Nie da się dobrze chronić danych bez odpowiednich zabezpieczeń

Niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych oraz brak regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków jednym z powodów nałożenia przez UODO administracyjnej kary pieniężnej w wysokości ponad 47 tys. zł.

Do UODO wpłynęła informacja od podmiotu trzeciego, wskazująca na utratę dokumentacji prowadzonej w formie elektronicznej przez administratora. Dokumentacja ta zawierała m.in. dane osobowe pracowników administratora oraz osób będących stronami umów cywilnoprawnych. W związku z tymi informacjami UODO występował do administratora z kolejnymi pismami o udzielenie wyjaśnień. Administrator przyznał, że w wyniku ataku ransomware doszło do zablokowania dostępu do danych osobowych pracowników spółki. Nie umiał rozszyfrować danych, więc przyjął, że najkorzystniej będzie wstrzymać się od ingerowania w system.

Administrator nie zgłosił naruszenia ochrony danych osobowych do organu nadzorczego. W ocenie administratora zdarzenie nie stanowiło incydentu, mającego znamiona naruszenia ochrony danych osobowych w rozumieniu RODO.

Brak wdrożenia odpowiednich środków

W ocenie UODO, biorąc pod uwagę zakres przetwarzanych danych osobowych, a także kategorie osób, administrator był zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewniłyby adekwatny poziom ochrony danych. Dobór właściwych środków powinien wynikać z przeprowadzonej analizy ryzyka, niestety w omawianym postępowaniu nic nie wskazywało na to, że administrator przeprowadził ją prawidłowo dla przetwarzanych w formie elektronicznej danych.

RODO daje dużą elastyczność administratorowi, nie narzucając konkretnych wymagań w zakresie doboru zabezpieczeń. To administrator ma samodzielnie dokonać analizy procesów przetwarzania danych, ocenić ryzyka, a następnie zastosować odpowiednie środki i procedury.

Niezależnie od okoliczności związanych z analizą ryzyka, w przedmiotowej sprawie administrator nie stosował także adekwatnych środków bezpieczeństwa, czego rezultatem było przełamanie zabezpieczeń systemu informatycznego i zaszyfrowanie danych osobowych. Działanie to nie zostało powstrzymane przez przyjęte u niego mechanizmy bezpieczeństwa. Podmiot ten nie podjął niezwłoczne działań zapewniających szybkie i skuteczne przywrócenie dostępu do danych osobowych.

UODO konsekwentnie przypomina, że wdrażając środki bezpieczeństwa, administrator nie może ograniczać się do jednorazowego ich opracowania. Konieczne jest także ich testowanie i weryfikowanie, czy są one adekwatne do istniejących ryzyk. Administrator nie był w stanie także wykazać, że zastosowane przez niego środki techniczne i organizacyjne są wystarczające.

Administrator, mimo sugestii ze strony Urzędu, dotyczącej przeprowadzenia pogłębionej analizy zaistniałego zdarzenia, nadal nie dostrzegał w nim znamion naruszenia ochrony danych osobowych. Nie widział w nim także ryzyka dla praw i wolności osób, których dane dotyczą.

Niezadowalająca współpraca

W przedmiotowej sprawie znaczenie dla jej oceny miała także współpraca z administratorem, która nie należała do zadowalających. Administrator udzielał odpowiedzi na pisma organu nadzorczego w sposób bardzo lakoniczny, często niespójny. Pisma niejednokrotnie nie były opatrzone podpisami osób uprawnionych do reprezentacji, a także zdarzyła się sytuacja, kiedy odpowiedź do UODO skierowana była przez zupełnie inną spółkę.

Pełna treść decyzji