Firma ochroniarska nie ochroniła danych pracowników, zapłaci 47 tys. zł kary

Niewłaściwy dobór zabezpieczeń doprowadził do ataku ransomware i utraty danych pracowników i współpracowników spółki ochroniarskiej m.in. nazwisk, PESEL, numerów dowodów osobistych, adresów zamieszkania i danych o zarobkach. Spółka nie widziała potrzeby zgłoszenia naruszenia ochrony danych do UODO.

Publikacja: 19.07.2023 15:13

Firma ochroniarska nie ochroniła danych pracowników, zapłaci 47 tys. zł kary

Foto: PAP/Piotr Polak

Jak wynika z komunikatu Urzędu Ochrony Danych Osobowych, informację o zdarzeniu przesłał do organu nadzorczego "podmiot trzeci". Wskazywała na utratę przez administratora tj. ukaraną spółkę, dokumentacji  koncesyjnej prowadzonej w formie elektronicznej, która powinna zawierać dane osobowe pracowników ochrony, a także osób fizycznych będących stronami umów cywilnoprawnych na usługę ochrony. 

Na wezwania z UODO do udzielenie wyjaśnień administrator przyznał, że w wyniku ataku ransomware przeprowadzonego w celu osiągniecia korzyści majątkowej doszło do zablokowania dostępu do danych osobowych pracowników i współpracowników spółki. Administrator nie umiał rozszyfrować danych zaszyfrowanych w wyniku ataku, więc przyjął, że najkorzystniej będzie wstrzymać się od ingerowania w system. Spółka korzystała więc ze sporządzonej w formie papierowej kopii utraconych danych.

Czytaj więcej

Gdy zdarzy się atak ransomware

W wyniku zdarzenia spółka  utraciła dostęp do danych pracowników i współpracowników: nazwisk, imion, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, numerów telefonów oraz numerów dowodów osobistych.

Mimo to spółka nie zgłosiła naruszenia ochrony danych osobowych do organu nadzorczego, gdyż w jej ocenie "zdarzenie nie stanowiło incydentu, mającego znamiona naruszenia ochrony danych osobowych w rozumieniu RODO", ponieważ  nie doszło do wycieku, czyli transferu danych poza firmowy serwer.

W ocenie UODO, biorąc pod uwagę zakres przetwarzanych danych osobowych, a także kategorie osób, administrator był zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewniłyby adekwatny poziom ochrony danych.  

- RODO daje dużą elastyczność administratorowi, nie narzucając konkretnych wymagań w zakresie doboru zabezpieczeń. To administrator ma samodzielnie dokonać analizy procesów przetwarzania danych, ocenić ryzyka, a następnie zastosować odpowiednie środki i procedury - przypomina UODO.

- Niezależnie od okoliczności związanych z analizą ryzyka, w przedmiotowej sprawie administrator nie stosował także adekwatnych środków bezpieczeństwa, czego rezultatem było przełamanie zabezpieczeń systemu informatycznego i zaszyfrowanie danych osobowych. Działanie to nie zostało powstrzymane przez przyjęte u niego mechanizmy bezpieczeństwa. Podmiot ten nie podjął niezwłoczne działań zapewniających szybkie i skuteczne przywrócenie dostępu do danych osobowych - stwierdza organ nadzorczy.

Podkreśla, że wdrażając środki bezpieczeństwa, administrator nie może ograniczać się do jednorazowego ich opracowania. Konieczne jest także ich testowanie i weryfikowanie, czy są one adekwatne do istniejących ryzyk. Tu administrator nie był w stanie także wykazać, że zastosowane przez niego środki techniczne i organizacyjne są wystarczające.

Co więcej - mimo sugestii ze strony Urzędu, by przeprowadzić pogłębioną analizę zdarzenia,  spółka nie dostrzegała nadal naruszenia ochrony danych osobowych. Nie widziała w nim także ryzyka dla praw i wolności osób, których dane dotyczą.

Co gorsza,  firma nie współpracowała z UODO w należyty sposób. Administrator udzielał odpowiedzi na pisma organu nadzorczego w sposób bardzo lakoniczny, często niespójny. Pisma niejednokrotnie nie były opatrzone podpisami osób uprawnionych do reprezentacji, a nawet zdarzyła się sytuacja, kiedy odpowiedź dla UODO skierowana była przez zupełnie inną spółkę.

To wszystko zaważyło na ocenie postępowania administratora danych i nałożeniem przez UODO administracyjnej kary pieniężnej w wysokości ponad 47 tys. zł. 

Jak wynika z komunikatu Urzędu Ochrony Danych Osobowych, informację o zdarzeniu przesłał do organu nadzorczego "podmiot trzeci". Wskazywała na utratę przez administratora tj. ukaraną spółkę, dokumentacji  koncesyjnej prowadzonej w formie elektronicznej, która powinna zawierać dane osobowe pracowników ochrony, a także osób fizycznych będących stronami umów cywilnoprawnych na usługę ochrony. 

Na wezwania z UODO do udzielenie wyjaśnień administrator przyznał, że w wyniku ataku ransomware przeprowadzonego w celu osiągniecia korzyści majątkowej doszło do zablokowania dostępu do danych osobowych pracowników i współpracowników spółki. Administrator nie umiał rozszyfrować danych zaszyfrowanych w wyniku ataku, więc przyjął, że najkorzystniej będzie wstrzymać się od ingerowania w system. Spółka korzystała więc ze sporządzonej w formie papierowej kopii utraconych danych.

2 / 3
artykułów
Czytaj dalej. Subskrybuj
Konsumenci
Rzecznik generalny TSUE o restrukturyzacji Getin Banku: ocenić musi polski sąd
Praca, Emerytury i renty
Rząd ma problem z emeryturami. Trybunał wymusił kosztowne zmiany
Prawo dla Ciebie
Miliony z Funduszu bez konkursów. Eksperci są pewni: Ziobro złamał konstytucję
Podatki
Skarbówka będzie łapać już tylko prawdziwych oszustów
Materiał Promocyjny
Jaki jest proces tworzenia banku cyfrowego i jakie czynniki są kluczowe dla jego sukcesu?
Sądy i trybunały
SN dopuszcza piętrowe wyłączenia sędziów
Płace
Ostatnia taka podwyżka pensji. W przyszłym roku czeka nas rewolucja