Incydent bezpieczeństwa: atak ransomware
Sprawa dotyczy firmy, która poinformowała UODO o ataku hakerskim, w wyniku którego utraciła dostęp do danych osobowych swoich pracowników i klientów. W wyniku ataku ransomware w bazie danych znalazły się wrażliwe informacje, takie jak numery PESEL, dowodów osobistych, adresy, numery telefonów, e-maile, a także dane dotyczące kont bankowych. Firma wskazała, że incydent miał miejsce wskutek wyłączenia przez pracownika oprogramowania antywirusowego, co umożliwiło zainstalowanie złośliwego oprogramowania.
Choć firma próbowała zminimalizować skutki incydentu, argumentując, że celem ataku nie było pozyskanie danych, a raczej szantaż, Prezes UODO uznał, że takie podejście jest niewystarczające, zwłaszcza w kontekście wymogów RODO.
Niedociągnięcia w zakresie bezpieczeństwa
Zgodnie z wymaganiami RODO, administrator danych jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych osobowych. W omawianym przypadku, UODO stwierdził, że firma nie przeprowadziła odpowiedniej analizy ryzyka, co mogło zapobiec atakowi. Przepisy RODO nakładają obowiązek wdrożenia środków zapobiegających atakom, takich jak aktualizowanie oprogramowania, stosowanie nowoczesnych zabezpieczeń czy systematyczne monitorowanie infrastruktury informatycznej. W tym przypadku firma nie przeprowadziła żadnych działań zapobiegawczych, co skutkowało złośliwym oprogramowaniem typu ransomware, które mogło zostać powstrzymane poprzez zwykłą aktualizację oprogramowania.
Odpowiedzialność administratora i podmiotu przetwarzającego
Kolejnym kluczowym elementem sprawy była odpowiedzialność administratora danych – firmy, która przetwarzała dane osobowe. UODO wykazał, że firma nie tylko nie wdrożyła odpowiednich środków ochrony danych, ale także nie zweryfikowała, czy podmiot przetwarzający (spółka cywilna) przestrzegał wymogów RODO. Spółka ta, której powierzone zostały dane do przetwarzania, zaniechała informowania administratora o potencjalnych zagrożeniach związanych z niewłaściwymi zabezpieczeniami serwera. Ponadto nie poinformowała o konieczności aktualizacji systemu operacyjnego, co mogło zapobiec atakowi.
W tym kontekście istotne jest, by administrator danych nie tylko dbał o swoje wewnętrzne procedury, ale także kontrolował, jak podmioty przetwarzające dane w jego imieniu zapewniają ich bezpieczeństwo. RODO nakłada na administratorów obowiązek weryfikowania, czy podmioty przetwarzające wdrożyły odpowiednie środki ochrony danych.
Niedostateczne szkolenia i zasada rozliczalności
Nie mniej istotnym uchybieniem, na które zwrócił uwagę UODO, był brak odpowiedniego szkolenia pracowników. Choć firma argumentowała, że to „czynnik ludzki” był przyczyną ataku, przeprowadzono tylko dwa szkolenia w zakresie ochrony danych osobowych, z czego jedno miało miejsce po incydencie. To zdecydowanie za mało, aby minimalizować ryzyko błędów ludzkich. Zgodnie z zasadą rozliczalności zawartą w art. 5 ust. 2 RODO, administrator danych powinien wykazać, że podjął wszelkie możliwe działania w celu ochrony danych przed nieautoryzowanym dostępem. Brak odpowiednich szkoleń oraz systematycznego monitoringu ryzyk, a także niedostateczne wdrożenie zasad ochrony danych, potwierdza brak realizacji tej zasady.
Wnioski: Jak Uniknąć Kar?
Z analizy tej sprawy wyłania się kilka kluczowych wniosków, które powinny być przyjęte przez przedsiębiorców jako zasady działania w kontekście ochrony danych osobowych:
- Analiza ryzyka – obowiązkowa dla każdego administratora danych. Musi ona uwzględniać wszelkie możliwe zagrożenia, w tym ataki z wykorzystaniem złośliwego oprogramowania.
- Wdrażanie środków technicznych i organizacyjnych – aktualizowanie systemów operacyjnych, zabezpieczeń serwerów oraz monitorowanie infrastruktury IT są kluczowe, aby zapobiegać atakom.
- Szkolenie pracowników – regularne i systematyczne szkolenia z zakresu ochrony danych osobowych to podstawa ochrony przed błędami ludzkimi. Warto inwestować w podnoszenie świadomości pracowników na temat zagrożeń i procedur ochrony danych.
- Odpowiedzialność za podmioty przetwarzające – administrator danych musi w pełni kontrolować działania podmiotów, którym powierza przetwarzanie danych, i weryfikować ich działania w zakresie ochrony danych osobowych.
- Komunikacja z osobami, których dane dotyczą – prawidłowe i terminowe zawiadomienie osób o naruszeniu ochrony ich danych to obowiązek wynikający z RODO, którego zlekceważenie wiąże się z poważnymi konsekwencjami.
W kontekście tej sprawy, kluczowym elementem, który należy podkreślić, jest to, że niewłaściwe zabezpieczenia, brak analizy ryzyka oraz zaniedbania w zakresie weryfikacji działań podmiotów przetwarzających, skutkują nie tylko naruszeniem przepisów, ale również karą, która może zagrażać przyszłości firmy. Zachowanie zgodności z RODO nie jest tylko kwestią formalności, ale przede wszystkim troski o bezpieczeństwo danych i reputację przedsiębiorstwa.
Źródło:
https://uodo.gov.pl
