Kara za nieskuteczne zabezpieczenie techniczne danych osobowych
Obowiązki administratora w zakresie przetwarzania danych osobowych zostały określone w art. 5 RODO. Jednym z obowiązków jakie zostały ustalone w przywołanym przepisie jest przetwarzanie danych w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Właśnie obowiązek zapewnienia technicznego zabezpieczenia przetwarzanych danych był przedmiotem rozważań Prezesa UODO, w prowadzonym postepowaniu w sprawie naruszenia ochrony danych osobowych.
Postępowanie zostało wszczęte po zgłoszeniu do UODO naruszenia ochrony danych osobowych, które było skutkiem ataku ransomware, dokonanego na system informatyczny Urzędu Miasta. Zakończyło się stwierdzeniem przez Prezesa UODO naruszenia przez Burmistrza art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO oraz obciążeniem Burmistrza administracyjną karę pieniężną w wysokości 30 tys. zł za dobór nieskutecznych zabezpieczeń oraz brak ich regularnego testowania w ramach zorganizowanego przez burmistrza systemu informatycznego.
Dokonany atak ransomware polegał na uzyskaniu przez złośliwe oprogramowanie kontroli nad blokadą dostępu oraz następnie wprowadzenie blokady dostępu do serwera przez użytkowników końcowych. Następnie złośliwe oprogramowanie umieściło w każdym folderze z danymi osobowymi plik tekstowy zawierający informacje o okupie.
Burmistrz w wyjaśnieniach udzielonych UODO wskazywał, że naruszenie dotyczyło blisko 10.000 osób. Kategorie danych osobowych, które zostały objęte atakiem ransomware to:
• nazwiska i imiona, imiona rodziców,
• data urodzenia,
• numery rachunków bankowych,
• adresy zamieszkania,
• numery PESEL,
• adresy e-mail,
• dane dotyczące zarobków, posiadanego majątku,
• numery telefonów,
• wizerunek,
Po przeprowadzeniu postępowania dowodowego UODO wskazał, że faktyczną przyczyną wystąpienia ataku ransomware była niezaktualizowania baza wirusów prowadzona przez Urząd Miasta. Dalszymi brakami jakie wskazał UODO w systemie informatycznym Urzędu Miasta była nierzetelna analiza ryzyka oraz niepełne środki techniczne i organizacyjne. Skutkiem wad we wprowadzonym systemie ochrony danych było przełamanie przez złośliwe oprogramowanie zabezpieczeń oraz zaszyfrowanie przetwarzanych przez Administratora danych osobowych.
Jak wskazał UODO jednym z istotnych elementów zapewniających bezpieczeństwo danych osobowych jest zapewnienie, aby wykorzystywane do przetwarzania danych osobowych oprogramowanie posiadało najnowszą wersję udostępnioną przez jego producenta. Aktualizacja oprogramowania do jego najnowszych wersji powinna dokonywać się na bieżąco, z chwilą ich udostepnienia przez producenta. Taki sposób postepowania Administratora pozwala zapewnić, że takie oprogramowanie posiada wszystkie wydane przez producenta aktualizacje, w tym aktualizacje dotyczące zabezpieczeń i poprawek mających wpływ na bezpieczeństwo.
Burmistrz w złożonych w sprawie wyjaśnieniach wskazał na podatność systemu teleinformatycznego na atak ransomware, którą była skutkiem nie dokonywania aktualizacji bazy wirusów. Ponadto z ustalonego przez UODO stanu faktycznego wynika, iż Administrator stracił wsparcie producenta oprogramowania ochronnego na długo przed dokonanym atakiem ransomware. W związku z tym oprogramowanie pozostawało zapóźnione technicznie – pozbawione aktualizacji zabezpieczeń, innych technicznych usprawnień czy pomocy technicznej.
Przetwarzane przez Urząd Miasta dane były zaszyfrowane – co spowodowało, że po ataku ransomware dostęp do nich stał się niemożliwy. W tym wypadku problemem stanowił system tworzenia kopii zapasowych przetwarzanych danych osobowych oraz wprowadzona przez Administratora metoda wykonywania kopii zapasowych. Serwer jaki miał mieścić dodatkową kopię danych uległ awarii co spowodowało niemożność szybkiego odtworzenia danych. Jak wskazał UODO w decyzji: Biorąc pod uwagę datę zaistnienia naruszenia ograniczenie dostępności trwało niemalże trzy miesiące.
UODO wskazał, iż przyjęte przez administratora środki techniczne ochrony danych osobowych w żaden sposób nie były testowane, mierzone i oceniane celem weryfikacji ich skuteczności. Na podstawie art. 5 ust. 2 RODO Administrator jest odpowiedzialny za przetwarzane dane i winien zapewnić ich przetwarzanie zgodnie z zasadami przetwarzania danych osobowych. Jednocześnie administrator – burmistrz musi być w stanie wykazać ich przestrzeganie. W toku prowadzonego postępowania burmistrz nie był w stanie wykazać, że zastosowane rozwiązania były wystarczające dla zapewnienia bezpieczeństwa przetwarzanych danych oraz nie wykazał, że po wystąpieniu naruszenia ochrony danych osobowych dokonuje regularnego testowania.
Prezes Urzędu Ochrony Danych Osobowych nakazał administratorowi dostosowanie operacji przetwarzania poprzez wdrożenie środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Dokonywane przez administratora testowanie i ocena zastosowanych zabezpieczeń, nie może być jednorazowe ale musi być dokonywane w sposób regularny, tak aby zapewnić aktualność systemu zabezpieczeń.