Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 23 września 2020 r., sygn. DKE.561.4.2020
Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256) oraz art. 7 ust. 1 i 2 oraz art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na Dom Dziecka […] w S., administracyjnej kary pieniężnej za naruszenie przepisu art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) (zwanego dalej „Rozporządzeniem 2016/679”), polegające na nieudzieleniu informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań, Prezes Urzędu Ochrony Danych Osobowych,
umarza postępowanie
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych […] stycznia 2019 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych, złożone przez Dyrektora Domu Dziecka […] w S. (zwanego dalej także: „Administratorem”). Naruszenie, mające miejsce […] stycznia 2019 r. o godz. [...], polegało na uzyskaniu przez osobę nieupoważnioną nieuprawnionego dostępu do poczty elektronicznej Administratora o adresie: […], na której przechowywano niezaszyfrowane informacje oraz dokumenty zawierające dane osobowe podopiecznych oraz pracowników placówki, jak również podmiotów z nią współpracujących. Naruszenie nastąpiło na skutek złamania zabezpieczeń przez niezidentyfikowaną osobę, logującą się do poczty elektronicznej Administratora z nieznanego adresu IP komputera. Jak bezspornie ustalono, nieuprawniony użytkownik odczytał treść jednej wiadomości e-mail, której zawartość nie skutkowała – zdaniem Administratora – wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W związku z powyższym osoby, których dane osobowe mogły zostać ujawnione nie zostały powiadomione o naruszeniu. Niemniej, w chwili dokonania zgłoszenia, Administratornie nie był w stanie jednoznacznie ocenić czy osoba, która uzyskała dostęp do jego poczty elektronicznej przeglądała dokumenty bądź informacje zawierające dane osobowe, stanowiące treść pozostałych wiadomości e-mail przechowywanych na skrzynce lub ich załączników. Administrator wskazał, że naruszenie dotyczyło łącznie 104 osób, a zakres danych osobowych dotkniętych naruszeniem obejmował: imiona oraz nazwiska, imiona rodziców, daty urodzenia, adresy zamieszkania, adresy e-mail, imiona i nazwiska opiekunów prawnych oraz dane szczególnych kategorii, tj. dane dotyczące zdrowia oraz treść postanowień sądowych w sprawach nieletnich. Zaistniały incydent nosił znamiona czynu zabronionego, w związku z czym Administrator […] stycznia 2019 r. zawiadomił o zdarzeniu właściwe organy ścigania. W ramach działań zmierzających do usunięcia naruszenia, Administator zmienił hasło dostępu do poczty elektronicznej oraz zadeklarował zamiar skorzystania ze wsparcia informatycznego w celu wykrycia złośliwego oprogramowania oraz ustalenia ewentualnych, dodatkowych zabezpieczeń. Nadto, Administrator zasygnaliwował wprowadzenie szyfrowania dokumentów przesyłanych drogą elektroniczną, przeprowadzenie dodatkowego szkolenia z zakresu ochrony danych osobowych dla pracowników Domu Dziecka oraz przeprowadzenie analizy zagrożeń i ryzyka.
Już dziś zamów dostęp
do IFK Platforma Księgowych i Kadrowych
- Codzienne aktualności prawne
- Porady i artykuły z najpopularniejszych czasopism INFOR wraz z bieżącymi wydaniami
- Bogatą bibliotekę materiałów wideo
- Merytoryczne dodatki, ściągi, plakaty
