Upomnienie Prezesa UODO za dobór nieskutecznych zabezpieczeń systemu informatycznego

Prezes UODO stwierdził naruszenie przepisów RODO związane z doborem nieskutecznych zabezpieczeń systemu informatycznego. W artykule omówiono przypadki naruszenia ochrony danych osobowych oraz braku regularnego testowania skuteczności środków technicznych i organizacyjnych. Decyzja Prezesa UODO opiera się na analizie ryzyka i niedostosowaniu środków do okoliczności przetwarzania danych.

Tematyka: Upomnienie Prezesa UODO, naruszenie ochrony danych osobowych, nieskuteczne zabezpieczenia, system informatyczny, RODO, analiza ryzyka, środki techniczne, środki organizacyjne, testowanie skuteczności

Prezes UODO stwierdził naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz
art. 32 ust. 1 i 2 RODO. Polegało ono na doborze nieskutecznych zabezpieczeń systemu informatycznego
wykorzystywanego do przetwarzania danych osobowych oraz braku regularnego testowania, mierzenia
i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo
przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności
w zakresie podatności, błędów oraz skutków możliwych dla tych systemów.
Stan faktyczny
Pani K.Z. prowadząca działalność gospodarczą (dalej: Administrator) dokonała zgłoszenia Prezesowi Urzędu
Ochrony Danych Osobowych (dalej: Prezes UODO) naruszenia ochrony danych osobowych swoich pracowników
oraz pacjentów. Naruszenie polegało na zaszyfrowaniu ich danych osobowych za pomocą złośliwego
oprogramowania. Ostatecznie dotyczyło ono 6591 osób.
Naruszeniem zostały objęte dane pracownicze, dane z obszaru księgowości oraz dane związane ze świadczeniem
usług medycznych. Przyczyną naruszenia ochrony danych osobowych było przełamanie zabezpieczeń serwera.
Z uzasadnienia decyzji Prezesa UODO
W decyzji Prezes UODO odniósł się do kwestii wdrożenia odpowiednich środków technicznych i organizacyjnych.
Stwierdził, że zgodnie z art. 32 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz.Urz.
UE L z 2016 r. Nr 119, s. 1; dalej: RODO) ustalenie odpowiednich środków technicznych i organizacyjnych jest
procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się
z przetwarzaniem danych osobowych, uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 RODO. W kolejnym
kroku należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień
bezpieczeństwa odpowiadający ryzyku.
W ocenianej sprawie, zdaniem Prezesa UODO analiza ryzyka przeprowadzona przez Administratora przed
naruszeniem ochrony danych osobowych nie uwzględniała wszystkich potencjalnych zagrożeń dla przetwarzanych
danych osobowych, w tym zagrożeń związanych z utratą dostępności do danych osobowych. Z przeprowadzonej
analizy nie wynikał również sposób postępowania ze stwierdzonym ryzykiem. Administrator poprzestał wyłącznie na
procentowym i punktowym określeniu jego poziomu, bez wskazania przyjętego poziomu ryzyka akceptowalnego.
Nie wskazano również, jakie środki techniczne i organizacyjne zostały zastosowane przez Administratora w celu
obniżenia ryzyka do poziomu akceptowalnego lub złagodzenia jego skutków. Wystąpienie naruszenia wskazuje, że
dobór środków technicznych i organizacyjnych był niewłaściwy i nieadekwatny (nieskuteczny), a więc
niedostosowany do okoliczności i warunków przetwarzania danych oraz prawdopodobieństwa i powagi zdarzeń,
które mogą doprowadzić do naruszenia praw lub wolności osób, których dane są przetwarzane. Natomiast skutkiem
nieuwzględnienia w przeprowadzonej analizie ryzyka zagrożeń związanych z brakiem możliwości szybkiego
i skutecznego odtworzenia danych z posiadanych kopii zapasowych jest brak kompleksowej i efektywnej procedury
regulującej wszystkie aspekty związane ze sporządzaniem kopii zapasowych i ich weryfikacją. Skutkiem powyższego
był brak możliwości szybkiego i skutecznego przywrócenia danych z kopii zapasowych.
Zdaniem Prezesa UODO Administrator nie zapewnił odpowiedniego zabezpieczenia danych przetwarzanych przy ich
użyciu, a to ze względu na to, że w przekazanych przez Administratora pismach brak jest informacji o tym, że
przeprowadzano np. testy penetracyjne, wykrywano luki w oprogramowaniu i podatności na ataki z sieci wewnętrznej
i zewnętrznej. W konsekwencji, zdaniem Prezesa UODO, przesądza to o niewdrożeniu przez Administratora
odpowiednich środków technicznych i organizacyjnych w czasie przetwarzania danych osobowych i w celu nadania
przetwarzaniu niezbędnych zabezpieczeń, do czego był on zobowiązany zgodnie z art. 24 ust. 1 i 25 ust. 1 RODO,
jak również o: niezastosowaniu środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa
odpowiadający ryzyku poprzez zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności
i odporności systemów i usług przetwarzania, o którym mowa w art. 32 ust. 1 lit. b) RODO, oraz o niedokonaniu
oceny, czy stopień bezpieczeństwa jest odpowiedni, przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem
danych osobowych, której obowiązek wynika z art. 32 ust. 2 RODO.

Ponadto analiza zgromadzonego w niniejszej sprawie materiału dowodowego wskazuje, że nie były podejmowane
działania mające na celu zapewnienie najbardziej aktualnych wersji użytkowanego oprogramowania, pomimo tego,
że w przeprowadzonej analizie ryzyka Administrator przewidział zagrożenie w postaci braku aktualizacji systemów
operacyjnych serwerów, co obejmuje także brak aktualizacji spowodowany zaprzestaniem wspierania danego
systemu przez jego producenta.
Prezes UODO zaznaczył, że aby testowanie, mierzenie i ocenianie zastosowanych środków bezpieczeństwa
stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) RODO, musi być ono dokonywane w sposób
regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą
rozliczalności, o której mowa w art. 5 ust. 2 RODO) tego typu działań w określonych przedziałach czasowych,
niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych. W związku z powyższym
Administrator nie podejmował działań, do których jest zobowiązany w świetle art. 32 ust. 1 lit. d) RODO, co
przesądziło o naruszeniu tego przepisu. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak
i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Ponadto jednorazowe
dokonanie sprawdzenia pozostaje w sprzeczności z zasadami przyjętymi w Polityce bezpieczeństwa Administratora,
w której określono rodzaje sprawdzeń (planowe, doraźne oraz w przypadku zwrócenia się o to przez Prezesa
UODO), a także terminy sprawdzeń planowych.
Należy podkreślić, że dopiero po naruszeniu ochrony danych osobowych Administrator podjął dodatkowe działania
w celu zastosowania środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania
danych osobowych. Przykładem takich działań było zainstalowanie zapory sieciowej oraz podnoszenie świadomości
zagrożeń związanych z cyberbezpieczeństwem wśród pracowników Administratora.
W związku z podjęciem tych działań należy stwierdzić, że wcześniejsze zastosowanie zabezpieczeń, które zostały
wdrożone dopiero po naruszeniu, znacząco obniżyłoby ryzyko zaistnienia tego typu zagrożenia. Administrator jednak
nie podjął działań mających na celu prawidłową realizację jego obowiązków związanych ze zdolnością do szybkiego
przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
Administrator nie podjął również działań związanych z regularnym testowaniem, mierzeniem i ocenianiem
skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania, o których
mowa w art. 32 ust. 1 lit. c) i art. 32 ust. 1 lit. d) RODO.
Biorąc powyższe pod uwagę, Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy
wystarczającym środkiem będzie udzielenie Administratorowi upomnienia. Okolicznością łagodzącą był brak podstaw
do uznania, że osoby, których dane dotyczą, poniosły jakąkolwiek szkodę na skutek tego naruszenia w związku
z czasową niedostępnością systemów informatycznych Administratora. Dodatkowo Administrator zgłosił do Prezesa
UODO naruszenie ochrony danych osobowych. Naruszenie dotyczyło więc jednorazowego zdarzenia. Na udzielenie
upomnienia miał wpływ również fakt, że ewentualna administracyjna kara pieniężna stanowiłaby nieproporcjonalne
obciążenie dla Administratora.
Prezes UODO nakazał dostosowanie operacji przetwarzania do przepisów RODO poprzez:
1. Przeprowadzenie analizy ryzyka w celu oszacowania właściwego poziomu ryzyka wiążącego się
z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego
z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych
osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - uwzględniającej stan wiedzy
technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub
wolności osób fizycznych, w tym zagrożenia związane z zainstalowaniem złośliwego oprogramowania
ingerującego w dostępność danych oraz zagrożenia w postaci braku możliwości skutecznego odtworzenia
danych z kopii zapasowej;
2. Wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zdolności do szybkiego
przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
3. Wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania,
mierzenia i oceniania skuteczności środków technicznych oraz organizacyjnych, mających zapewnić
bezpieczeństwo przetwarzania.

Komentarz
Prawidłowo przeprowadzona analiza ryzyka powinna uwzględniać wszystkie zagrożenia mające wpływ na
bezpieczeństwo przetwarzanych danych osobowych oraz być przeprowadzana pod wpływem zmieniających się
okoliczności i z użyciem wiedzy nabytej, np. w związku z różnymi incydentami, takimi jak naruszenie ochrony danych.
Dobór odpowiednich środków technicznych i organizacyjnych będzie zmieniał się w czasie pod wpływem czynników
wewnętrznych i zewnętrznych, a administratorzy powinni na te okoliczności reagować. Są oni bowiem zobowiązani
do wdrożenia odpowiednich środków technicznych oraz organizacyjnych, a także działań zmierzających do
optymalnej konfiguracji wykorzystywanych systemów operacyjnych poprzez regularne testowanie, mierzenie

i ocenianie skuteczności środków technicznych i organizacyjnych.

Decyzja Prezesa UODO z 14.6.2022 r., DKN.5131.56.2021,

Prezes UODO udzielił Administratorowi upomnienia w związku z naruszeniem przepisów RODO. Nakazał dostosowanie operacji przetwarzania danych oraz wdrożenie odpowiednich środków technicznych i organizacyjnych. Wskazano na konieczność regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa.