO miał charakter wyłącznie incydentalny, organ nie nałożył administracyjnej kary pieniężnej, a udzielił jedynie upomnienia.
Prezes UODO zwrócił się do Administratora celem sprawdzenia, czy nałożony poprzednią decyzją obowiązek został wykonany. Administrator nie odpowiedział na wezwanie ani nie przedstawił żadnych dowodów potwierdzających wykonanie decyzji.
22 848 zł
Jakie wnioski można wyciągnąć na podstawie decyzji Prezesa UODO z 2023 r.? Przede wszystkim warto zadbać (i aktualizować) analizę ryzyka przetwarzania danych osobowych, gdyż dzięki niej można wychwycić potencjalne zagrożenia oraz dobrać efektywne zabezpieczenia. Szczególną uwagę należy zwrócić na szyfrowanie nośników danych oraz zabezpieczenie infrastruktury IT przed złośliwym oprogramowaniem. Pamiętać należy, że wdrożenie RODO to nie tylko polityki i procedury, ale również konkretne rozwiązania techniczne, które muszą być systematycznie aktualizowane i testowane.
Profil kancelarii:
Radca Prawny Malwina Czerska
Na spotkanie zapraszam Klientów, po wcześniejszym umówieniu, do:
- biura Kancelarii w Konstancinie przy ul. Wilanowskiej 1 (2 piętro, nad Pocztą);
- salki konferencyjnej na Ursynowie przy ul. Indiry Gandhi 25 (około 400 metrów od Metra Imielin).
NIP 9512183706 REGON 523728432
Nr rachunku bankowego:
PKO BP 76 1020 1169 0000 8802 0842 8106