Prezes UODO nakłada karę za utratę dostępu do dokumentacji przez administratora

1 rok temu

Stan faktyczny

Do Urzędu Ochrony Danych Osobowych (dalej: UODO) wpłynęła informacja od podmiotu trzeciego, wskazująca na utratę dokumentacji koncesyjnej prowadzonej w formie elektronicznej przez P. Sp. z o.o. z siedzibą w W. (dalej: Administrator), która to dokumentacja powinna zawierać dane osobowe pracowników ochrony, a także osób fizycznych będących stronami umów cywilnoprawnych.

W związku z powyższym Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) zwrócił się do Administratora o udzielenie informacji, czy w wyniku ww. sytuacji dokonana została analiza incydentu pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. W piśmie wskazano na treść art. 33 ust. 1 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO) oraz na sposób, w jaki może dokonać zgłoszenia naruszenia.

Z wyjaśnień udzielonych przez Administratora w odpowiedzi na to i na późniejsze wezwania organu nadzorczego (kierowane do niego przed wszczęciem postępowania administracyjnego w niniejszej sprawie) wynika m.in., że:

  1. Doszło do ataku ransomware przeprowadzonego w celu osiągnięcia korzyści majątkowej. W związku z tym zdarzeniem doszło do zaszyfrowania danych osobowych znajdujących się na trzech serwerach, przy czym dane te dotyczyły wszystkich pracowników spółki i osób świadczących na rzecz spółki usługi w ramach zawartych umów cywilnoprawnych.
  2. W wyniku przedmiotowego zdarzenia Administrator utracił dostęp do danych ww. osób należących do następujących kategorii: nazwisk, imion, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, numerów telefonów oraz numerów dowodów osobistych.
  3. Administrator zweryfikował problem, ustalił brak możliwości rozszyfrowania (dostęp do utraconych danych nie został odzyskany) i przyjął, iż najkorzystniejsze będzie wstrzymanie się od ingerowania w system. Administrator korzystał więc ze sporządzonej w formie papierowej kopii danych.
  4. Administrator na podstawie badania przepływu danych wychodzących ustalił, iż nie doszło do transferu danych poza firmowy serwer (dane nie zostały pobrane przez osobę nieupoważnioną). Z przeprowadzonego przez pracowników Administratora audytu systemu informatycznego, który (jak oświadczył Administrator) wykazał, iż nie doszło do uzyskania dostępu do danych w nim przetwarzanych, nie sporządzono żadnego raportu.

Administrator wskazał również, iż dostęp do dokumentacji prowadzonej w formie elektronicznej nie został utracony, a jedynie zablokowany. Uznano, iż art. 33 ust. 1 RODO nie miał w tej sytuacji zastosowania.

Na tym etapie ustaleń wynikało, iż doszło do naruszenia ochrony danych osobowych polegającego na przełamaniu zabezpieczeń systemu informatycznego Administratora wykorzystywanego do przetwarzania danych osobowych, a następnie zaszyfrowaniu przetwarzanych w nim danych. W konsekwencji Administrator został pozbawiony dostępu do ww. systemu oraz znajdujących się w nim danych osobowych wszystkich pracowników spółki i osób świadczących na rzecz spółki usługi w ramach zawartych umów cywilnoprawnych (tj. ich nazwisk, imion, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, numerów telefonów i numerów dowodów osobistych).

W związku z poczynieniem wyżej wskazanych ustaleń Prezes UODO wszczął z urzędu postępowanie administracyjne wobec Administratora w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z art. 33 ust. 1 RODO, oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, zgodnie z art. 34 ust. 1 i 2 RODO, a także w sprawie możliwości naruszenia obowiązków wynikających z przepisów RODO w związku z naruszeniem ochrony danych osobowych, w następującym zakresie: art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO.

Z uzasadnienia decyzji Prezesa UODO

Prezes UODO ocenił, iż Administrator nie przeprowadził prawidłowej analizy ryzyka dla procesu przetwarzania danych osobowych w formie elektronicznej (nie uzyskano odpowiedzi na przesyłane Administratorowi wezwania do złożenia wyjaśnień). Nieoszacowanie poziomu ryzyka (lub błędne jego dokonanie) uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo wystąpienia naruszenia (przy czym podobne skutki może mieć niedopasowanie środków bezpieczeństwa do wniosków płynących z prawidłowej analizy ryzyka).

Niezależnie od okoliczności związanych z analizą ryzyka należy stwierdzić, iż Administrator nie zastosował odpowiednich środków bezpieczeństwa. Brak odpowiednich zabezpieczeń technicznych stanowi podatność, a co za tym idzie ‒ stwarza wysokie zagrożenie w postaci zmniejszenia odporności systemu m.in. na działanie złośliwego oprogramowania. W rezultacie w analizowanej sprawie doszło do zmaterializowania się ryzyka: nastąpiło przełamanie zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych, a następnie dane znajdujące się w tym systemie zostały zaszyfrowane.

W niniejszej sprawie administracyjna kara pieniężna nałożona została za naruszenie art. 25 ust. 1, art. 32 ust. 1 i 2, art. 33 ust. 1 i art. 34 ust. 1 i 2 RODO na podstawie art. 83 ust. 4 lit. a RODO, natomiast za naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO ‒ na podstawie art. 83 ust. 5 lit. a RODO. Nakładając karę, Prezes UODO wziął pod uwagę następujące okoliczności:

  1. Naruszenie przepisów RODO, nakładających na Administratora obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie przede wszystkim dostępności danych szczególnej kategorii podmiotów danych (tj. pracowników i współpracowników).
  2. Naruszenie godziło pośrednio w interesy pracowników, których dane powinny być chronione. Należy przyjąć, iż naruszenie przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1 oraz 32 ust. 1 i 2 RODO rozpoczęło się jeszcze przed zaistnieniem naruszenia ochrony danych osobowych. Natomiast naruszenie obowiązków wynikających z art. 33 ust. 1 i art. 34 ust. 1 i 2 RODO trwa od chwili, do której Administrator winien był wykonać swoje obowiązki informacyjne wynikające z tych przepisów. Rozważając tę przesłankę, należy również zaznaczyć, iż naruszenie ochrony danych osobowych dotyczyło danych około 30 osób.
  3. Administrator podjął świadomą decyzję, m.in. by nie zawiadamiać o naruszeniu Prezesa UODO, a także osób, których dane dotyczą. Będąc tego świadomy, Administrator podjął jednak decyzję m.in. o rezygnacji z dokonania zgłoszenia naruszenia Prezesowi UODO i powiadomienia osób, których dane dotyczą, pomimo faktu, iż Prezes UODO w pierwszej kolejności informował o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych. Organ nadzorczy nie stwierdził jednak, by naruszenie pozostałych przepisów (tj. w szczególności art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO) miało w przedmiotowej sprawie charakter umyślny ‒ wynikało raczej z niedbalstwa po stronie spółki.
  4. Administrator nie podjął działań naprawczych mających na celu usunięcie naruszenia oraz złagodzenie jego ewentualnych negatywnych skutków poza deklarowanymi próbami odzyskania dostępności danych z pomocą adekwatnych urzędów (przy czym nie wiadomo, czy działania te były w pełni skuteczne).
  5. O naruszeniu przepisów dotyczących ochrony danych osobowych stanowiących przedmiot niniejszego postępowania Prezes UODO dowiedział się od podmiotu trzeciego.

Administrator nie udzielił wyczerpujących wyjaśnień na wezwania organu nadzorczego ‒ odpowiedzi na zadawane pytania często były lakoniczne lub niespójne. Terminowość oraz sposób ich udzielania (np. wielokrotne przesyłanie dokumentów niepodpisanych przez osoby upoważnione do reprezentacji) świadczą na niekorzyść Administratora przy ocenie jego współpracy z Prezesem UODO.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących.

Komentarz

Pomimo licznych wyjaśnień i wskazówek organów nadzorczych co do tego, jak należy rozumieć naruszenie ochrony danych, o którym mowa w art. 33 RODO, oraz kiedy należy zgłosić takie naruszenie, Administrator w omawianej sprawie nie podjął wymaganych czynności. Uznał bowiem, iż blokada założona w wyniku systemu ransomware uniemożliwiająca dostęp do dokumentacji elektronicznej nie oznacza, iż doszło do utracenia dostępu do tej dokumentacji. W związku z tym, iż nie doszło do utraty dostępu, wywnioskowano, iż według Administratora nie ma ryzyka naruszenia praw lub wolności osób fizycznych, a zatem nie zachodzi potrzeba zgłaszania naruszenia.

Taki tok rozumowania oceniam jako nieprawidłowy. Z ustaleń Prezesa UODO wynika, iż w omawianej sprawie doszło do przełamania zabezpieczeń systemu, a następnie zaszyfrowania przetwarzanych w nim danych. Skoro dane osobowe, za które odpowiadał Administrator, zostały zaszyfrowane (Administrator ponadto zdecydował się na nierozszyfrowanie danych), oznacza to, iż został on pozbawiony dostępu do danych szczególnej grupy podmiotów danych, jakimi są pracownicy i współpracownicy.

Idź do oryginalnego materiału