Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę finansową w wysokości 11 594 zł na administratora prowadzącego kancelarię podatkową. Powodem było niewystarczające zabezpieczenie skrzynki e-mail, do której uzyskała dostęp osoba nieuprawniona. Na przejętym koncie znajdowały się dane osobowe 111 osób.
Sprawa rozpoczęła się od zgłoszenia naruszenia ochrony danych osobowych przez samą kancelarię. Administrator poinformował Prezesa UODO, że nieuprawniony podmiot przejął konto pocztowe jednego z pracowników.
W skrzynce przetwarzano dane klientów kancelarii, ich pracowników, a także dzieci zgłoszonych do ubezpieczenia zdrowotnego. Łącznie dotyczyło to ponad stu osób.
Przejęte konto i wysyłka spamu
Kancelaria wyjaśniała, że z przejętego konta wysłano wiadomości, jednak nie ma dowodów na to, że osoba nieuprawniona pozyskała dane przechowywane w skrzynce. Organ nadzorczy nie podzielił tego stanowiska.
Prezes UODO wskazał, że administrator nie był w stanie ustalić, kiedy dokładnie doszło do przejęcia konta ani jak długo skrzynka mogła pozostawać pod kontrolą osoby nieuprawnionej. Pracownik korzystał z niej sporadycznie, a dostawca hostingu zablokował konto po uruchomieniu zabezpieczeń antyspamowych.
Administrator nie posiadał dostępu do logów ani innych narzędzi pozwalających zweryfikować, czy dane zostały pobrane, skopiowane lub wykorzystane przez nieuprawniony podmiot.
Brak dowodu nie wyklucza naruszenia
Jak podkreślił Prezes UODO, brak potwierdzenia, że dane zostały faktycznie pozyskane przez osobę trzecią, nie oznacza automatycznie, że nie doszło do naruszenia ochrony danych osobowych.
RODO definiuje naruszenie jako naruszenie bezpieczeństwa prowadzące m.in. do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia albo dostępu do danych osobowych.
W tym przypadku sam nieuprawniony dostęp do służbowej skrzynki e-mail, zawierającej dane klientów i ich pracowników, był wystarczającą podstawą do uznania, że doszło do naruszenia.
Kancelaria nie miała odpowiednich procedur
W toku postępowania UODO ustalił, że przed wystąpieniem incydentu administrator nie posiadał odrębnych regulacji dotyczących ochrony danych osobowych w systemach elektronicznych. Nie przeprowadzano również analizy ryzyka dla procesu przetwarzania danych za pośrednictwem poczty e-mail.
Zabezpieczenia nie były regularnie testowane, a ich skuteczność nie była oceniana. Zdaniem organu oznaczało to, że kancelaria nie wdrożyła odpowiednich środków technicznych i organizacyjnych, wymaganych przez RODO.
Po wykryciu naruszenia, już w trakcie postępowania prowadzonego przez Prezesa UODO, administrator podjął działania naprawcze. Przeprowadzono analizę ryzyka, wdrożono Politykę Bezpieczeństwa Informacji i dodatkowe regulacje, a także wykonano audyt infrastruktury informatycznej.
Kara za brak właściwego poziomu bezpieczeństwa
Prezes UODO przypomniał, że administracyjnej karze pieniężnej nie podlega wyłącznie podmiot, który doprowadził do nieuprawnionego przetwarzania danych. Sankcja może zostać nałożona również na administratora, który nie zapewnił odpowiedniego poziomu bezpieczeństwa danych osobowych.
W konsekwencji na kancelarię podatkową nałożono karę w wysokości 11 594 zł.
Decyzja pokazuje, że przedsiębiorcy przetwarzający dane klientów przez pocztę elektroniczną powinni nie tylko stosować techniczne zabezpieczenia, ale także regularnie analizować ryzyko, testować systemy i posiadać procedury pozwalające szybko ustalić skalę ewentualnego incydentu.
Sygnatura sprawy: DKN.5131.34.2023.





