Niestety z treści decyzji nie dowiemy jakie to są odpowiednie środki techniczne i organizacyjne:
w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
Trochę łatwiej jest z przykładami na nakaz wdrożenia:
odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków mających zapewnić bezpieczeństwo przetwarzania
Sprawa rozpoczęła się od zgłoszenia Prezesowi UODO w 2021 r. (SIC!) naruszenia ochrony danych osobowych.
Administrator uzyskał potwierdzenie naruszenia poufności danych poprzez wgląd do strony tzw. darknetu, przy użyciu adresu podanego przez grupę hakerską „A.”.
Na ww. stronie w dniu (…) 2021 r. rozpowszechniona została próbka danych osobowych pracowników Spółki. Treść strony darknetowej grupy hakerskiej zawierała sugestię, że może dojść do dalszego rozpowszechniania przez nią danych w przypadku nienawiązania z nią kontaktu przez Spółkę.
Ponadto, na ww. stronie znalazła się informacja, że w przypadku uiszczenia okupu w kwocie (…) (słownie: (…)) dolarów amerykańskich, nie dojdzie do dalszego rozpowszechniania danych.
W uzasadnieniu decyzji wskazuje się – choć nie wiem czy to jest element zgłoszenia naruszenia ochrony danych – czy stanowisko organu, że:
Utrata poufności danych polegała na rozpowszechnieniu przez ww. grupę hakerską danych osobowych na stronie tzw. darknetu.
Przedmiotowe naruszenie ochrony danych osobowych dotyczyło danych osobowych (…) osób, w tym pacjentów Spółki oraz jej pracowników.
Naruszeniu ochrony uległy dane następujących kategorii: nazwisko, imię, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwa użytkownika lub hasło, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, nazwisko rodowe matki, seria i numer dowodu osobistego oraz numer telefonu.
Ponadto, jak wynika z wyjaśnień udzielonych przez Spółkę po kontroli w piśmie z dnia (…) 2023 r. skierowanym do Prezesa UODO, działania podjęte przez nią po wystąpieniu naruszenia ochrony danych osobowych nie pozwoliły na jednoznaczne ustalenie przyczyny ww. zdarzenia.
Administrator zapewnił, co prawda, co do zasady wsparcie producenta urządzenia, które pozwalało na aktualizację oprogramowania, ale na skutek niedopatrzenia pracowników działu IT Spółki, wymagana aktualizacja nie została faktycznie dokonana.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
zakresie możliwości naruszenia przez Spółkę, jako administratora, obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679
ponadto, Spółka nie uwzględniła w analizie ryzyka w należytym stopniu ryzyka wiążącego się z przetwarzaniem, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, tj. Spółka nie uwzględniła w rzeczonym dokumencie ryzyka dotyczącego ustawienia zbyt słabego hasła dla użytkowników systemu informatycznego Spółki (hasło do (…) – nieuwzględnienie takiej kategorii w analizie), a także ryzyka związanego z nieprzeprowadzaniem regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (nie uwzględniono takiej kategorii w analizie).
a) brak aktualizacji oprogramowania urządzeń brzegowych, tj. na dzień wystąpienia naruszenia ochrony danych osobowych istniał „exploit” pozwalający na przejęcie urządzeń brzegowych,
b) włączony dostęp administracyjny SSH i https na zewnętrznych interfejsach urządzeń brzegowych, który mógł doprowadzić do przełamania zabezpieczeń wskazanych wyżej urządzeń i w dalszej kolejności do uzyskania dostępu do infrastruktury teleinformatycznej Spółki i przetwarzanych w niej danych osobowych,
c) błędna konfiguracja domeny i stosowanie zbyt słabych haseł przez użytkowników, co zwiększało możliwość nieuprawnionego pozyskania danych autoryzacyjnych (hasła) przez osoby trzecie; minimalna długość hasła do (…) ustawiona przez Spółkę była na poziomie tylko (…) znaków, co nie odpowiadało aktualnym praktykom stosowanym w branży informatycznej (standard na dzień kontroli wynosił 12 znaków)[3],
d) błędna konfiguracja domeny Spółki oraz zainstalowanie oprogramowania narzędziowego na kontrolerze domeny, które po przejęciu przez atakującego mogłoby ułatwić mu wykonywanie dalszych operacji, np. przejęcia konta użytkownika, zainstalowanie oprogramowania umożliwiającego uzyskanie dostępu do kolejnych zasobów informatycznych,
e) zainstalowanie oprogramowania narzędziowego na kontrolerze domeny Spółki, które po przejęciu przez atakującego mogłoby ułatwić mu wykonywanie dalszych operacji w infrastrukturze teleinformatycznej Spółki,
f) wykorzystywanie serwerów z systemem (…), które nie miały aktualnego wsparcia technicznego producenta (przez ok. 1 rok do momentu wystąpienia incydentu; wsparcie zakończyło się w (…) 2020 r.), a tym samym zwiększenie ryzyka zaistnienia i wykorzystania przez osoby nieuprawnione pojawiających się podatności w systemie informatycznym,
g) nieprzeprowadzanie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, w wyniku czego zwiększyło się ryzyko wystąpienia ww. nieprawidłowości i brak możliwości zidentyfikowania ich występowania przez Spółkę przed wystąpieniem naruszenia ochrony danych osobowych.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 na podstawie art. 83 ust. 5 lit. a) rozporządzenia 2016/679. Jednocześnie kara nałożona na Spółkę łącznie za naruszenie wszystkich powyższych przepisów, stosownie do art. 83 ust. 3 rozporządzenia 2016/679, nie przekracza wysokości kary za najpoważniejsze stwierdzone w toku postępowania naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego światowego obrotu z poprzedniego roku obrotowego
należy raz jeszcze podnieść, że Spółka świadczy na terenie Polski usługi lecznicze, m.in. z zakresu (…). Fakt ten determinuje zakres przetwarzanych przez nią danych, których ujawnienie może wyrządzać szczególne szkody osobom, których one dotyczą. Zauważyć też należy, że dane przetwarzane przez Spółkę stanowią tajemnicę lekarską, co także ma wpływ na konieczność przyjęcia znacznego charakteru i wagi naruszenia;
Spółka wskazała w swoich pisemnych wyjaśnieniach z dnia (…) 2022 r., że jej działania nie miały umyślnego charakteru, a także, iż podjęła działania naprawcze w celu zminimalizowania ryzyka ponownego naruszenia. Z materiału dowodowego zebranego w toku kontroli oraz z wyjaśnień Spółki zawartych w ww. piśmie wynika, że Spółka nie korzystała świadomie z zasobów informatycznych pozbawionych bieżącego wsparcia ich producentów, bowiem świadomości w ww. względzie nie mieli członkowie jej zarządu, pomimo że mieli ją pracownicy działu IT Spółki.
W związku z powyższym należy stwierdzić, że członkowie zarządu Spółki świadomość powyższego powinni byli jednak mieć również, tak więc okoliczność braku wewnętrznej komunikacji pomiędzy pracownikami Spółki a jej zarządem jest sama w sobie dodatkową okolicznością obciążającą Spółkę w niniejszej sprawie, nie zaś usprawiedliwiającą jej postawę i zarazem łagodzącą.
Powyższe zdaje się świadczyć o popełnionych błędach w zarządzaniu Spółką, które przełożyły się na wskazane w niniejszej decyzji naruszenia przepisów rozporządzenia 2016/679. Potencjalny wpływ na powyższy stan faktyczny mogła mieć także okoliczność braku stosownych, konkretnych postanowień proceduralnych, odnoszących się do kwestii regularnego testowania, mierzenia i oceniania skuteczności środków organizacyjnych i technicznych stosowanych w Spółce celem zapewnienia należytej ochrony przetwarzanych przez nią danych.
Spółka była świadoma, że w przypadku dopuszczenia przetwarzania danych osobowych o tak szerokim zakresie powinna zapewnić tym danym odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych i organizacyjnych, a więc w taki sposób, aby przetwarzanie to odbywało się zgodnie z zasadą integralności i poufności wyrażoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.
Organ nadzorczy stwierdził już we wcześniej wydawanych decyzjach administracyjnych naruszenie przez Spółkę przepisów o ochronie danych osobowych:
1) w decyzji z dnia (…) 2022 r. (sygn. (…)) – naruszenie art. 6 ust. 1, art. 5 ust. 1 lit. a) i lit. b) rozporządzenia 2016/679;
2) w decyzji z dnia (…) 2021 r. (sygn. (…)) – naruszenie art. 5 ust. 1 lit. c) i art. 9 ust. 1 rozporządzenia 2016/679;
3) w decyzji z dnia (…) 2021 r. (sygn. (…)) – naruszenie art. 5 ust. 1 lit. c) i art. 9 ust. 1 rozporządzenia 2016/679;
4) w decyzji z dnia (…) 2021 r. (sygn. (…)) – naruszenie art. 5 ust. 1 lit. a) i art. 9 ust. 1 rozporządzenia 2016/679;
5) w decyzji z dnia (…) 2021 r. (sygn. (…)) – naruszenie art. 5 ust. 1 lit. a) i art. 9 ust. 1 rozporządzenia 2016/679.
Zdaniem Prezesa UODO Spółka powinna – i jest w stanie – ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, w związku z czym uznaje on nałożenie kary w wysokości 1 440 549,00 PLN (słownie: jeden milion czterysta czterdzieści tysięcy pięćset czterdzieści dziewięć złotych) za w pełni uzasadnione.
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.
