Naruszenie ochrony danych osobowych w GOPS Aleksandrów pokazało, jak kluczowa jest prawidłowa analiza ryzyka i regularne kontrole przetwarzania danych. UODO nałożył kary za zaniedbania, które doprowadziły do utraty dostępu do danych 1500 osób. Sprawdź, jak uniknąć podobnych incydentów w swojej organizacji i jakie wnioski płyną z decyzji Prezesa UODO.
Naruszenie ochrony danych osobowych w Gminnym Ośrodku Pomocy Społecznej w Aleksandrowie to przykład, jak kluczowe znaczenie ma prawidłowa analiza ryzyka oraz regularna kontrola przetwarzania danych. W wyniku ataku ransomware w 2022 roku, GOPS utracił dostęp do danych 1500 osób, co skutkowało poważnymi konsekwencjami prawnymi i finansowymi.
Analiza ryzyka danych osobowych to podstawowy obowiązek każdego administratora wynikający z RODO. Jej celem jest identyfikacja zagrożeń i wdrożenie adekwatnych środków technicznych oraz organizacyjnych, które minimalizują ryzyko naruszenia praw osób, których dane dotyczą. W przypadku GOPS analiza ryzyka została przeprowadzona niewłaściwie – choć wskazano możliwość ataku ransomware, zbagatelizowano to zagrożenie i nie wdrożono skutecznych zabezpieczeń.
Naruszenie ochrony danych osobowych, zgodnie z RODO, oznacza sytuację, w której dochodzi do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, ujawnienia lub dostępu do danych osobowych. W Aleksandrowie skutkiem ataku było zaszyfrowanie zarówno danych, jak i kopii zapasowej, co uniemożliwiło szybkie przywrócenie informacji. W efekcie konieczne było skorzystanie z usług zewnętrznej firmy, co naraziło instytucję na dodatkowe koszty i ryzyko.
Regularna kontrola przetwarzania danych osobowych przez podmiot przetwarzający to kolejny obowiązek administratora. W przypadku GOPS zabrakło nadzoru nad działaniami Wójta, który przetwarzał dane w imieniu administratora. Gdyby kontrole były prowadzone systematycznie, możliwe byłoby wcześniejsze wykrycie nieprawidłowości, takich jak korzystanie z niewspieranego systemu operacyjnego czy niewłaściwe przechowywanie kopii zapasowych.
Prezes UODO, po przeprowadzeniu postępowania, nałożył na GOPS karę w wysokości 5 tys. zł, a na Wójta Aleksandrowa – 10 tys. zł. Decyzja ta ma na celu uświadomienie administratorom, jak poważne konsekwencje niesie za sobą brak rzetelnej analizy ryzyka i kontroli przetwarzania danych osobowych. Incydent pokazuje, że nawet świadomość zagrożeń nie wystarczy, jeśli nie idą za nią konkretne działania zabezpieczające.
Jak uniknąć podobnych incydentów? Zalecenia UODO:
Przeprowadzaj regularną i udokumentowaną analizę ryzyka danych osobowych, dostosowaną do specyfiki przetwarzania danych w organizacji.
Wdrażaj skuteczne środki techniczne i organizacyjne, w tym aktualizuj systemy operacyjne i stosuj bezpieczne rozwiązania do tworzenia kopii zapasowych.
Prowadź systematyczne kontrole podmiotów przetwarzających dane w imieniu administratora.
Niezwłocznie zgłaszaj incydenty naruszenia ochrony danych do UODO, zgodnie z przepisami.
Przypadek GOPS Aleksandrów to przestroga dla wszystkich administratorów danych osobowych. Zaniedbania w analizie ryzyka i kontroli przetwarzania mogą prowadzić do poważnych incydentów, skutkujących nie tylko utratą danych, ale także karami finansowymi i utratą zaufania klientów. Regularna analiza ryzyka, wdrażanie skutecznych zabezpieczeń oraz nadzór nad przetwarzaniem danych to kluczowe elementy skutecznej ochrony danych osobowych.
serwis UODO, DKN.5131.30.2022
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
