W przypadku włamania na konto firmowe przedsiębiorca może zapłacić karę. Nawet jeżeli nic nie zapobiegłoby atakowi hakera, to posiadanie odpowiednich dokumentów chroni przed karą, np. w wysokości 10 000 zł. Dlatego jako administratorzy danych gromadźcie dokumenty potwierdzające, że posiadacie regulacje dotyczące ochrony danych osobowych. Przeprowadzajcie analizy ryzyka dla procesu przetwarzania danych osobowych. Testujcie zabezpieczenia i oceniajcie ich skuteczność. W mojej opinii nie ma znaczenia, czy Wasze działania mają znaczenie praktyczne (w sensie tego, czy zapobiegłyby włamaniu na konto). Ważne, aby dysponować dokumentami pokazującymi Waszą staranność. Nie ochronią one przed hakerem, ale ochronią przed karą na podstawie przepisów RODO. Bez zgromadzenia odpowiednich dokumentów nawet niezawiniona utrata kontroli nad kontem e-mail oznacza nałożenie kary.
- Stan faktyczny i prawny przykładowej sprawy
- Kara za niewdrożenie środków zapewniających bezpieczeństwo danych osobowych
- Przejęte emaila i dane ponad 100 osób
- UODO sprawdził, czy kancelaria właściwie zabezpieczała dane
- Brak dowodów nie wyklucza naruszenia ochrony danych
- Jakie obowiązki administrator naruszył
- Działania naprawcze podjęto dopiero po incydencie
Za włamanie na konto firmowe zapłaci np. doradca podatkowy, księgowa, architekt. Płaci się karę za utratę kontroli nad emailem nawet nie zawinioną.
Stan faktyczny i prawny przykładowej sprawy
Kara finansowa w wysokości 11 594 zł została nałożona przez Prezesa UODO po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego. Sankcji administracyjnej podlega bowiem nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa.
Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych. Przed stwierdzeniem naruszenia ochrony danych osobowych administrator nie posiadał odrębnych regulacji dotyczących ochrony danych osobowych oraz nie przeprowadzał analizy ryzyka dla procesu przetwarzania danych osobowych za pośrednictwem systemów objętych naruszeniem. Zabezpieczenia nie były testowane regularnie i nie oceniano ich skuteczności.
Klasyfikacja budżetowa 2027. Nowe rozporządzenie z komentarzem eksperta
Kara za niewdrożenie środków zapewniających bezpieczeństwo danych osobowych
Prezes UODO Mirosław Wróblewski nałożył karę finansową w wysokości 11 594 zł na administratora prowadzącego kancelarię podatkową. W sprawie tej na skutek braku odpowiednich zabezpieczeń osoba nieuprawniona przejęła konto pocztowe, na którym znajdowały się dane osobowe 111 osób.
Przejęte emaila i dane ponad 100 osób
Administrator prowadzący kancelarię podatkową zgłosił Prezesowi UODO naruszenie ochrony danych osobowych polegające na uzyskaniu przez nieuprawniony podmiot dostępu do konta e-mail jednego z pracowników. W przejętej skrzynce e-mail przetwarzano łącznie dane osobowe ponad stu podmiotów danych – w tym klientów, ich pracowników oraz dzieci zgłoszonych do ubezpieczenia zdrowotnego.
UODO sprawdził, czy kancelaria właściwie zabezpieczała dane
Przedmiotowe zgłoszenie naruszenia było impulsem do dokonania oceny realizacji przez administratora obowiązków wynikających z przepisów RODO dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych w obszarze zarządzania danymi w postaci elektronicznej, w tym za pośrednictwem poczty elektronicznej.
Brak dowodów nie wyklucza naruszenia ochrony danych
Kancelaria wyjaśniła organowi nadzorczemu, że choć osoba nieuprawniona wysłała wiadomość z przejętego konta, to nie ma dowodu, by pozyskała ona przechowywane tam dane. Prezes UODO nie zgodził się z treścią wyjaśnień złożonych przez administratora. Nie wiadomo bowiem, kiedy dokładnie skrzynka była przejęta i jak długo była wykorzystywana w sposób nieuprawniony. Pracownik kancelarii używał jej sporadycznie. Dostawca usługi hostingowej zablokował skrzynkę w związku z uruchomieniem mechanizmu zabezpieczającego przed wysyłaniem spamu. Administrator nie był w stanie ustalić okoliczności, w jakich doszło do wysyłania spamu. Nie posiadał dostępu do logów ani innych środków pozwalających ustalić, czy doszło do pobrania danych przez nieuprawniony podmiot.
Prezes UODO wskazał, że zgodnie z RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Brak dowodu na pozyskanie danych osobowych przez podmiot nieuprawniony nie oznacza, że nie doszło do naruszenia ochrony danych osobowych.
Jakie obowiązki administrator naruszył
Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych. Przed stwierdzeniem naruszenia ochrony danych osobowych administrator nie posiadał odrębnych regulacji dotyczących ochrony danych osobowych oraz nie przeprowadzał analizy ryzyka dla procesu przetwarzania danych osobowych za pośrednictwem systemów objętych naruszeniem. Zabezpieczenia nie były testowane regularnie i nie oceniano ich skuteczności.
Działania naprawcze podjęto dopiero po incydencie
Po ujawnieniu naruszenia ochrony danych osobowych, ale już w trakcie prowadzonego przez Prezesa UODO postępowania, administrator podjął działania mające na celu realizację wymogów wynikających z rozporządzenia 2016/679. Administrator m.in. przeprowadził analizę ryzyka, wdrożył Politykę Bezpieczeństwa Informacji oraz inne regulacje. Administrator po wystąpieniu naruszenia ochrony danych osobowych przeprowadził również audyt infrastruktury informatycznej.