Do UODO wpłynęła informacja od podmiotu trzeciego, wskazująca na utratę dokumentacji prowadzonej w formie elektronicznej przez administratora. Dokumentacja ta zawierała m.in. dane osobowe pracowników administratora oraz osób będących stronami umów cywilnoprawnych. W związku z tymi informacjami UODO występował do administratora z kolejnymi pismami o udzielenie wyjaśnień. A ten przyznał, że w wyniku ataku ransomware doszło do zablokowania dostępu do danych osobowych pracowników spółki. Nie umiał rozszyfrować danych, więc przyjął, że najkorzystniej będzie wstrzymać się od ingerowania w system.

Czytaj też: TSUE: Krajowe organy ochrony konkurencji same mogą stwierdzić naruszenie przepisów RODO

Administrator nie zgłosił naruszenia ochrony danych osobowych do organu nadzorczego. W ocenie administratora zdarzenie nie stanowiło incydentu, mającego znamiona naruszenia ochrony danych osobowych w rozumieniu RODO.

Kalendarz szkoleń online w LEX Ochrona Danych Osobowych >>

Brak wdrożenia odpowiednich środków

W ocenie UODO, biorąc pod uwagę zakres przetwarzanych danych osobowych, a także kategorie osób, administrator był zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewniłyby adekwatny poziom ochrony danych. Dobór właściwych środków powinien wynikać z przeprowadzonej analizy ryzyka, niestety w omawianym postępowaniu nic nie wskazywało na to, że administrator przeprowadził ją prawidłowo dla przetwarzanych w formie elektronicznej danych.

Zobacz też: Przegląd administracyjnych kar pieniężnych nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych >>

RODO daje dużą elastyczność administratorowi, nie narzucając konkretnych wymagań w zakresie doboru zabezpieczeń. To administrator ma samodzielnie dokonać analizy procesów przetwarzania danych, ocenić ryzyka, a następnie zastosować odpowiednie środki i procedury.

Niezależnie od okoliczności związanych z analizą ryzyka, w przedmiotowej sprawie administrator nie stosował także adekwatnych środków bezpieczeństwa, czego rezultatem było przełamanie zabezpieczeń systemu informatycznego i zaszyfrowanie danych osobowych. Działanie to nie zostało powstrzymane przez przyjęte u niego mechanizmy bezpieczeństwa. Podmiot ten nie podjął niezwłoczne działań zapewniających szybkie i skuteczne przywrócenie dostępu do danych osobowych.

UODO konsekwentnie przypomina, że wdrażając środki bezpieczeństwa, administrator nie może ograniczać się do jednorazowego ich opracowania. Konieczne jest także ich testowanie i weryfikowanie, czy są one adekwatne do istniejących ryzyk. Administrator nie był w stanie także wykazać, że zastosowane przez niego środki techniczne i organizacyjne są wystarczające.

Administrator, mimo sugestii ze strony Urzędu, dotyczącej przeprowadzenia pogłębionej analizy zaistniałego zdarzenia, nadal nie dostrzegał w nim znamion naruszenia ochrony danych osobowych. Nie widział w nim także ryzyka dla praw i wolności osób, których dane dotyczą.

Sprawdź w LEX: Tabela retencji danych - zestawienie >>

Niezadowalająca współpraca

W tej konkretnie sprawie znaczenie dla jej oceny miała także współpraca z administratorem, która nie należała do zadowalających. Nie udzielał on odpowiedzi na pisma organu nadzorczego w sposób bardzo lakoniczny, często niespójny. Pisma niejednokrotnie nie były opatrzone podpisami osób uprawnionych do reprezentacji, a także zdarzyła się sytuacja, kiedy odpowiedź do UODO skierowana była przez zupełnie inną spółkę.

 

Nowość
Ochrona danych osobowych. Poradnik praktyczny
-20%

Cena promocyjna: 143.2 zł

|

Cena regularna: 179 zł

|

Najniższa cena w ostatnich 30 dniach: 125.31 zł