Prezes UODO nakłada karę za utratę dostępu do dokumentacji przez administratora

Prezes UODO nałożył administracyjną karę pieniężną na P. Sp. z o.o. za naruszenie przepisów RODO związane z utratą dostępu do dokumentacji zawierającej dane osobowe pracowników i kontrahentów spółki. Naruszenia dotyczyły braku odpowiednich środków bezpieczeństwa w systemach informatycznych oraz niezgłoszenia naruszenia zgodnie z wymogami RODO. Prezes UODO wszczął postępowanie administracyjne i nakazał nałożenie kary pieniężnej.

Tematyka: Prezes UODO, kara pieniężna, RODO, naruszenie danych osobowych, analiza ryzyka, brak zabezpieczeń technicznych, ochrona danych, postępowanie administracyjne

Prezes UODO stwierdził naruszenie przez P. Sp. z o.o. przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1,
art. 25 ust. 1 oraz art. 32 ust. 1 i 2, a także art. 33 ust. 1 oraz art. 34 ust. 1 i 2 RODO, polegające na
niewdrożeniu: odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo
przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą oraz
odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania,
mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić
bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, w szczególności
w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań
minimalizujących ryzyko ich wystąpienia, które to naruszenia oznaczały naruszenie zasad integralności (art.
5 ust. 1 lit. f RODO) i rozliczalności (art. 5 ust. 2 RODO). Naruszenie polegało także na niezgłoszeniu
Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72
godzin po stwierdzeniu naruszenia, oraz niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą,
o naruszeniu ochrony danych osobowych. W związku z powyższym Prezes UODO nałożył na P. Sp. z o.o.
administracyjną karę pieniężną w wysokości 47 160 zł.
Stan faktyczny
Do Urzędu Ochrony Danych Osobowych (dalej: UODO) wpłynęła informacja od podmiotu trzeciego, wskazująca na
utratę dokumentacji koncesyjnej prowadzonej w formie elektronicznej przez P. Sp. z o.o. z siedzibą w W. (dalej:
Administrator), która to dokumentacja powinna zawierać dane osobowe pracowników ochrony, a także osób
fizycznych będących stronami umów cywilnoprawnych.
W związku z powyższym Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) zwrócił się do
Administratora o udzielenie informacji, czy w wyniku ww. sytuacji dokonana została analiza incydentu pod kątem
ryzyka naruszenia praw lub wolności osób fizycznych, niezbędna do oceny, czy doszło do naruszenia ochrony
danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. W piśmie
wskazano na treść art. 33 ust. 1 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO) oraz
na sposób, w jaki może dokonać zgłoszenia naruszenia.
Z wyjaśnień udzielonych przez Administratora w odpowiedzi na to i na późniejsze wezwania organu nadzorczego
(kierowane do niego przed wszczęciem postępowania administracyjnego w niniejszej sprawie) wynika m.in., że:
1. Doszło do ataku ransomware przeprowadzonego w celu osiągnięcia korzyści majątkowej. W związku z tym
zdarzeniem doszło do zaszyfrowania danych osobowych znajdujących się na trzech serwerach, przy czym dane
te dotyczyły wszystkich pracowników spółki i osób świadczących na rzecz spółki usługi w ramach zawartych
umów cywilnoprawnych.
2. W wyniku przedmiotowego zdarzenia Administrator utracił dostęp do danych ww. osób należących do
następujących kategorii: nazwisk, imion, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania
lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, numerów
telefonów oraz numerów dowodów osobistych.
3. Administrator zweryfikował problem, ustalił brak możliwości rozszyfrowania (dostęp do utraconych danych nie
został odzyskany) i przyjął, że najkorzystniejsze będzie wstrzymanie się od ingerowania w system. Administrator
korzystał więc ze sporządzonej w formie papierowej kopii danych.
4. Administrator na podstawie badania przepływu danych wychodzących ustalił, że nie doszło do transferu danych
poza firmowy serwer (dane nie zostały pobrane przez osobę nieupoważnioną). Z przeprowadzonego przez
pracowników Administratora audytu systemu informatycznego, który (jak oświadczył Administrator) wykazał, że
nie doszło do uzyskania dostępu do danych w nim przetwarzanych, nie sporządzono żadnego raportu.
Administrator wskazał również, że dostęp do dokumentacji prowadzonej w formie elektronicznej nie został utracony,
a jedynie zablokowany. Uznano, że art. 33 ust. 1 RODO nie miał w tej sytuacji zastosowania.

Na tym etapie ustaleń wynikało, że doszło do naruszenia ochrony danych osobowych polegającego na przełamaniu
zabezpieczeń systemu informatycznego Administratora wykorzystywanego do przetwarzania danych osobowych,
a następnie zaszyfrowaniu przetwarzanych w nim danych. W konsekwencji Administrator został pozbawiony dostępu
do ww. systemu oraz znajdujących się w nim danych osobowych wszystkich pracowników spółki i osób świadczących
na rzecz spółki usługi w ramach zawartych umów cywilnoprawnych (tj. ich nazwisk, imion, dat urodzenia, numerów
rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych
dotyczących zarobków, numerów telefonów i numerów dowodów osobistych).
W związku z poczynieniem wyżej wskazanych ustaleń Prezes UODO wszczął z urzędu postępowanie
administracyjne wobec Administratora w sprawie braku zgłoszenia naruszenia ochrony danych osobowych
Prezesowi UODO, zgodnie z art. 33 ust. 1 RODO, oraz braku zawiadomienia o naruszeniu ochrony danych
osobowych osób, których dotyczyło naruszenie, zgodnie z art. 34 ust. 1 i 2 RODO, a także w sprawie możliwości
naruszenia obowiązków wynikających z przepisów RODO w związku z naruszeniem ochrony danych osobowych,
w następującym zakresie: art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO.
Z uzasadnienia decyzji Prezesa UODO
Prezes UODO ocenił, że Administrator nie przeprowadził prawidłowej analizy ryzyka dla procesu przetwarzania
danych osobowych w formie elektronicznej (nie uzyskano odpowiedzi na przesyłane Administratorowi wezwania do
złożenia wyjaśnień). Nieoszacowanie poziomu ryzyka (lub błędne jego dokonanie) uniemożliwia zastosowanie
odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo wystąpienia
naruszenia (przy czym podobne skutki może mieć niedopasowanie środków bezpieczeństwa do wniosków płynących
z prawidłowej analizy ryzyka).
Niezależnie od okoliczności związanych z analizą ryzyka należy stwierdzić, że Administrator nie zastosował
odpowiednich środków bezpieczeństwa. Brak odpowiednich zabezpieczeń technicznych stanowi podatność, a co za
tym idzie ‒ stwarza wysokie zagrożenie w postaci zmniejszenia odporności systemu m.in. na działanie złośliwego
oprogramowania. W rezultacie w analizowanej sprawie doszło do zmaterializowania się ryzyka: nastąpiło
przełamanie zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych,
a następnie dane znajdujące się w tym systemie zostały zaszyfrowane.
W niniejszej sprawie administracyjna kara pieniężna nałożona została za naruszenie art. 25 ust. 1, art. 32 ust. 1 i 2,
art. 33 ust. 1 i art. 34 ust. 1 i 2 RODO na podstawie art. 83 ust. 4 lit. a RODO, natomiast za naruszenie art. 5 ust. 1 lit.
f i art. 5 ust. 2 RODO ‒ na podstawie art. 83 ust. 5 lit. a RODO. Nakładając karę, Prezes UODO wziął pod uwagę
następujące okoliczności:
1. Naruszenie przepisów RODO, nakładających na Administratora obowiązki w zakresie zastosowania
odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym
danym osobowym, miało wpływ na naruszenie przede wszystkim dostępności danych szczególnej kategorii
podmiotów danych (tj. pracowników i współpracowników).
2. Naruszenie godziło pośrednio w interesy pracowników, których dane powinny być chronione. Należy przyjąć, że
naruszenie przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1 oraz 32 ust. 1 i 2 RODO rozpoczęło się jeszcze
przed zaistnieniem naruszenia ochrony danych osobowych. Natomiast naruszenie obowiązków wynikających
z art. 33 ust. 1 i art. 34 ust. 1 i 2 RODO trwa od chwili, do której Administrator winien był wykonać swoje
obowiązki informacyjne wynikające z tych przepisów. Rozważając tę przesłankę, należy również zaznaczyć, że
naruszenie ochrony danych osobowych dotyczyło danych około 30 osób.
3. Administrator podjął świadomą decyzję, m.in. by nie zawiadamiać o naruszeniu Prezesa UODO, a także osób,
których dane dotyczą. Będąc tego świadomy, Administrator podjął jednak decyzję m.in. o rezygnacji z dokonania
zgłoszenia naruszenia Prezesowi UODO i powiadomienia osób, których dane dotyczą, pomimo faktu, że Prezes
UODO w pierwszej kolejności informował o obowiązkach ciążących na administratorze w związku z naruszeniem
ochrony danych. Organ nadzorczy nie stwierdził jednak, by naruszenie pozostałych przepisów (tj.
w szczególności art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO) miało w przedmiotowej sprawie charakter umyślny ‒
wynikało raczej z niedbalstwa po stronie spółki.
4. Administrator nie podjął działań naprawczych mających na celu usunięcie naruszenia oraz złagodzenie jego
ewentualnych negatywnych skutków poza deklarowanymi próbami odzyskania dostępności danych z pomocą
właściwych urzędów (przy czym nie wiadomo, czy działania te były w pełni skuteczne).
5. O naruszeniu przepisów dotyczących ochrony danych osobowych stanowiących przedmiot niniejszego
postępowania Prezes UODO dowiedział się od podmiotu trzeciego.
Administrator nie udzielił wyczerpujących wyjaśnień na wezwania organu nadzorczego ‒ odpowiedzi na zadawane
pytania często były lakoniczne lub niespójne. Terminowość oraz sposób ich udzielania (np. wielokrotne przesyłanie

dokumentów niepodpisanych przez osoby upoważnione do reprezentacji) świadczą na niekorzyść Administratora
przy ocenie jego współpracy z Prezesem UODO.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie znalazł podstaw do uwzględnienia
okoliczności łagodzących.

Komentarz
Pomimo licznych wyjaśnień i wskazówek organów nadzorczych co do tego, jak należy rozumieć naruszenie ochrony
danych, o którym mowa w art. 33 RODO, oraz kiedy należy zgłosić takie naruszenie, Administrator w omawianej
sprawie nie podjął wymaganych czynności. Uznał bowiem, że blokada założona w wyniku oprogramowania
ransomware uniemożliwiająca dostęp do dokumentacji elektronicznej nie oznacza, że doszło do utracenia dostępu do
tej dokumentacji. W związku z tym, że nie doszło do utraty dostępu, wywnioskowano, że według Administratora nie
ma ryzyka naruszenia praw lub wolności osób fizycznych, a zatem nie zachodzi potrzeba zgłaszania naruszenia.
Taki tok rozumowania oceniam jako nieprawidłowy. Z ustaleń Prezesa UODO wynika, że w omawianej sprawie
doszło do przełamania zabezpieczeń systemu, a następnie zaszyfrowania przetwarzanych w nim danych. Skoro
dane osobowe, za które odpowiadał Administrator, zostały zaszyfrowane (Administrator ponadto zdecydował się na
nierozszyfrowanie danych), oznacza to, że został on pozbawiony dostępu do danych szczególnej grupy podmiotów
danych, jakimi są pracownicy i współpracownicy.

Decyzja Prezesa UODO z 31.5.2023 r., DKN.5131.8.2021,

Prezes UODO uznał, że Administrator nie przeprowadził prawidłowej analizy ryzyka, co uniemożliwiło zastosowanie odpowiednich środków bezpieczeństwa. Decyzja o nałożeniu kary uwzględniła brak zabezpieczeń technicznych, naruszenie praw pracowników oraz świadome zaniechanie działań naprawczych przez Administratora. Organ nadzorczy nie uwzględnił okoliczności łagodzących przy ustalaniu wysokości kary.