Kolejna kara UODO za niewdrożenie skutecznych zabezpieczeń technicznych
W dniu 27 czerwca 2023 r. na stronie Urzędu Ochrony Danych Osobowych („UODO”) pojawiła się informacja o nałożeniu nowej administracyjnej kary pieniężnej za nieprzestrzeganie wymogów RODO. Kara w wysokości 30.000 zł została nałożona na jednego z Burmistrzów, z powodu doboru nieskutecznych zabezpieczeń systemu informatycznego oraz za nieprzeprowadzenie testów stosowanych zabezpieczeń.
Przyczynkiem do wszczęcia postępowania przez UODO było zgłoszenie naruszenia przez Burmistrza Miasta spowodowane atakiem ransomware. Wśród zaszyfrowanych danych znalazły się m.in. imię, nazwisko, data urodzenia, dane dotyczące numeru PESEL, adres zamieszkania lub pobytu, dane dotyczące zarobków lub posiadanego majątku, adres e-mail, numer telefonu i wizerunek. Dane dotyczyły ok. 9400 osób. Podatnością systemu informatycznego wykorzystanego do przeprowadzenia ataków była nieaktualizowana baza danych wirusów.
Prezes Urzędu Ochrony Danych Osobowych („PUODO”) zarzucił Burmistrzowi nieprawidłowe przeprowadzenie analizy ryzyka oraz niepełne wdrożenie środków technicznych i organizacyjnych gwarantujących bezpieczeństwo przetwarzania danych osobowych. W ocenie PUODO instalacja najnowszych wersji oprogramowania powinna odbywać się na bieżąco, z chwilą ich pojawienia się. Korzystanie z systemu informatycznego po zakończeniu wsparcia producenta w sposób istotny obniża bowiem poziom bezpieczeństwa przetwarzanych danych. Tymczasem baza wirusów jednego z programów nie była na bieżąco aktualizowana. Okazało się również, że system operacyjny wykorzystywany na serwerze nie posiadał wsparcia producenta. Dodatkowo serwer, na którym były przetrzymywane dane osobowe uległ awarii, wskutek czego administrator był zmuszony do odtworzenia danych również na podstawie dokumentacji papierowej, co spowodowało dłuższy czas odtwarzania danych (ok. 3 miesięcy). W ocenie PUODO Burmistrz nie wykazał też, by przyjęte środki techniczne mające służyć odpowiedniemu zabezpieczeniu danych były przez niego regularnie testowane i oceniane pod kątem ich skuteczności.
Przy ustalaniu wysokości kary pieniężnej PUODO wziął pod uwagę:
- Charakter, wagę i czas trwania naruszenia – wprawdzie w ocenie Burmistrza najprawdopodobniej nie doszło do naruszenia poufności danych, jednak nie był on w stanie tego wykazać, a w konsekwencji urząd przyjął, że występuje ryzyko utraty poufności; wzięto również pod uwagę, że Burmistrz utracił dostęp do danych na okres ok. 3 miesięcy;
- Nieumyślny charakter naruszenia – ponieważ Burmistrz miał świadomość zagrożenia bezpieczeństwa związanego z prawdopodobieństwem przeprowadzenia ataku ransomware, zaś jego działania zostały uznane za nierzetelne, PUODO ocenił tą okoliczność jako wpływającą obciążająco na wysokość administracyjnej kary pieniężnej;
- Kategorie danych, których dotyczyło naruszenie – w tym zakresie PUODO wziął pod uwagę, w szczególności, że naruszenie dotyczyło numeru PESEL oraz imienia i nazwiska, które to dane w ocenie UODO wymagają szczególnej ochrony.
Jako okoliczność łagodzącą wzięto pod uwagę dobrą współpracę Burmistrza z PUODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, w szczególności realizację zaleceń PUODO dotyczących uzupełnienia zawiadomienia osób, których dane dotyczą o naruszeniu.
Z pełną treścią decyzji PUODO można zapoznać się TUTAJ.
Materiał prasowy: radca prawny Ewa Kuczyńska.
fot. Ewa Kuczyńska
Kancelaria Prawna GFP_Legal Wrocław
#RODO #AdministracyjnaKaraPieniężna #PUODO #PESEL #NieaktualizowanaBazaWirusów #Naruszenie #OchronaDanychOsobowych #Ransomware #ZabezpieczeniaSystemuInformatycznego