Urząd Ochrony Danych Osobowych (UODO) nałożył administracyjną karę pieniężną w wysokości 47 tys. zł na administratora, który nie wdrożył odpowiednich zabezpieczeń, aby uchronić się przed atakiem ransomware.
Okoliczności kary UODO
UODO otrzymał zgłoszenie od podmiotu trzeciego o potencjalnym wycieku danych osobowych w spółce (administrator). Incydent dotyczył też dokumentacji, w której zawarte były informacje takie jak dane personalne pracowników administratora oraz osób świadczących usługi na podstawie umów cywilnoprawnych. Gdy UODO zwrócił się do administratora o wyjaśnienia, okazało się, że wyniku ataku ransomware zostały zaszyfrowane dane znajdujące się na trzech serwerach. Administrator stracił więc możliwość uzyskiwania dostępu do informacji dotyczących pracowników, w tym nazwisk, imion, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, numerów telefonów oraz numerów dowodów osobistych. Spółka wskazała co prawda, że nie doszło do transferu danych poza serwery i jako że nie mogła odszyfrować danych, postanowiła nie ingerować w sam system. Spółka korzystała więc ze sporządzonej w formie papierowej kopii danych.
Administrator nie zgłosił do organu nadzorczego naruszenia w trybie 33 i 34 RODO. Według niego zdarzenie to nie kwalifikowało się bowiem jako incydent spełniający kryteria naruszenia ochrony danych osobowych w myśl przepisów RODO.
Zabezpieczenie danych
Według UODO, uwzględniając zakres przetwarzanych danych osobowych oraz kategorie osób, administrator miał obowiązek wprowadzić odpowiednie środki techniczne i organizacyjne, które zapewniłyby odpowiedni poziom ochrony danych. Wybór właściwych środków powinien zaś wynikać z przeprowadzonej analizy ryzyka. Niestety, w tym przypadku nie było żadnych przesłanek wskazujących na jej przeprowadzenie.
UODO wskazał, że administrator w tej sytuacji nie zastosował odpowiednich środków bezpieczeństwa, co skutkowało złamaniem zabezpieczeń systemu informatycznego i zaszyfrowaniem danych osobowych. Nie podjął on także natychmiastowych działań w celu przywrócenia dostępu do danych osobowych. UODO podkreślił, że wdrażając środki bezpieczeństwa, administrator nie powinien ograniczać się tylko do ich opracowania, ale również regularnie je testować i weryfikować w odniesieniu do aktualnych ryzyk. Administrator nie był w stanie potwierdzić, że zastosowane przez niego środki techniczne i organizacyjne były wystarczające.
Ponadto Spółka wciąż twierdziła, że dane zdarzenie nie stanowiło naruszenia ochrony danych osobowych i nie widziała żadnych ryzyk dla praw i wolności osób, których dane dotyczą.
Stanowisko UODO w kontekście wycieku danych z polskich domen
Współpraca z UODO
UODO nakładając karę, zwrócił również uwagę na brak współpracy ze strony administratora. Administrator udzielał odpowiedzi na pisma organu nadzorczego w sposób niezwykle skrócony i często niespójny. Wielokrotnie pisma nie były podpisane przez osoby uprawnione do reprezentacji, a zdarzyło się nawet, że odpowiedź do UODO została przesłana przez zupełnie inną spółkę.
Rosnące zagrożenie ze strony ataków ransomware
Atak ransomware po raz kolejny skutkuje nałożeniem kary na przedsiębiorcę, który nie był odpowiednio przygotowany na tego typu zagrożenia. Ilość samych ataków oraz pomysłowość cyberprzestępców zdaje się rosnąc. Widać też, że brak rzetelnej współpracy z UODO nie polepsza sytuacji administratora. Komunikacja z Urzędem pozostaje istotna i może wpływać na wysokość nałożonej kary.
Link do decyzji UODO: