Prezes UODO nakłada karę na kancelarię podatkową za słabe zabezpieczenia danych

Biuro DLS
Niewielka kancelaria podatkowa, dane osobowe ponad 100 osób, przejęta służbowa skrzynka e‑mail i finansowa kara od Prezesa UODO – to główne wątki najnowszej decyzji organu. Mirosław Wróblewski nałożył na administratora prowadzącego kancelarię podatkową karę 11 594 zł za niewdrożenie środków zapewniających bezpieczeństwo danych osobowych. Sprawa zaczęła się od zgłoszenia naruszenia, ale szybko przerodziła się w ocenę całego systemu ochrony danych w kancelarii.

Co wydarzyło się w kancelarii

Administrator zgłosił do UODO naruszenie ochrony danych, które polegało na tym, że osoba nieuprawniona uzyskała dostęp do służbowego konta e-mail jednego z pracowników. W tej skrzynce znajdowały się dane osobowe 111 podmiotów, w tym klientów, ich pracowników oraz dzieci zgłoszonych do ubezpieczenia zdrowotnego. Były tam informacje takie jak imiona i nazwiska, numery PESEL, dane o zarobkach, numery rachunków bankowych oraz dokumenty podatkowe i kadrowe.
Kancelaria wyjaśniła, że mimo wysłania spamu z przejętego konta, nie ma dowodów na to, że haker skopiował znajdujące się tam dane. Administrator przyznał jednak, że nie posiada logów ani innych narzędzi, które pozwoliłyby sprawdzić, czy dane zostały pobrane przez nieuprawnioną osobę. Skrzynka została zablokowana przez dostawcę hostingu dzięki automatycznej ochronie przed wysyłaniem spamu.

Jak UODO rozumie „naruszenie ochrony danych”

Prezes UODO wyraźnie podkreślił, że definicja naruszenia ochrony danych w RODO obejmuje każde naruszenie bezpieczeństwa prowadzące do nieuprawnionego dostępu, ujawnienia, utraty lub modyfikacji danych. „Brak dowodu na pozyskanie danych osobowych przez podmiot nieuprawniony, nie oznacza, że nie doszło do naruszenia ochrony danych osobowych” – zaznaczył organ nadzorczy. Innymi słowy, samo przejęcie skrzynki, przy braku możliwości ustalenia, co dokładnie działo się z danymi, jest już naruszeniem bezpieczeństwa.
UODO podkreślił, że problemem nie było tylko pojedyncze zdarzenie, ale ogólny sposób zarządzania bezpieczeństwem informacji w kancelarii. Przed wykryciem naruszenia administrator nie miał osobnych zasad dotyczących ochrony danych osobowych, nie przeprowadzał analizy ryzyka i nie sprawdzał regularnie skuteczności zabezpieczeń.

Dlaczego zapadła kara finansowa

W decyzji zaznaczono, że administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, biorąc pod uwagę charakter przetwarzania, zakres danych oraz liczbę osób, których dane dotyczą. Środki te powinny wynikać z analizy ryzyka, obejmować bezpieczeństwo poczty elektronicznej i być regularnie testowane oraz oceniane.
Zarzuty UODO dotyczą naruszenia zasady integralności i poufności, zasady rozliczalności oraz obowiązków wynikających z art. 24, 25 i 32 RODO. Organ powołał się też na orzecznictwo sądów administracyjnych, zgodnie z którym „sankcji administracyjnej (…) podlega (…) podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa”. Dlatego kara w wysokości 11 594 zł została nałożona po wszczęciu z urzędu postępowania administracyjnego, niezależnie od tego, czy faktycznie doszło do skopiowania danych przez napastnika.

Co zmieniło się po naruszeniu

Administrator zaczął nadrabiać zaległości w zakresie bezpieczeństwa dopiero po ujawnieniu naruszenia. Kancelaria przeprowadziła analizę ryzyka związanego z przetwarzaniem danych, wprowadziła Politykę Bezpieczeństwa Informacji oraz dodatkowe procedury, takie jak nadawanie haseł i zasady „czystego biurka i ekranu”. Przeprowadzono również audyt infrastruktury IT oraz szkolenia pracowników z zakresu bezpieczeństwa danych.
Pomimo podjętych działań naprawczych UODO uznał, że wcześniejsze zaniedbania, takie jak brak regulacji, brak analizy ryzyka i brak regularnego testowania skuteczności zabezpieczeń, uzasadniają nałożenie kary pieniężnej. Przykład tej kancelarii pokazuje, że działania podjęte po incydencie nie zwalniają administratora z odpowiedzialności za wcześniejsze zaniedbania.

Zakończenie: lekcja dla innych administratorów

Decyzja w sprawie DKN.5131.34.2023 wyraźnie pokazuje, że UODO ocenia bezpieczeństwo danych na podstawie analizy ryzyka, dokumentacji i rzeczywistego testowania zabezpieczeń, a nie tylko naszej reakcji na incydent. Warto zapoznać się z pełną treścią komunikatu i decyzji na stronie Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/pl/138/4465.

FAQ

Dlaczego UODO ukarał administratora?

Bo kancelaria nie zapewniła właściwego poziomu ochrony danych i nie miała wdrożonych odpowiednich zabezpieczeń.

Jaka była wysokość sankcji?

Urząd nałożył administracyjną karę pieniężną w wysokości 11 594 zł.

Co się wydarzyło w kancelarii?

Do służbowej skrzynki e-mail uzyskał dostęp podmiot nieuprawniony, co doprowadziło do naruszenia bezpieczeństwa danych.

Czy chodziło tylko o dane klientów?

Nie. W przejętej skrzynce były też dane pracowników klientów oraz dzieci zgłoszonych do ubezpieczenia zdrowotnego.

Czy administrator miał dowody, że dane nie wyciekły?

Nie miał takich dowodów ani logów, a UODO uznał, że to nie zmienia oceny naruszenia.