Niewdrożenie odpowiednich środków bezpieczeństwa dla danych może skończyć się ich utratą

Za nieprzestrzeganie zasad ochrony danych osobowych UODO ukarał firmę sprzedającą m.in. drzwi antywłamaniowe ponad 350 tys. zł kary. Wspólnicy spółki cywilnej, której firma powierzyła przetwarzanie danych, zostali ukarani karą 9,8 tys. zł. 

Firma zgłosiła, że w wyniku ataku hakerskiego straciła dostęp do danych klientów oraz pracowników. W bazie były dane m.in. byłych i obecnych pracowników: numery PESEL, dowodów osobistych, imiona i nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, e-mail i numer telefonu. Jak twierdziła firma, jej pracownik wyłączył program antywirusowy i to umożliwiło atak typu ransomware. Zdaniem administratora incydent trwał jednak krótko, firmie udało się odzyskać dostęp do danych. Uznała też, że celem ataku nie było zdobycie danych, tylko szantaż. Dlatego uznała, że nie było więc wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Firma (administrator danych) powiadomiła o fakcie osoby, których dane dotyczyły. Zrobiła to jednak w sposób wadliwy, i nie zareagowała na uwagi PUODO.

Prezes UODO wszechstronnie rozpatrzył zgromadzony w sprawie materiał dowodowy. Pytał też firmę (administratora danych), jakie rozwiązania wdrożyła po ataku. W efekcie PUODO ustalił, że administrator danych nie zastosował odpowiednich środków technicznych i organizacyjnych, które zminimalizowałyby ryzyko dla danych. A stało się to dlatego, że wbrew wskazaniom RODO, nie przeprowadził odpowiedniej analizy ryzyka. W tej sytuacji ryzyko to należało łączyć z możliwością wykorzystania złośliwego oprogramowania. Jedną z kluczowych metod zapobiegania takim atakom jest używanie aktualnego oprogramowania dla wszystkich elementów infrastruktury informatycznej. Czego firma nie zrobiła, gdyż takiego zagrożenia nie zidentyfikowała.

Niezależnie od niewdrożenia przez administratora odpowiednich technicznych i organizacyjnych środków bezpieczeństwa na podstawie przeprowadzonej analizy ryzyka, kara jest też za: niezweryfikowanie, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO chroniło prawa osób, których dane dotyczą (pkt I b) sentencji decyzji); nieprawidłowe zawiadomienie osób, których dane dotyczą (pkt I c) sentencji decyzji).

Administrator nie wypełnił też wynikającej z RODO zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679) tak przed, jak i po incydencie. Na żadnym etapie przetwarzania danych osobowych nie określił precyzyjnie wszystkich możliwych do zidentyfikowania ryzyk czy zagrożeń, przez co wdrożone przez niego środki bezpieczeństwa okazały się nieskuteczne. Środki wdrożone po ataku również nie były wystarczające: administrator nie był w stanie wykazać, że są one odpowiednie do ryzyka, bo ryzyka nie zbadał.

Administrator wskazywał, że zawinił człowiek (czynnik ludzki), ale, jak sam przyznał, przeprowadził tylko dwa szkolenia z zakresu ochrony danych. A tylko jedno przed zdarzeniem. To za mało, jeśli administrator uważa, że „czynnik ludzki” stwarza w jego organizacji zagrożenie dla danych.

PUODO dopatrzył się też uchybień ze strony administratora w zakresie zawiadomienia swoich byłych, jak i obecnych pracowników o fakcie naruszenia ochrony ich danych osobowych.

Prezes UODO zauważył też odpowiedzialność wspólników spółki cywilnej, której administrator powierzył przetwarzanie danych. Wskazał, że nie udzieliła ona administratorowi pomocy w wywiązywaniu się przez niego z obowiązku wdrożenia adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych. Pomoc ta powinna polegać na poinformowaniu go o braku właściwych zabezpieczeń serwera wykorzystywanego przez niego w procesach przetwarzania danych osobowych, niezależnie od tego czy skutkiem tego braku było jego wykorzystanie przez sprawców ataku ransomware i – tak jak w przedmiotowej sprawie – zaistnienie naruszenia ochrony danych osobowych, czy też nie. Podmiot przetwarzający zaniechał na przestrzeni lat  informowania Administratora o występujących w oprogramowaniu serwera podatnościach (podczas gdy jedna z nich została z powodzeniem wykorzystana przez sprawców przestępnego działania) oraz o konieczności przeprowadzenia aktualizacji systemu operacyjnego do możliwie najnowszej wersji, bądź zastosowania innych, nowszych rozwiązań logicznych.

DKN.5131.1.2021