Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę finansową w wysokości 11 594 zł na administratora prowadzącego kancelarię podatkową. Powodem było niewystarczające zabezpieczenie skrzynki e-mail, do której uzyskała dostęp osoba nieuprawniona. Na przejętym koncie znajdowały się dane osobowe 111 osób.

Sprawa rozpoczęła się od zgłoszenia naruszenia ochrony danych osobowych przez samą kancelarię. Administrator poinformował Prezesa UODO, że nieuprawniony podmiot przejął konto pocztowe jednego z pracowników.

W skrzynce przetwarzano dane klientów kancelarii, ich pracowników, a także dzieci zgłoszonych do ubezpieczenia zdrowotnego. Łącznie dotyczyło to ponad stu osób.

Przejęte konto i wysyłka spamu

Kancelaria wyjaśniała, że z przejętego konta wysłano wiadomości, jednak nie ma dowodów na to, że osoba nieuprawniona pozyskała dane przechowywane w skrzynce. Organ nadzorczy nie podzielił tego stanowiska.

Prezes UODO wskazał, że administrator nie był w stanie ustalić, kiedy dokładnie doszło do przejęcia konta ani jak długo skrzynka mogła pozostawać pod kontrolą osoby nieuprawnionej. Pracownik korzystał z niej sporadycznie, a dostawca hostingu zablokował konto po uruchomieniu zabezpieczeń antyspamowych.

Administrator nie posiadał dostępu do logów ani innych narzędzi pozwalających zweryfikować, czy dane zostały pobrane, skopiowane lub wykorzystane przez nieuprawniony podmiot.

Brak dowodu nie wyklucza naruszenia

Jak podkreślił Prezes UODO, brak potwierdzenia, że dane zostały faktycznie pozyskane przez osobę trzecią, nie oznacza automatycznie, że nie doszło do naruszenia ochrony danych osobowych.

RODO definiuje naruszenie jako naruszenie bezpieczeństwa prowadzące m.in. do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia albo dostępu do danych osobowych.

W tym przypadku sam nieuprawniony dostęp do służbowej skrzynki e-mail, zawierającej dane klientów i ich pracowników, był wystarczającą podstawą do uznania, że doszło do naruszenia.

Kancelaria nie miała odpowiednich procedur

W toku postępowania UODO ustalił, że przed wystąpieniem incydentu administrator nie posiadał odrębnych regulacji dotyczących ochrony danych osobowych w systemach elektronicznych. Nie przeprowadzano również analizy ryzyka dla procesu przetwarzania danych za pośrednictwem poczty e-mail.

Zabezpieczenia nie były regularnie testowane, a ich skuteczność nie była oceniana. Zdaniem organu oznaczało to, że kancelaria nie wdrożyła odpowiednich środków technicznych i organizacyjnych, wymaganych przez RODO.

Po wykryciu naruszenia, już w trakcie postępowania prowadzonego przez Prezesa UODO, administrator podjął działania naprawcze. Przeprowadzono analizę ryzyka, wdrożono Politykę Bezpieczeństwa Informacji i dodatkowe regulacje, a także wykonano audyt infrastruktury informatycznej.

Kara za brak właściwego poziomu bezpieczeństwa

Prezes UODO przypomniał, że administracyjnej karze pieniężnej nie podlega wyłącznie podmiot, który doprowadził do nieuprawnionego przetwarzania danych. Sankcja może zostać nałożona również na administratora, który nie zapewnił odpowiedniego poziomu bezpieczeństwa danych osobowych.

W konsekwencji na kancelarię podatkową nałożono karę w wysokości 11 594 zł.

Decyzja pokazuje, że przedsiębiorcy przetwarzający dane klientów przez pocztę elektroniczną powinni nie tylko stosować techniczne zabezpieczenia, ale także regularnie analizować ryzyko, testować systemy i posiadać procedury pozwalające szybko ustalić skalę ewentualnego incydentu.

Sygnatura sprawy: DKN.5131.34.2023.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Polska kupi od Szwecji trzy okręty podwodne A26. Umowa w programie Orka podpisana

Polska podpisała ze Szwecją umowę na zakup trzech okrętów...

Monitoring obiektu firmowego – od czego zacząć?

Decyzja o monitoringu w firmie rzadko zapada w spokoju....

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...

Rozliczenia po nieważności umowy kredytowej. TSUE wskazuje zasady przedawnienia

Bieg terminu przedawnienia roszczenia banku o zwrot kapitału...

Jak profesjonalna pomoc prawna ogranicza ryzyko biznesowe – Adwokat Gdańsk o kosztach błędnych decyzji

Każda decyzja biznesowa niesie ze sobą określony poziom ryzyka...
Wiadomości

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Konflikt Hotelu Gołębiewski z Książulem: czy „czarna lista” jest legalna?

Spór między siecią Hotel Gołębiewski a youtuberem Szymonem „Książulo”...

Jak profesjonalna pomoc prawna ogranicza ryzyko biznesowe – Adwokat Gdańsk o kosztach błędnych decyzji

Każda decyzja biznesowa niesie ze sobą określony poziom ryzyka...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

Rozliczenia po nieważności umowy kredytowej. TSUE wskazuje zasady przedawnienia

Bieg terminu przedawnienia roszczenia banku o zwrot kapitału...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...
Coś dla Ciebie

Wybrane kategorie