Prezes UODO nakłada karę za utratę dostępu do dokumentacji przez administratora

Stan faktyczny: Do Urzędu Ochrony Danych Osobowych (dalej: UODO) wpłynęła informacja od podmiotu trzeciego, wskazująca na utratę dokumentacji koncesyjnej prowadzonej w formie elektronicznej przez P. Sp. z o.o. z siedzibą w W. (dalej: Administrator), która to dokumentacja powinna zawierać dane osobowe pracowników ochrony, a także osób fizycznych będących stronami umów cywilnoprawnych. 

W związku z tym Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) zwrócił się do Administratora o udzielenie informacji, czy w wyniku wskazanej sytuacji doszło do analizy pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. Analiza jest niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie.

Administrator udzielił wyjaśnień, w których wskazał m.in., że:

1. Doszło do ataku ransomware przeprowadzonego w celu osiągnięcia korzyści majątkowej. W związku z 1 tym zdarzeniem doszło do zaszyfrowania danych osobowych znajdujących się na trzech serwerach, przy czym dane te dotyczyły wszystkich pracowników spółki i osób świadczących na rzecz spółki usługi w ramach zawartych umów cywilnoprawnych.
2. W wyniku przedmiotowego zdarzenia Administrator utracił dostęp do danych wskazanych osób (w tym do imion, nazwisk, numerów PESEL)
3. Administrator zweryfikował problem, ustalił brak możliwości rozszyfrowania (dostęp do utraconych danych nie został odzyskany) i przyjął, że najkorzystniejsze będzie wstrzymanie się od ingerowania w system. Administrator korzystał więc ze sporządzonej w formie papierowej kopii danych.
4. Administrator na podstawie badania przepływu danych wychodzących ustalił, że nie doszło do transferu danych poza firmowy serwer (dane nie zostały pobrane przez osobę nieupoważnioną). Z przeprowadzonego przez pracowników Administratora audytu systemu informatycznego, który (jak oświadczył Administrator) wykazał, że nie doszło do uzyskania dostępu do danych w nim przetwarzanych, nie sporządzono żadnego raportu.

Administrator wskazał również, że dostęp do dokumentacji prowadzonej w formie elektronicznej nie został utracony, a jedynie zablokowany. W związku z powyższym uznano, że art. 33 ust. 1 RODO nie miał w tej sytuacji zastosowania.

Na tym etapie ustaleń wynikało, że doszło do naruszenia ochrony danych osobowych polegającego na przełamaniu zabezpieczeń systemu informatycznego Administratora wykorzystywanego do przetwarzania danych osobowych, a następnie zaszyfrowaniu przetwarzanych w nim danych. W związku z tym Prezes UODO wszczął z urzędu postępowanie administracyjne wobec Administratora w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO.

Z uzasadnienia decyzji Prezesa UODO:

Prezes UODO ocenił, że Administrator nie przeprowadził prawidłowej analizy ryzyka dla procesu przetwarzania danych osobowych w formie elektronicznej. Nieoszacowanie poziomu ryzyka (lub błędne jego dokonanie) uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo wystąpienia naruszenia. Brak odpowiednich zabezpieczeń technicznych stanowi podatność, a co za tym idzie ‒ stwarza wysokie zagrożenie w postaci zmniejszenia odporności systemu. W rezultacie w analizowanej sprawie doszło do zmaterializowania się ryzyka: nastąpiło przełamanie zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych, a następnie dane znajdujące się w tym systemie zostały zaszyfrowane. Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących.

Komentarz eksperta (Katarzyna Morawska): Skoro dane osobowe, za które odpowiadał Administrator, zostały zaszyfrowane (Administrator ponadto zdecydował się na nierozszyfrowanie danych), oznacza to, że został on pozbawiony dostępu do danych szczególnej grupy podmiotów danych, jakimi są pracownicy i współpracownicy, a więc stanowisko organu jest jak najbardziej prawidłowe.