Na czym polegało naruszenie?

Krajowa Szkoła Sądownictwa i Prokuratury w kwietniu 2020 roku zawiadomiła Organ Nadzorczy o naruszeniu ochrony danych osobowych, w związku z powiadomieniem przez Komendę Główną Policji o pojawieniu się w Internecie danych osobowych związanych z domeną kssip.gov.pl. Nieznane osoby uzyskały nieupoważniony dostęp do kopii bazy danych witryny szkoleniowej KSSiP powstałej w trakcie testowej migracji do nowej platformy szkoleniowej. Naruszenie dotyczyło danych osobowych ponad 50 tys. osób, użytkowników podlegających szkoleniu ustawicznemu, których dane osobowe zgromadzono na platformie szkoleniowej KSSiP. 

W bazie znajdowały się takie dane jak: 

• dane wskazane przez użytkowników przy rejestracji, zgromadzone w następujących kategoriach: nazwa użytkownika, imię, nazwisko, numer lub numery telefonu, adres e-mail, jednostka, wydział, adres jednostki, miasto oraz numer PESEL,
• dane o charakterze technicznym: adres IP i daty pierwszego i ostatniego logowania, hasło (zaszyfrowane).

Osoby, których dotyczy naruszenie poufności danych osobowych, piastują stanowiska m.in. sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych.

Jaką karę nałożył Prezes Urzędu Ochrony Danych Osobowych?

Prezes Urzędu Ochrony Danych Osobowych nałożył na Krajową Szkołę Sądownictwa i Prokuratury za to naruszenie karę pieniężną w wysokości 100.000 zł. Jest to maksymalna wysokość kary, jaką Organ Nadzorczy może nałożyć na podmiot publiczny.

Dlaczego nałożono karę?

Zdaniem UODO administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. Decydując o nałożeniu na KSSiP administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes UODO wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:

1. Kategorie danych osobowych, których dotyczyło naruszenie ochrony danych osobowych – dane osób zarejestrowanych na platformie szkoleniowej KSSiP obejmują w szczególności: imię i nazwisko, adres e-mail, nazwę użytkownika, numer telefonu, jednostkę, wydział, adres jednostki, miejscowość, numer ewidencyjny PESEL. Prezes UODO przyjął za liczbę osób, dotkniętych w tym zakresie naruszeniem ochrony danych, liczbę 44 262, zgodnie z informacją przekazaną przez Prokuraturę Regionalną w Lublinie w maju 2020 r.
2. Charakter i waga naruszenia przy uwzględnieniu liczby poszkodowanych osób – przy wymierzaniu kary istotne znaczenie miała okoliczność, że liczba osób dotkniętych naruszeniem wynosi 50 283. Ponadto Prezes UODO wziął pod uwagę, że naruszenie poufności danych dotyczy osób wykonujących zawody i piastujących stanowiska sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych, asystentów sędziów, asystentów prokuratorów, kuratorów zawodowych oraz urzędników sądów i prokuratury. Na platformie szkoleniowej KSSiP znajdowały się również konta części wykładowców prowadzących szkolenia ustawiczne, nielicznych aplikantów KSSiP oraz osób, których konta aktywowano na podstawie indywidualnych decyzji. Naruszenie spowodowało wysokie ryzyko wystąpienia negatywnych skutków w przyszłości wynikających z charakteru danych, dużej liczby podmiotów danych, prawdopodobnie złej woli osoby, która w sposób nieuprawniony uzyskała do nich dostęp, a także dużą skalę przetwarzania i jego profesjonalny charakter. Naruszenie poufności nr telefonu, adresu e-mail, czy numeru PESEL ww. osób mogą skutkować na niespotykaną dotąd skalę  wkroczeniem w życie prywatne osób dotkniętych naruszeniem, a z punktu widzenia pełnionych przez nie funkcji, podejmowanie działań w celu pozbawienia ich zaufania publicznego. 
3. Czas trwania naruszenia – zgromadzony materiał dowodowy pozwolił Prezesowi UODO stwierdzić, że KSSiP nie podejmowała odpowiednich działań mających na celu zweryfikowanie, czy kopia bazy danych z lutego 2020 r. nadal znajduje się na zasobach informatycznych KSSiP i czy zasoby te są odpowiednio skonfigurowane, tak by zapewnić bezpieczeństwo danych znajdujących się w tej kopii. Czynności tej dokonała dopiero w kwietniu 2020 r., tj. w dniu stwierdzenia naruszenia ochrony danych osobowych. 
4. Nieumyślny charakter naruszenia – biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że KSSiP dopuściła się rażącego zaniedbania skutkującego naruszeniem poufności danych. Stanowi to istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej.
5. Wysoki stopień odpowiedzialności administratora – biorąc pod uwagę, że to na administratorze ciąży obowiązek dokonania oceny zabezpieczeń na każdym etapie przetwarzania, w szczególności w trakcie jakiekolwiek zmiany w procesie przetwarzania danych osobowych, należy stwierdzić, że KSSiP nie wdrożyła odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych w sytuacji, w której z własnej inicjatywy podjęła działania związane z procesem migracji danych osobowych do nowego środowiska przetwarzania.

Więcej: https://uodo.gov.pl/pl/138/1909  

Czy można uniknąć takich kar? 

Nasza rekomendacja:

Administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, co jest jego prawnym obowiązkiem wynikającym z przepisów o ochronie danych osobowych. Model współpracy administratora z podmiotem przetwarzającym był również nieskuteczny. KSSiP, zarówno przed naruszeniem ochrony danych, jak i po jego stwierdzeniu, nie miała pełnej świadomości, jak kształtują się prawa i obowiązki, pomiędzy administratorem a podmiotem przetwarzającym. Urząd Ochrony Danych Osobowych wskazał, że “Administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez KSSiP przepisów rozporządzenia 2016/679, ale i prewencyjną, czyli zapobieganie naruszeniom przepisów o ochronie danych osobowych w przyszłości zarówno przez KSSiP, jak i innych administratorów danych.”

Zatem po raz kolejny nałożenie kary przez Organ Nadzorczy wyznacza kierunek działań dla Administratorów danych i wskazuje obszary, które warto poddać audytowi w celu zweryfikowania poprawności stosowania organizacyjnych i technicznych środków zabezpieczeń.

Nasi Inspektorzy Ochrony Danych rekomendują następujące działania:

1. Zapewnienie personelowi cyklicznych szkoleń z zakresu ochrony danych osobowych, ale też szeroko pojętego bezpieczeństwa informacji.
2. Ocenę oraz regularne testowanie wdrożonych środków technicznych i organizacyjnych w celu oceny ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia poprzez np. analizę ryzyka bezpieczeństwa informacji, audyty ochrony danych osobowych czy audyty cyberbezpieczeństwa.
3. Korzystanie ze wsparcia wyznaczonego Inspektora Ochrony Danych, którego zadaniem jest m.in. informowanie administratora, podmiotu przetwarzającego i pracowników o obowiązkach w zakresie ochrony danych osobowych i doradzanie im w tej sprawie, a także monitorowanie przestrzegania przepisów w zakresie ochrony danych osobowych poprzez działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.

Przykładem monitorowania przestrzegania przepisów o ochronie danych osobowych może być zaangażowanie Inspektora Ochrony Danych w ocenę, czy umowa powierzenia przetwarzania danych osobowych, którą administrator zawiera z podmiotem przetwarzającym zawiera wszystkie wymagane w art. 28 ust. 3 RODO elementy oraz czy proponowany sposób ukształtowania relacji między administratorem i podmiotem przetwarzającym jest adekwatny do przedmiotu powierzenia, a także czy w sposób wystarczający i prawidłowy określono prawa i zobowiązania stron tej umowy. 

Zadbaj o bezpieczeństwo Twoich danych osobowych i skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa.

Autor: Monika Kowalik – Dyrektor Projektu CompNet Sp. z o.o.