Burmistrz miasta ukarany przez Prezesa UODO

Prezes UODO nałożył administracyjną karę pieniężną oraz nakazał dostosowanie operacji przetwarzania danych osobowych przez Burmistrza Miasta Z. ze względu na naruszenie przepisów RODO. Sprawa dotyczyła ataku ransomware na system informatyczny, który naruszył poufność danych osobowych około 9400 osób. Decyzja Prezesa UODO ma istotne znaczenie dla zapewnienia bezpieczeństwa danych osobowych oraz stosowania środków technicznych i organizacyjnych zgodnie z RODO.

Tematyka: Prezes UODO, Burmistrz Miasta Z., RODO, ochrona danych osobowych, atak ransomware, środki techniczne, środki organizacyjne, kara pieniężna, bezpieczeństwo danych, zarządzanie ryzykiem, aktualizacja zabezpieczeń

Prezes UODO stwierdził naruszenie przez Burmistrza Miasta Z. art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art.
25 ust. 1 oraz art. 32 ust. 1 i 2 RODO. Naruszenie polegało na doborze nieskutecznych zabezpieczeń systemu
informatycznego wykorzystywanego do przetwarzania danych osobowych oraz braku odpowiedniego
testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić
bezpieczeństwo przetwarzanych danych osobowych w systemach objętych naruszeniem. Prezes UODO
nakazał Burmistrzowi Miasta Z. dostosowanie operacji przetwarzania do przepisów RODO poprzez wdrożenie
odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania,
mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić
bezpieczeństwo przetwarzania, w terminie 30 dni od dnia doręczenia decyzji. Poza nakazem dostosowania
operacji przetwarzania do przepisów Prezes UODO nałożył administracyjną karę pieniężną w kwocie 30 000 zł
z a naruszenie ww. przepisów RODO.
Stan faktyczny
Burmistrz Miasta Z. (Urząd Miasta Z., dalej: Burmistrz albo administrator danych) zgłosił Prezesowi Urzędu Ochrony
Danych Osobowych (dalej: Prezes UODO) naruszenie ochrony danych osobowych, do którego doszło w czerwcu
2022 r.
Administrator wskazał, że naruszenie ochrony danych osobowych polegało na blokadzie przez sieć wewnętrzną
dostępu do serwera przez użytkowników końcowych. Zgodnie z treścią zgłoszenia złośliwe oprogramowanie
umieściło plik tekstowy w każdym folderze z informacją o okupie. Naruszenie dotyczyło około 9400 osób.
Administrator wskazał, że kategorie danych osobowych, które zostały naruszone, to: nazwiska i imiona, imiona
rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, adres e-mail,
dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, numer telefonu, wizerunek.
Prezes UODO przeprowadził postępowanie wyjaśniające w sprawie zgłoszonego naruszenia, a następnie wszczął
z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Burmistrza, jako administratora
danych, obowiązków wynikających z przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32
ust. 1 i 2 RODO.
W ramach postępowania wyjaśniającego w sprawie zgłoszonego naruszenia ochrony danych osobowych oraz
postępowania administracyjnego ustalono m.in., że:
• naruszenie ochrony danych osobowych zostało spowodowane atakiem ransomware na skutek wykorzystania
podatności istniejącej w systemie teleinformatycznym,
• prawdopodobnie nie doszło do utraty poufności danych osobowych, ale na dzień sporządzenia odpowiedzi
administrator danych nie był w stanie tego stwierdzić,
• administrator danych początkowo nie zwracał się do operatora świadczącego usługi dostępu do Internetu
z zapytaniem, czy nastąpiło nieuzasadnione pobieranie danych z Urzędu Miejskiego w Z.,
• trwały prace nad odzyskaniem danych z kopii zapasowej; administrator odzyskał około 80% danych,
• przeprowadzono analizę wszystkich procesów przetwarzania danych osobowych, w tym również procesu, w którym
doszło do naruszenia,
• serwer, na którym były przetrzymywane kopie zapasowe, uległ awarii,
• na serwerze codziennie są automatycznie aktualizowane sygnatury wirusów (informatyk Urzędu Miasta Z. podjął
się weryfikacji, czy nastąpiła aktualizacja).
Z uzasadnienia decyzji Prezesa UODO
W celu prawidłowego wywiązania się z obowiązków nałożonych przepisami RODO administrator danych był
zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie
odpowiednich środków technicznych oraz organizacyjnych, a także do podjęcia działań zmierzających do optymalnej
konfiguracji wykorzystywanych systemów operacyjnych przez regularne testowanie, mierzenie i ocenianie
skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych
w postaci testów bezpieczeństwa w zakresie infrastruktury informatycznej oraz aplikacji. Charakter i rodzaj tych
działań powinny wynikać z przeprowadzonej analizy ryzyka, w której należałoby zidentyfikować podatności

odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne
środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków
bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia.
W niniejszej sprawie administracyjna kara pieniężna wobec Burmistrza została nałożona za naruszenie art. 25 ust. 1
oraz art. 32 ust. 1 i 2 RODO na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a RODO, natomiast za naruszenie
art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO ‒ na podstawie art. 83 ust. 5 lit. a RODO. Jednocześnie kara nałożona na
Burmistrza łącznie za naruszenie wszystkich powyższych przepisów nie przekracza wysokości kary za
najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO, stosownie do
art. 83 ust. 5 lit. a RODO.
Decydując o nałożeniu administracyjnej kary pieniężnej, Prezes UODO wziął pod uwagę następujące okoliczności
sprawy. Stwierdzone naruszenie ma znaczną wagę i poważny charakter, stwarzało bowiem wysokie ryzyko
negatywnych skutków prawnych dla dokładnie nieustalonej, potencjalnie dużej liczby osób. Administrator danych nie
stwierdził co prawda naruszania poufności danych, ale z uwagi na brak możliwości wykazania przez administratora
danych (zgodnie z zasadą rozliczalności) wykluczenia tego rodzaju naruszenia należy przyjąć, iż występuje ryzyko,
że do utraty poufności danych mogło jednak dojść. Należy w tym miejscu wziąć pod uwagę, że złośliwe
oprogramowanie może się przyczynić do naruszenia poufności danych w następstwie przysyłania w dłuższym
okresie danych osobowych na zewnątrz organizacji administratora danych w postaci niewielkich paczek danych, tak
aby wzrost ruchu sieciowego był niezauważalny. Natomiast do ataku ransomeware mogło dojść dopiero po
przesłaniu danych osobowych na zewnątrz organizacji administratora danych. Burmistrz z uwagi na przejęte przez
siebie rozwiązania nie jest w stanie wykazać (zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO),
że nie została naruszona poufność przetwarzanych przez niego danych osobowych.
Naruszenie przez Burmistrza obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich
udostępnieniem osobom nieuprawnionym pociąga za sobą nie tylko potencjalną, ale również realną możliwość
wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie
z przepisami, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane
pozyskano. W tym miejscu wymaga podkreślenia, że Burmistrz jako organ wykonawczy samorządu terytorialnego
(gminy) jest podmiotem zaufania publicznego, od którego należy oczekiwać zarówno znajomości przepisów, jak
i właściwego ich stosowania, a tym samym wysokich standardów w zakresie bezpieczeństwa przetwarzanych
danych.
Ponadto administrator danych utracił dostęp do danych osobowych, które przetwarzał w związku z powierzonymi mu
zadaniami, przez okres od czerwca 2022 r. do sierpnia 2022 r.
Istotny wpływ na wystąpienie przedmiotowego naruszenia miało rażące niedbalstwo organu samorządu
terytorialnego. Burmistrz mimo świadomości zagrożenia dla bezpieczeństwa w procesie przetwarzania danych
osobowych związanego z prawdopodobieństwem przeprowadzenia ataku ransomware podejmował, w sposób
nierzetelny, działania w zakresie ochrony danych osobowych. Tym samym nieumyślnie naruszył przepisy o ochronie
danych osobowych ‒ art. 5 ust. 1 li. f RODO w zw. z art. 24 ust. 1, 25 ust. 1, 32 ust. 1 i 2 RODO i w konsekwencji
również art. 5 ust. 2 RODO.
Wziąwszy pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji, należy stwierdzić,
że administrator dopuścił się zaniedbania skutkującego wystąpieniem naruszenia ochrony danych osobowych, do
którego doszło na skutek m.in. rażącego niedbalstwa i nierzetelności organu samorządu terytorialnego. Stanowi to
więc istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej.
Dane osobowe znajdujące się w zasobach Burmistrza, do których utracił on dostęp w następstwie ataku
ransomware, nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, jednak ich
zakres (tj. nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub
pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko
rodowe matki, numer telefonu, wizerunek) wiązał się z wysokim ryzykiem naruszenia praw lub wolności osób
fizycznych dotkniętych naruszeniem.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą
wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracę administratora danych z organem nadzorczym.
Współpraca została podjęta i prowadzona w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych
negatywnych skutków (zgodnie z art. 83 ust. 2 lit. f RODO). Należy w tym miejscu wskazać, że poza prawidłowym
wywiązywaniem się z ciążących na Burmistrzu obowiązków procesowych w trakcie postępowania administracyjnego,
zakończonego wydaniem niniejszej decyzji, Burmistrz w pełnym zakresie zrealizował zalecenia Prezesa UODO
dotyczące uzupełnienia zawiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu.

Komentarz
Na przykładzie tej decyzji Prezesa UODO przedstawiono, jak można rozumieć w praktyce podejście, w którym

zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych. Zarządzanie ryzykiem
ma charakter ciągłego procesu wymuszającego na administratorze danych nie tylko zapewnienie zgodności
z przepisami RODO poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale
także zapewnienie ciągłości monitorowania poziomu zagrożeń oraz rozliczalności w zakresie poziomu oraz
adekwatności wprowadzonych zabezpieczeń.
Choć wybrzmiewało to już w poprzednich rozstrzygnięciach Prezesa UODO, warto podkreślić, że w zakresie
stosowania odpowiednich środków technicznych i organizacyjnych administratorzy danych muszą pilnować
aktualizacji stosowanych środków zabezpieczających. Korzystanie bowiem z systemów informatycznych służących
do przetwarzania danych osobowych po zakończeniu wsparcia technicznego przez ich producenta obniża poziom
bezpieczeństwa. Brak wbudowanych oraz aktualizowanych zabezpieczeń zwiększa w szczególności ryzyko infekcji
za pomocą złośliwego oprogramowania oraz ataków poprzez powstawanie nowych luk w zabezpieczeniach. Systemy
te stają się bardziej podatne na cyberataki, m.in. typu ransomware, blokujące dostęp do danych oraz żądające okupu
za ich odzyskanie.

Decyzja Prezesa UODO z 16.5.2023 r., DKN.5131.56.2022,

Decyzja Prezesa UODO w sprawie kary dla Burmistrza Miasta Z. za naruszenie przepisów RODO ma istotne konsekwencje dla ochrony danych osobowych. Wskazuje ona na konieczność ciągłego monitorowania zagrożeń, aktualizacji środków zabezpieczających oraz zapewnienia wysokich standardów bezpieczeństwa przetwarzania danych.