zgłoszenie naruszenia uodo

Ransomware – jak działają ataki, ich konsekwencje dla organizacji, podstawowe sposoby ochrony

Ransomware – jak działają ataki, ich konsekwencje dla organizacji, podstawowe sposoby ochrony

Atak ransomware nie tylko potrafi sparaliżować działalność organizacji, ale też narazić ją na poważne konsekwencje prawne związane z ochroną danych osobowych. Choć temat wydaje się domeną działów informatycznych, skutki tych ataków dotykają wszystkich — w tym inspektorów ochrony danych oraz zarząd firmy, którzy w obliczu cyberzagrożeń stają się pierwszą linią odpowiedzialności za właściwą reakcję i ograniczenie szkód. W tym artykule przedstawimy, czym jest ransomware, jak działa, na czym polega ochrona organizacji przed atakami ransomware i jaką rolę pełni IOD (Inspektor Ochrony Danych) w sytuacjach kryzysowych. 

Korzyści 
  • Ransomware to jedno z najgroźniejszych zagrożeń dla organizacji – atak polega na zaszyfrowaniu danych i żądaniu okupu, co prowadzi do paraliżu działalności, utraty dostępu do kluczowych informacji oraz poważnych konsekwencji prawnych, zwłaszcza w kontekście ochrony danych osobowych i RODO.
  •   Skuteczna ochrona przed ransomware obejmuje regularne tworzenie kopii zapasowych, szkolenia pracowników, aktualizacje systemów, stosowanie silnych haseł i uwierzytelniania dwuskładnikowego oraz wdrożenie i testowanie planu reagowania na incydenty. 
  •  W przypadku ataku kluczowe jest szybkie odizolowanie zainfekowanych systemów, przywrócenie danych z backupu, ocena skali incydentu, zgłoszenie naruszenia do UODO (jeśli dotyczy danych osobowych) oraz wdrożenie działań naprawczych i dokumentacja wszystkich kroków.
zgłoszenie naruszenia ODO

Zgłoszenie naruszenia ODO – do organu nadzorczego i podmiotów danych (porównanie)

Jeżeli naruszenie ochrony danych generuje niebezpieczeństwo dla praw lub wolności osób fizycznych, wówczas administrator musi zgłosić to naruszenie do Prezesa UODO. Jeśli zaś to ryzyko jest wysokie, wówczas konieczne jest także poinformowanie o zdarzeniu podmiotów danych. Poniżej znajdziesz porównanie tych dwóch obowiązków.

kara pieniężna UODO

Co grozi za niezgłoszenie naruszenia ochrony danych (analiza orzecznictwa UODO)

Zawiadomienie Prezesa UODO oraz podmiotów danych o naruszeniu to jeden z najważniejszych obowiązków administratora. Jego niewykonanie może skutkować dotkliwymi konsekwencjami finansowymi. Przekonał się o tym stosunkowo niedawno Santander Bank Polska. Kary z tego tytułu otrzymało też wiele innych podmiotów. Jako że najlepiej uczyć się na cudzych błędach, wyciągnijmy wnioski z decyzji Prezesa UODO.

Naruszenie ochrony danych – 3 obowiązki administratora

W związku z naruszeniem ochrony danych administrator w określonych przypadkach musi:

  • dokonać zgłoszenia naruszenia do Prezesa UODO,
  • zawiadomić o zdarzeniu osoby, których dotyczy naruszenie,
  • udokumentować naruszenie.

W pierwszym kroku administrator zgłasza naruszenie Prezesowi UODO. Jest to konieczne, gdy naruszenie to rodzi co najmniej średnie prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych.

Natomiast jeśli to ryzyko jest wysokie, wówczas należy dodatkowo zawiadomić o naruszeniu osoby, których to zdarzenie dotyczy. Pobierz wzór komunikatu o naruszeniu ochrony danych.

Przeczytaj także: Jak zawiadomić podmiot danych o naruszeniu – 5 rad dla ADO

To jednak nie wszystko. W każdym przypadku naruszenia ochrony danych administrator msi je udokumentować. Powinien wówczas zarejestrować:

  • okoliczności naruszenia,
  • jego skutków,
  • podjętych działań zaradczych.

Takie udokumentowanie może nastąpić np. w rejestrze lub raporcie z naruszeń. Pobierz wzór raportu z naruszenia.

Zaniechania związane ze zgłoszeniem naruszenia ochrony danych skutkowały w wielu przypadkach karami pieniężnymi.

Decyzja

Kogo dotyczy

Wysokość kary

19 stycznia 2022 r.

DKN.5131.33.2021

Santander Bank Polska S.A.

545 748 zł

14 października 2021 r.

DKN.5131.16.2021

Bank Millennium S.A.

363 832 zł

30 czerwca 2021 r.

DKN.5131.11.2020

Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra

13 644 zł

21 czerwca 2021 r.

DKN.5131.3.2021

Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A.

159 176 zł

8 czerwca 2021 r.

DKN.5131.10.2020

P4 Sp. z o.o.

100 000 zł

11 stycznia 2021 r.

DKN.5131.7.2020

ENEA S.A.

136 437 zł

5 stycznia 2021 r.

DKN.5131.6.2020

Śląski Uniwersytet Medyczny w Katowicach

25 000 zł

9 grudnia 2020 r.

DKN.5131.5.2020

TUiR WARTA S.A.

85 588 zł

Przeanalizujmy wybrane z tych spraw i wyciągnijmy z nich wnioski dla administratorów.

Korzyści 

Z artykułu dowiesz się:

  • dlaczego Santander Bank otrzymał karę ponad pół miliona zł,
  • co to znaczy – ryzyko naruszenia praw i wolności podmiotów danych,
  • czy wina ma znaczenie w kontekście zgłoszenia naruszenia,
  • czy deklaracja nieuprawnionego odbiorcy danych ma znaczenie.

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x