Urząd Ochrony Danych Osobowych (UODO) poinformował o nałożeniu kar przez organ nadzorczy na Gminny Ośrodek Pomocy Społecznej w Aleksandrowie (GOPS) oraz wójta gminy. Wysokość kar to – odpowiednio – 5 tysięcy złotych w przypadku GOPS (administrator) oraz 10 tysięcy złotych w przypadku wójta (zakwalifikowanego przez organ nadzorczy jako podmiot przetwarzający). Przyczyną wszczęcia postępowania przez organ nadzorczy był atak hakerski, w wyniku którego GOPS stracił dostęp do danych osobowych ponad 1500 osób korzystających z usług ośrodka. Powodem nałożenia kar były natomiast nieprawidłowości stwierdzone podczas przeprowadzonego postępowania, w tym niewystarczające środki techniczne i organizacyjne oraz niewystarczająca analiza ryzyka.
Atak hackerski
Według ustaleń organu nadzorczego, w 2022 roku doszło do ataku hackerskiego, którego celem był GOPS. Incydent miał charakter typowego ataku z wykorzystaniem oprogramowania typu ransomware. Złośliwe oprogramowanie zaszyfrowało dane 1500 osób, pozbawiając tym samym administratora do nich dostępu. Osoby odpowiedzialne za atak zażądały okupu, który nie został zapłacony. Zamiast tego, gmina skorzystała z usług wyspecjalizowanej firmy, dzięki której udało się przywrócić ciągłość działania GOPS. Zarówno GOPS, jak i wójt zgłosili naruszenie ochrony danych do Prezesa UODO, który wszczął w tej sprawie postępowanie.
Nieprawidłowości
Po incydencie gmina miała zainwestować w modernizację infrastruktury informatycznej, jednak w toku postępowania Prezes UODO stwierdził, że przed tą modernizacją był szereg poważnych nieprawidłowości technicznych, które mogły przyczynić się do powstania naruszenia. System operacyjny wykorzystywany przez GOPS i wójta przez dwa lata był bowiem pozbawiony wsparcia producenta, a kopia zapasowa – jako że była tworzona na dysku sieciowym – również została zaszyfrowana wskutek ataku. W związku z tym, do odtworzenia utraconych danych, konieczna była pomoc podmiotu zewnętrznego.
W ocenie organu nadzorczego, braki w zabezpieczeniach technicznych były skutkiem niewłaściwie przeprowadzonej i niekonsekwentnie realizowanej polityki zarządzania ryzykiem. Mimo że możliwość ataku ransomware została przewidziana w analizie ryzyka, w praktyce ryzyko miało zostać całkowicie zbagatelizowane. Prezes UODO upomniał również administratora za opóźnienie w zgłoszeniu naruszenia, jak również wskazał, że administrator (GOPS) nie kontrolował regularnie czy podmiot przetwarzający (wójt) przetwarzał je we właściwy sposób.
Wymiar kary – wnioski
Nałożona kara – 5 tysięcy kary dla GOPS i 10 tysięcy kary dla wójta – nie wydaje się wysoka, biorąc pod uwagę, że organ nadzorczy może nałożyć karę na podmioty publiczne w wysokości do 100 000 zł. Ten najwyższy wymiar kary – stosunkowo niski w porównaniu z karami nakładanymi na podmioty prywatne – stosowany jest zazwyczaj przez organ nadzorczy w przypadku największych naruszeń przepisów RODO popełnianych przez podmioty publiczne. Warto zwrócić uwagę, że ukarane w tej sprawie podmioty podjęły post factum bardzo energiczne i intensywne środki zaradcze, mające zminimalizować skutki naruszenia, przywrócić ciągłość działania i zmniejszyć ryzyko ponownego wystąpienia podobnego naruszenia w przyszłości. Być może organ nadzorczy wziął m.in. te okoliczności pod uwagę ustalając wysokość kar w tej sprawie. Co ciekawe, wydaje się, że jest to pierwszy przypadek, w którym Prezes UODO nałożył wyższą karę na podmiot przetwarzający, niż na administratora. Zazwyczaj proporcje są odwrotne.
Źródło: