Prezes UODO: niewdrożenie odpowiednich środków technicznych skutkuje karą 1,4 mln zł

W decyzji Prezesa UODO z maja 2024 r. możemy przeczytać o tym jakie działania bądź zaniechania administratora doprowadziły do nakazu dostosowania operacji przetwarzania do przepisów RODO oraz skutkowały nałożeniem administracyjnej kary pieniężnej w wysokości 1,4 mln zł.

Niestety z treści decyzji nie dowiemy jakie to są odpowiednie środki techniczne i organizacyjne:

w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych

Wyszukiwarka 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Wyszukiwarka 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności Wyszukiwarka 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Trochę łatwiej jest z przykładami na nakaz wdrożenia:

odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków mających zapewnić bezpieczeństwo przetwarzania

Sprawa rozpoczęła się od zgłoszenia Prezesowi UODO w 2021 r. (SIC!) naruszenia ochrony danych osobowych.

Administrator uzyskał potwierdzenie naruszenia poufności danych poprzez wgląd do strony tzw. darknetu, przy użyciu adresu podanego przez grupę hakerską „A.”.

Na ww. stronie w dniu (…) 2021 r. rozpowszechniona została próbka danych osobowych pracowników Spółki. Treść strony darknetowej grupy hakerskiej zawierała sugestię, że może dojść do dalszego rozpowszechniania przez nią danych w przypadku nienawiązania z nią kontaktu przez Spółkę.

Ponadto, na ww. stronie znalazła się informacja, że w przypadku uiszczenia okupu w kwocie (…) (słownie: (…)) dolarów amerykańskich, nie dojdzie do dalszego rozpowszechniania danych.

W uzasadnieniu decyzji wskazuje się – choć nie wiem czy to jest element zgłoszenia naruszenia ochrony danych – czy stanowisko organu, że:

Utrata poufności danych polegała na rozpowszechnieniu przez ww. grupę hakerską danych osobowych na stronie tzw. darknetu.

Przedmiotowe naruszenie ochrony danych osobowych dotyczyło danych osobowych (…) osób, w tym pacjentów Spółki oraz jej pracowników.

Naruszeniu ochrony uległy dane następujących kategorii: nazwisko, imię, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwa użytkownika lub hasło, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, nazwisko rodowe matki, seria i numer dowodu osobistego oraz numer telefonu.

Ponadto, jak wynika z wyjaśnień udzielonych przez Spółkę po kontroli w piśmie z dnia (…) 2023 r. skierowanym do Prezesa UODO, działania podjęte przez nią po wystąpieniu naruszenia ochrony danych osobowych nie pozwoliły na jednoznaczne ustalenie przyczyny ww. zdarzenia.

Administrator zapewnił, co prawda, co do zasady wsparcie producenta urządzenia, które pozwalało na aktualizację oprogramowania, ale na skutek niedopatrzenia pracowników działu IT Spółki, wymagana aktualizacja nie została faktycznie dokonana.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Prezes UODO w jakimś dniu 2022 r. wszczął z urzędu postępowania administracyjne w:

zakresie możliwości naruszenia przez Spółkę, jako administratora, obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679

Organ nadzorczy wskazał także, że:

ponadto, Spółka nie uwzględniła w analizie ryzyka w należytym stopniu ryzyka wiążącego się z przetwarzaniem, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, tj. Spółka nie uwzględniła w rzeczonym dokumencie ryzyka dotyczącego ustawienia zbyt słabego hasła dla użytkowników systemu informatycznego Spółki (hasło do (…) – nieuwzględnienie takiej kategorii w analizie), a także ryzyka związanego z nieprzeprowadzaniem regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (nie uwzględniono takiej kategorii w analizie).

W toku kontroli wykazano następujące nieprawidłowości w zastosowanych przez Spółkę, jako administratora, środkach technicznych:

a) brak aktualizacji oprogramowania urządzeń brzegowych, tj. na dzień wystąpienia naruszenia ochrony danych osobowych istniał „exploit” pozwalający na przejęcie urządzeń brzegowych,
b) włączony dostęp administracyjny SSH i https na zewnętrznych interfejsach urządzeń brzegowych, który mógł doprowadzić do przełamania zabezpieczeń wskazanych wyżej urządzeń i w dalszej kolejności do uzyskania dostępu do infrastruktury teleinformatycznej Spółki i przetwarzanych w niej danych osobowych,
c) błędna konfiguracja domeny i stosowanie zbyt słabych haseł przez użytkowników, co zwiększało możliwość nieuprawnionego pozyskania danych autoryzacyjnych (hasła) przez osoby trzecie; minimalna długość hasła do (…) ustawiona przez Spółkę była na poziomie tylko (…) znaków, co nie odpowiadało aktualnym praktykom stosowanym w branży informatycznej (standard na dzień kontroli wynosił 12 znaków)[3],
d) błędna konfiguracja domeny Spółki oraz zainstalowanie oprogramowania narzędziowego na kontrolerze domeny, które po przejęciu przez atakującego mogłoby ułatwić mu wykonywanie dalszych operacji, np. przejęcia konta użytkownika, zainstalowanie oprogramowania umożliwiającego uzyskanie dostępu do kolejnych zasobów informatycznych,
e) zainstalowanie oprogramowania narzędziowego na kontrolerze domeny Spółki, które po przejęciu przez atakującego mogłoby ułatwić mu wykonywanie dalszych operacji w infrastrukturze teleinformatycznej Spółki,
f) wykorzystywanie serwerów z systemem (…), które nie miały aktualnego wsparcia technicznego producenta (przez ok. 1 rok do momentu wystąpienia incydentu; wsparcie zakończyło się w (…) 2020 r.), a tym samym zwiększenie ryzyka zaistnienia i wykorzystania przez osoby nieuprawnione pojawiających się podatności w systemie informatycznym,
g) nieprzeprowadzanie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, w wyniku czego zwiększyło się ryzyko wystąpienia ww. nieprawidłowości i brak możliwości zidentyfikowania ich występowania przez Spółkę przed wystąpieniem naruszenia ochrony danych osobowych.

Wyszukiwarka 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Wyszukiwarka 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności Wyszukiwarka 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Prezes UODO zdecydował się na nałożenie administracyjnej kary pieniężnej za:

naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 na podstawie art. 83 ust. 5 lit. a) rozporządzenia 2016/679. Jednocześnie kara nałożona na Spółkę łącznie za naruszenie wszystkich powyższych przepisów, stosownie do art. 83 ust. 3 rozporządzenia 2016/679, nie przekracza wysokości kary za najpoważniejsze stwierdzone w toku postępowania naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego światowego obrotu z poprzedniego roku obrotowego

Wysokość kary została ustalona z uwzględnieniem:

należy raz jeszcze podnieść, że Spółka świadczy na terenie Polski usługi lecznicze, m.in. z zakresu (…). Fakt ten determinuje zakres przetwarzanych przez nią danych, których ujawnienie może wyrządzać szczególne szkody osobom, których one dotyczą. Zauważyć też należy, że dane przetwarzane przez Spółkę stanowią tajemnicę lekarską, co także ma wpływ na konieczność przyjęcia znacznego charakteru i wagi naruszenia;

Spółka wskazała w swoich pisemnych wyjaśnieniach z dnia (…) 2022 r., że jej działania nie miały umyślnego charakteru, a także, iż podjęła działania naprawcze w celu zminimalizowania ryzyka ponownego naruszenia. Z materiału dowodowego zebranego w toku kontroli oraz z wyjaśnień Spółki zawartych w ww. piśmie wynika, że Spółka nie korzystała świadomie z zasobów informatycznych pozbawionych bieżącego wsparcia ich producentów, bowiem świadomości w ww. względzie nie mieli członkowie jej zarządu, pomimo że mieli ją pracownicy działu IT Spółki.

W związku z powyższym należy stwierdzić, że członkowie zarządu Spółki świadomość powyższego powinni byli jednak mieć również, tak więc okoliczność braku wewnętrznej komunikacji pomiędzy pracownikami Spółki a jej zarządem jest sama w sobie dodatkową okolicznością obciążającą Spółkę w niniejszej sprawie, nie zaś usprawiedliwiającą jej postawę i zarazem łagodzącą.

Powyższe zdaje się świadczyć o popełnionych błędach w zarządzaniu Spółką, które przełożyły się na wskazane w niniejszej decyzji naruszenia przepisów rozporządzenia 2016/679. Potencjalny wpływ na powyższy stan faktyczny mogła mieć także okoliczność braku stosownych, konkretnych postanowień proceduralnych, odnoszących się do kwestii regularnego testowania, mierzenia i oceniania skuteczności środków organizacyjnych i technicznych stosowanych w Spółce celem zapewnienia należytej ochrony przetwarzanych przez nią danych.

Spółka była świadoma, że w przypadku dopuszczenia przetwarzania danych osobowych o tak szerokim zakresie powinna zapewnić tym danym odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych i organizacyjnych, a więc w taki sposób, aby przetwarzanie to odbywało się zgodnie z zasadą integralności i poufności wyrażoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.

Organ nadzorczy stwierdził już we wcześniej wydawanych decyzjach administracyjnych naruszenie przez Spółkę przepisów o ochronie danych osobowych:
1) w decyzji z dnia (…) 2022 r. (sygn. (…)) – naruszenie art. 6 ust. 1, art. 5 ust. 1 lit. a) i lit. b) rozporządzenia 2016/679;
2) w decyzji z dnia (…) 2021 r. (sygn. (…)) – naruszenie art. 5 ust. 1 lit. c) i art. 9 ust. 1 rozporządzenia 2016/679;
3) w decyzji z dnia (…) 2021 r. (sygn. (…)) – naruszenie art. 5 ust. 1 lit. c) i art. 9 ust. 1 rozporządzenia 2016/679;
4) w decyzji z dnia (…) 2021 r. (sygn. (…)) – naruszenie art. 5 ust. 1 lit. a) i art. 9 ust. 1 rozporządzenia 2016/679;
5) w decyzji z dnia (…) 2021 r. (sygn. (…)) – naruszenie art. 5 ust. 1 lit. a) i art. 9 ust. 1 rozporządzenia 2016/679.

Zdaniem Prezesa UODO Spółka powinna – i jest w stanie – ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, w związku z czym uznaje on nałożenie kary w wysokości 1 440 549,00 PLN (słownie: jeden milion czterysta czterdzieści tysięcy pięćset czterdzieści dziewięć złotych) za w pełni uzasadnione.