Pod koniec listopada Urząd Gminy Kościerzyna został zaatakowany przez cyberprzestępców - dane urzędu zostały zaszyfrowane, a za odszyfrowanie plików przestępcy żądali okupu. Jak wynika z informacji zamieszczonych na stronie internetowej gminy, wójt Grzegorz Piechowski zawiadomił o przestępstwie lokalną policję oraz zwrócił się o pomoc w pierwszej kolejności do zespołu CSIRT GOV.

Atak hakerski usunęli specjaliści

Okazało się, że wobec urzędu zastosowano złośliwe oprogramowanie, które szyfruje pliki i nie ma żadnego narzędzia informatycznego (dekryptora), które pozwoliłoby je odszyfrować. CSIRT NASK zasugerował zwrócenie się do podmiotu zewnętrznego, który pomógłby w odzyskaniu danych. Zajęli się tym specjaliści z Globalnego Zespołu ds. Badań i Analiz (GReAT) z firmy Kaspersky, której badacz odzyskał dane urzędu przy pomocy specjalnie stworzonego w tym celu narzędzia deszyfrującego.

Piotr Kupczyk, dyrektor biura komunikacji z mediami Kaspersky Lab Polska podkreśla, że zapłacenie okupu cyberprzestępcom nie gwarantuje odzyskania danych, a ponadto finansuje nielegalną działalność i motywuje do kolejnych ataków. Jak zaznacza wójt, firma Kaspersky bezinteresownie pomogła przy usunięciu skutków ataku hakerskiego na sieć komputerową Urzędu Gminy Kościerzyna.

Czytaj w LEX: Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych >

Odpowiedzialność za niewłaściwe zabezpieczenie strony

RODO przewiduje szereg tzw. uprawnień naprawczych, z których może skorzystać Prezes UODO. Z jednej strony to kompetencje, które mają na celu przywrócenie stanu zgodnego z prawem. Z drugiej strony pozwalają na nałożenie administracyjnej kary pieniężnej, która ma charakter prewencyjny i naprawczy.

Czytaj w LEX: Kary pieniężne za naruszenie przepisów o ochronie danych w świetle polskiej ustawy o ochronie danych osobowych i RODO >

Zgodnie z art. 102 ustawy o ochronie danych osobowych prezes UODO może nałożyć na jednostki sektora finansów publicznych, a także instytuty badawcze i Narodowy Bank Polski - maksymalnie 100 tys. złotych kary. Pierwszą karę na instytucję samorządową - gminę Aleksandrów Kujawski - Prezes UODO nałożył w październiku w wysokości 40 tys. złotych za to, że nie zawarła umowy powierzenia przetwarzania danych osobowych oraz za zbyt długi czas publikowania oświadczeń majątkowych.

Czytaj też: Pierwsza kara dla urzędu za naruszenie RODO>>

Według dr Marleny Sakowskiej-Baryły, radcy prawnego, partnera w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp.p., odpowiedzialność za niewłaściwe zabezpieczenie strony internetowej urzędu ponosi kierownik jednostki. W tym przypadku jest to wójt. – Z perspektywy ochrony danych osobowych to wójt ma tak zorganizować pracę i zabezpieczenia informatyczne, żeby były one skuteczne – mówi dr Sakowska-Baryła.

Sprawdź w LEX: Czy sekretarz gminy może pełnić funkcję inspektora ochrony danych? >

Roszczenia cywilne podmiotów są możliwe

Inną płaszczyzną sprawy jest sytuacja osób, którym cyberatak i trudności techniczne mogły uniemożliwić załatwienie sprawy w urzędzie, w związku z czym poniosły szkodę majątkową lub niemajątkową, np. w postaci  stresu, że nie mogły uzyskać niezbędnych im w danym dniu dokumentów, zaświadczeń , informacji, odpisów, itp.

Sprawdź w LEX: Jaka jest rola inspektora ochrony danych podczas przeprowadzanego przez firmę zewnętrzną w urzędzie gminy audytu? >

- Nie jest wykluczone, że te osoby na mocy rozporządzenia RODO będą mogły dochodzić roszczeń o charakterze cywilno-prawnym – podkreśla mec. Sakowska-Baryła. Jak dodaje, może się tu pojawić problem poruszany często w doktrynie – jest to odpowiedzialność, której dochodzi się wobec administratora. - Jeżeli więc przyjmiemy, że jest nim wójt, burmistrz czy prezydent, to powinno się pozwać właśnie jego, bo to wynika  bezpośrednio z art. 79 lub z art. 81 RODO – dodaje mecenas.

Przypomina jednak, że nie mają oni zdolności sądowej, pozwana więc może być gmina. Zgodnie z Kodeksem cywilnym „osoba prawna jest obowiązana do naprawienia szkody wyrządzonej z winy jej organu” (art. 416 Kc). Nie jest to odpowiedzialność konkretnego pracownika, tylko gminy, więc wiąże się z zabezpieczeniem środków w budżecie gminy.

Jeżeli jest prowadzone postępowanie karne, wykazana może zostać odpowiedzialność karna konkretnego pracownika.

Czytaj w LEX: Projektowanie ochrony danych osobowych w związku z transmisją i nagrywaniem obrad kolegialnych organów jednostek samorządu terytorialnego >

Odpowiedzialność ustalana wewnątrz urzędu

Wewnątrz urzędu mogą być prowadzone ustalenia zmierzające do określenia konkretnego pracownika, który był odpowiedzialny za zabezpieczenia informatyczne, kto nadzorował działania w tym zakresie, i kto fizycznie dopuścił do sytuacji, że doszło do naruszenia ochrony danych.

- Tu pojawia się istotny problem, bo ta odpowiedzialność jest ułomna, jeśli chodzi o zakres. Należy ustalić, czy mamy do czynienia z ciężkim naruszeniem obowiązków pracowniczych, naruszeniem zasad porządku w pracy, czy w ogóle można mówić o odpowiedzialności majątkowej – tłumaczy mec. Marlena Sakowska-Baryła. Jak jednak podkreśla do momentu konkretnych ustaleń, czy ktoś ponosi odpowiedzialność i na jakich zasadach oraz do czego był zobowiązany w związku ze swoimi obowiązkami prawno-pracowniczymi, trudno określić jednoznacznie, w jaki sposób będzie odpowiadał.

Czytaj w LEX: Analiza sprawozdania z działalności UODO za 2018 - przegląd wskazówek dla administratorów danych >

Obecnie systemy komputerowe Gminy Kościerzyna są zabezpieczane – jak podaje gmina na swojej www - najwyższej klasy urządzeniami, które zapobiegną podobnym atakom hakerskim w przyszłości. Prowadzone jest postępowanie prokuratorskie zmierzające do ustalenia sprawców przestępstwa. O incydencie został też poinformowany Urząd Ochrony Danych Osobowych.

Samorząd terytorialny XXI wieku ebook

Irena Lipowicz

Sprawdź