Do UODO wpłynęła informacja od podmiotu trzeciego, wskazująca na utratę dokumentacji prowadzonej w formie elektronicznej przez administratora. Dokumentacja ta zawierała m.in. dane osobowe pracowników administratora oraz osób będących stronami umów cywilnoprawnych. W związku z tymi informacjami UODO występował do administratora z kolejnymi pismami o udzielenie wyjaśnień. A ten przyznał, że w wyniku ataku ransomware doszło do zablokowania dostępu do danych osobowych pracowników spółki. Nie umiał rozszyfrować danych, więc przyjął, że najkorzystniej będzie wstrzymać się od ingerowania w system.
Czytaj też: TSUE: Krajowe organy ochrony konkurencji same mogą stwierdzić naruszenie przepisów RODO
Administrator nie zgłosił naruszenia ochrony danych osobowych do organu nadzorczego. W ocenie administratora zdarzenie nie stanowiło incydentu, mającego znamiona naruszenia ochrony danych osobowych w rozumieniu RODO.
Kalendarz szkoleń online w LEX Ochrona Danych Osobowych >>
Brak wdrożenia odpowiednich środków
W ocenie UODO, biorąc pod uwagę zakres przetwarzanych danych osobowych, a także kategorie osób, administrator był zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewniłyby adekwatny poziom ochrony danych. Dobór właściwych środków powinien wynikać z przeprowadzonej analizy ryzyka, niestety w omawianym postępowaniu nic nie wskazywało na to, że administrator przeprowadził ją prawidłowo dla przetwarzanych w formie elektronicznej danych.
Zobacz też: Przegląd administracyjnych kar pieniężnych nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych >>
RODO daje dużą elastyczność administratorowi, nie narzucając konkretnych wymagań w zakresie doboru zabezpieczeń. To administrator ma samodzielnie dokonać analizy procesów przetwarzania danych, ocenić ryzyka, a następnie zastosować odpowiednie środki i procedury.
Niezależnie od okoliczności związanych z analizą ryzyka, w przedmiotowej sprawie administrator nie stosował także adekwatnych środków bezpieczeństwa, czego rezultatem było przełamanie zabezpieczeń systemu informatycznego i zaszyfrowanie danych osobowych. Działanie to nie zostało powstrzymane przez przyjęte u niego mechanizmy bezpieczeństwa. Podmiot ten nie podjął niezwłoczne działań zapewniających szybkie i skuteczne przywrócenie dostępu do danych osobowych.
UODO konsekwentnie przypomina, że wdrażając środki bezpieczeństwa, administrator nie może ograniczać się do jednorazowego ich opracowania. Konieczne jest także ich testowanie i weryfikowanie, czy są one adekwatne do istniejących ryzyk. Administrator nie był w stanie także wykazać, że zastosowane przez niego środki techniczne i organizacyjne są wystarczające.
Administrator, mimo sugestii ze strony Urzędu, dotyczącej przeprowadzenia pogłębionej analizy zaistniałego zdarzenia, nadal nie dostrzegał w nim znamion naruszenia ochrony danych osobowych. Nie widział w nim także ryzyka dla praw i wolności osób, których dane dotyczą.
Sprawdź w LEX: Tabela retencji danych - zestawienie >>
Niezadowalająca współpraca
W tej konkretnie sprawie znaczenie dla jej oceny miała także współpraca z administratorem, która nie należała do zadowalających. Nie udzielał on odpowiedzi na pisma organu nadzorczego w sposób bardzo lakoniczny, często niespójny. Pisma niejednokrotnie nie były opatrzone podpisami osób uprawnionych do reprezentacji, a także zdarzyła się sytuacja, kiedy odpowiedź do UODO skierowana była przez zupełnie inną spółkę.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.