Wyciek danych osobowych w wyniku ataku ransomware rodzi wysokie ryzyko naruszenia praw i wolności osób fizycznych. Aby zminimalizować ryzyko takiego wycieku, należy wdrożyć odpowiednie środki bezpieczeństwa danych osobowych, ustalone w oparciu o przeprowadzoną analizę ryzyka RODO. Brak takich środków w przypadku cyberataku zwykle prowadzi do nałożenia na administratora wysokiej kary pieniężnej.
Opracowanie: Michał Kowalski
W wyniku ataku ransomware firma utraciła dostęp do danych osobowych klientów oraz pracowników. Utracono m.in. numery PESEL, dowody osobiste, imiona i nazwiska, imiona rodziców, daty urodzenia, numery kont bankowych, adresy zamieszkania lub pobytu, adresy e-mail oraz numery telefonów.
Wyciek danych osobowych był efektem czasowego wyłączenia programu antywirusowego przez jednego z pracowników.
W ocenie administratora incydent trwał na tyle krótko, że nie wystąpiło ryzyko naruszenia praw i wolności osób fizycznych uzasadniające dokonanie zgłoszenia do Prezesa UODO. Administrator podkreślił też, że stosunkowo szybko udało mu się odzyskać dostęp do danych osobowych. Argumentował również, że przyczyną naruszenia był głównie "czynnik ludzki".
W toku postępowania Prezes Urzędu Ochrony Danych Osobowych ustalił, że firma nie wdrożyła adekwatnych środków bezpieczeństwa danych osobowych. Braki w tym zakresie były zaś wynikiem nieprzeprowadzenia analizy ryzyka RODO. Administrator nie był w stanie sprecyzować wszystkich możliwych do identyfikacji ryzyk czy zagrożeń. Niewystarczające w ocenie Prezesa UODO okazały się także środki bezpieczeństwa wdrożone już po ataku ransomware.
Błędem administratora było w szczególności wykorzystywanie aktualnego oprogramowania antywirusowego jedynie dla części elementów infrastruktury IT, a także niewystarczające przeszkolenie dla personelu (z tego względu odpowiedzialność za błędy "czynnika ludzkiego" przypisano samemu administratorowi).
Poza tym administratorowi zarzucono brak weryfikacji, czy współpracujący z nim procesorzy (konkretnie wspólnicy spółki cywilnej) gwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych tak, by przetwarzanie spełniało wymogi RODO chroniło prawa osób, których dane dotyczą. Kolejne uchybienie polegało na nienależytym zawiadomieniu poszkodowanych o naruszeniu ochrony danych.
To wszystko złożyło się na relatywnie wysoką administracyjną karę pieniężną w kwocie 350 tys. zł.
Co ciekawe, kara w wysokości 9,8 tys. zł została wymierzona także samym procesorom czyli wspólnikom spółki cywilnej. Wspólnicy ci w ocenie Prezesa UODO nie udzielili bowiem administratorowi pomocy w wywiązywaniu się przez niego z obowiązku wdrożenia adekwatnych środków bezpieczeństwa danych. Zabrakło tu informacji o podatności w postaci braku właściwych zabezpieczeń serwera wykorzystywanego przez ADO w procesach przetwarzania danych osobowych, co zostało wykorzystane w ataku ransomware. Wspólnicy nie poinformowali także administratora o konieczności aktualizacji systemu operacyjnego do możliwie najnowszej wersji lub zastosowaniu alternatywnych rozwiązań zwiększających poziom bezpieczeństwa.
decyzja Prezesa UODO z dnia 9 października 2024 r. DKN.5131.1.2021
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
