Firma ochroniarska nie ochroniła danych pracowników, zapłaci 47 tys. zł kary

Niewłaściwy dobór zabezpieczeń doprowadził do ataku ransomware i utraty danych pracowników i współpracowników spółki ochroniarskiej m.in. nazwisk, PESEL, numerów dowodów osobistych, adresów zamieszkania i danych o zarobkach. Spółka nie widziała potrzeby zgłoszenia naruszenia ochrony danych do UODO.

Publikacja: 19.07.2023 15:13

Firma ochroniarska nie ochroniła danych pracowników, zapłaci 47 tys. zł kary

Foto: PAP/Piotr Polak

Jak wynika z komunikatu Urzędu Ochrony Danych Osobowych, informację o zdarzeniu przesłał do organu nadzorczego "podmiot trzeci". Wskazywała na utratę przez administratora tj. ukaraną spółkę, dokumentacji  koncesyjnej prowadzonej w formie elektronicznej, która powinna zawierać dane osobowe pracowników ochrony, a także osób fizycznych będących stronami umów cywilnoprawnych na usługę ochrony. 

Na wezwania z UODO do udzielenie wyjaśnień administrator przyznał, że w wyniku ataku ransomware przeprowadzonego w celu osiągniecia korzyści majątkowej doszło do zablokowania dostępu do danych osobowych pracowników i współpracowników spółki. Administrator nie umiał rozszyfrować danych zaszyfrowanych w wyniku ataku, więc przyjął, że najkorzystniej będzie wstrzymać się od ingerowania w system. Spółka korzystała więc ze sporządzonej w formie papierowej kopii utraconych danych.

Czytaj więcej

Gdy zdarzy się atak ransomware

W wyniku zdarzenia spółka  utraciła dostęp do danych pracowników i współpracowników: nazwisk, imion, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, numerów telefonów oraz numerów dowodów osobistych.

Mimo to spółka nie zgłosiła naruszenia ochrony danych osobowych do organu nadzorczego, gdyż w jej ocenie "zdarzenie nie stanowiło incydentu, mającego znamiona naruszenia ochrony danych osobowych w rozumieniu RODO", ponieważ  nie doszło do wycieku, czyli transferu danych poza firmowy serwer.

W ocenie UODO, biorąc pod uwagę zakres przetwarzanych danych osobowych, a także kategorie osób, administrator był zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewniłyby adekwatny poziom ochrony danych.  

- RODO daje dużą elastyczność administratorowi, nie narzucając konkretnych wymagań w zakresie doboru zabezpieczeń. To administrator ma samodzielnie dokonać analizy procesów przetwarzania danych, ocenić ryzyka, a następnie zastosować odpowiednie środki i procedury - przypomina UODO.

- Niezależnie od okoliczności związanych z analizą ryzyka, w przedmiotowej sprawie administrator nie stosował także adekwatnych środków bezpieczeństwa, czego rezultatem było przełamanie zabezpieczeń systemu informatycznego i zaszyfrowanie danych osobowych. Działanie to nie zostało powstrzymane przez przyjęte u niego mechanizmy bezpieczeństwa. Podmiot ten nie podjął niezwłoczne działań zapewniających szybkie i skuteczne przywrócenie dostępu do danych osobowych - stwierdza organ nadzorczy.

Podkreśla, że wdrażając środki bezpieczeństwa, administrator nie może ograniczać się do jednorazowego ich opracowania. Konieczne jest także ich testowanie i weryfikowanie, czy są one adekwatne do istniejących ryzyk. Tu administrator nie był w stanie także wykazać, że zastosowane przez niego środki techniczne i organizacyjne są wystarczające.

Co więcej - mimo sugestii ze strony Urzędu, by przeprowadzić pogłębioną analizę zdarzenia,  spółka nie dostrzegała nadal naruszenia ochrony danych osobowych. Nie widziała w nim także ryzyka dla praw i wolności osób, których dane dotyczą.

Co gorsza,  firma nie współpracowała z UODO w należyty sposób. Administrator udzielał odpowiedzi na pisma organu nadzorczego w sposób bardzo lakoniczny, często niespójny. Pisma niejednokrotnie nie były opatrzone podpisami osób uprawnionych do reprezentacji, a nawet zdarzyła się sytuacja, kiedy odpowiedź dla UODO skierowana była przez zupełnie inną spółkę.

To wszystko zaważyło na ocenie postępowania administratora danych i nałożeniem przez UODO administracyjnej kary pieniężnej w wysokości ponad 47 tys. zł. 

Jak wynika z komunikatu Urzędu Ochrony Danych Osobowych, informację o zdarzeniu przesłał do organu nadzorczego "podmiot trzeci". Wskazywała na utratę przez administratora tj. ukaraną spółkę, dokumentacji  koncesyjnej prowadzonej w formie elektronicznej, która powinna zawierać dane osobowe pracowników ochrony, a także osób fizycznych będących stronami umów cywilnoprawnych na usługę ochrony. 

Na wezwania z UODO do udzielenie wyjaśnień administrator przyznał, że w wyniku ataku ransomware przeprowadzonego w celu osiągniecia korzyści majątkowej doszło do zablokowania dostępu do danych osobowych pracowników i współpracowników spółki. Administrator nie umiał rozszyfrować danych zaszyfrowanych w wyniku ataku, więc przyjął, że najkorzystniej będzie wstrzymać się od ingerowania w system. Spółka korzystała więc ze sporządzonej w formie papierowej kopii utraconych danych.

2 / 3
artykułów
Czytaj dalej. Kup teraz
Konsumenci
Jest nowy wyrok TSUE w polskiej sprawie. Upraszcza procesy frankowiczów
Materiał Promocyjny
Zwinny, wyrazisty i dynamiczny. SUV, który bryluje na europejskich salonach
Prawo karne
Marian Banaś składa doniesienie do prokuratury na Elżbietę Witek
Prawo dla Ciebie
Od dzisiaj możemy obniżyć rachunek za prąd. Trzeba spełnić jeden warunek
Prawo karne
Jest wyrok Sądu Najwyższego ws. symulacji zabójstwa abp. Jędraszewskiego
Materiał Promocyjny
THE FUTURE OF FINANCE
Praca, Emerytury i renty
Ogłoszono listę 10 najbogatszych emerytów w Polsce
Materiał Promocyjny
Nowe finansowanie dla transportu miejskiego w Polsce Wschodniej