Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 11 stycznia 2021 r., sygn. DKN.5130.2815.2020
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i art. 58 ust. 2 lit. b) w związku z art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez U. S.A., Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez U. S.A. przepisów art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej "rozporządzeniem 2016/679", polegające na doborze nieskutecznych zabezpieczeń systemu informatycznego oraz braku odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, udziela upomnienia U. S.A.
Uzasadnienie
U. S.A. (dalej jako "Spółka") [...] maja 2020 r. dokonała zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (zwanym dalej także "Prezesem UODO") naruszenia ochrony danych osobowych pracowników, klientów oraz pacjentów, do którego doszło w nocy z [...] na [...] kwietnia 2020 r. Naruszenie ochrony danych osobowych polegało na przełamaniu zabezpieczeń systemu informatycznego Spółki wykorzystywanego przez nią do przetwarzania danych osobowych, a następnie zaszyfrowaniu przetwarzanych w nim danych. W konsekwencji Spółka została pozbawiona dostępu do ww. systemu oraz znajdujących się w nim danych osobowych. Spółka określiła skalę powstałego naruszenia, która wykazała, że zaszyfrowane bazy danych obejmowały około 80 000 rekordów danych pracowników, klientów oraz pacjentów w zakresie imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania, numer ewidencyjny PESEL, adres e-mail, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia. Zgodnie ze zgłoszeniem z [...] maja 2020 r. Spółka nie stwierdziła wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych z uwagi na odzyskanie zaszyfrowanych danych oraz zrezygnowała z zawiadomienia osób, których dane dotyczą, o naruszeniu.
Pismami z dnia [...] maja 2020 r. oraz [...] czerwca 2020 r. Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Spółki o złożenie dodatkowych wyjaśnień, w tym m.in.:
Już dziś zamów dostęp
do IFK Platforma Księgowych i Kadrowych
- Codzienne aktualności prawne
- Porady i artykuły z najpopularniejszych czasopism INFOR wraz z bieżącymi wydaniami
- Bogatą bibliotekę materiałów wideo
- Merytoryczne dodatki, ściągi, plakaty
