Zgubiony pendrive, atak ransomware a może po prostu kradzież dokumentów? Jakie zagrożenia w erze cyfrowej mogą skutkować naruszeniem RODO i karą pieniężną? Poniżej przykłady naruszeń, które stały się przedmiotem decyzji Prezesa UODO.
Zagubione nośniki danych typu pendrive
W Sądzie Rejonowym zagubione zostały trzy nośniki danych typu pendrive: jeden służbowy - szyfrowany oraz dwa prywatne – nieszyfrowane. Co istotne, Administrator nie wdrożył blokady portów USB celem uniemożliwienia korzystania z prywatnych nośników danych. Do podobnych incydentów doszło w innych urzędach.
Stwierdzone przez Prezesa UODO naruszenie:
- niewdrożenie przez Administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci.
Administracyjna kara pieniężna:
30.000 zł (Sąd), 23 580 zł (Rzecznik Dyscyplinarny), 10 000 zł (Burmistrz Miast i Gminy)
Kradzież dokumentacji
W wyniku włamania do mieszkania Zarządcy (współpracującego ze Wspólnota Mieszkaniową) doszło do kradzieży niezabezpieczonej dokumentacji - były wśród niej wyciągi bankowe z imionami, nazwiskami adresami, nr kont.
Stwierdzone przez Prezesa UODO naruszenie:
- powierzenie przez Wspólnotę Mieszkaniową przetwarzania danych osobowych członków wspólnoty Zarządcy bez zawartej na piśmie umowy powierzenia;
- brak weryfikacji, czy procesor (Zarządca) zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych;
- nie zgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki;
- braku zawiadomienia, przez Wspólnotę Mieszkaniową, o naruszeniu ochrony danych osobowych, osób, których dane dotyczą.
Administracyjna kara pieniężna: 1 556,28 zł
Działanie wirusa komputerowego
W wyniku działania wirusa komputerowego doszło do naruszenia polegającego na utracie poufności danych. Sprawa dotyczyła danych osobowych ok. 800 osób
Stwierdzone przez Prezesa UODO naruszenie:
- niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych;
- brak weryfikacji podmiotu przetwarzającego pod kątem zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych
Administracyjna kara pieniężna: 33.012 zł
Atak ransomware w Urzędzie
Do naruszenia danych osobowych doszło w wyniku ataku ransomware na Urząd Miasta. Naruszenie dotyczyło dużej ilości osób (ponad 9 tysięcy) a wśród kategorii danych osobowych były m.in. nr PESEL i nr rachunku bankowego. Atak możliwy był dzięki podatności systemu informatycznego - baza wirusów nie była zaktualizowana a używany system operacyjny stracił wsparcie producenta.
Stwierdzone przez Prezesa UODO naruszenie:
- dobór nieskutecznych zabezpieczeń systemu informatycznego;
- brak odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków.
Administracyjna kara pieniężna: 30 000 złotych
Atak ransomware w spółce
Spółka, w wyniku ataku ransomware, utraciła dokumentację koncesyjną prowadzoną w formie elektronicznej. Złośliwe oprogramowanie przełamało zabezpieczenia systemu informatycznego oraz zaszyfrowało dane osobowe znajduje się na trzech serwerach.
Stwierdzone przez Prezesa UODO naruszenie:
- niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych;
- niewdrożenie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków;
- niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki;
- niezawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.
Administracyjna kara pieniężna: 47 160 zł
Kradzież służbowego laptopa
W wyniku włamania do samochodu służbowego pracownika doszło do kradzieży służbowego laptopa. Komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła.
Stwierdzone przez Prezesa UODO naruszenie:
- niezastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych w przypadku pracy zdalnej, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem;
- braku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, w szczególności w związku z wykorzystaniem przenośnych komputerów służbowych.
Administracyjna kara pieniężna: 15 000 zł
Niezgłoszenie organowi nadzorczemu naruszenia bez zbędnej zwłoki oraz niezawiadomienie o naruszeniu osoby, której dane dotyczą
Prezes Spółdzielni Mieszkaniowej, na konferencji prasowej, przekazał dziennikarzom kopie zawiadomienia o możliwości popełnienia przestępstwa przez członka Spółdzielni. Na kopii zawiadomienia znajdowały się dane osobowe - numer PESEL, imię nazwisko, adres zamieszkania. Analogicznych spraw było więcej w 2023 r.
Stwierdzone przez Prezesa UODO naruszenie:
- niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia;
- niezawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.
Administracyjna kara pieniężna:51 876 zł (dla Spółdzielni), 20 000 zł (dla Prokuratury), 11 790 zł (dla osoby fizycznej prowadzącej działalność gospodarczą)
Warto pamiętać, iż wysokość administracyjnej kary pieniężnej za naruszenie RODO jest kwestią indywidulaną i zależy m.in. od wagi i czasu trwania naruszenia, liczby poszkodowanych osób, stopnia współpracy z organem nadzorczym, wcześniejszych naruszeń.
Więcej informacji znajdą Państwo pod adresem:
https://ursynow-prawnik.pl/sprawdz-czy-nie-narazasz-sie-na-kare-za-nieprzestrzeganie-rodo