Kara UODO za niewłaściwe zabezpieczenie przed atakiem ransomware
Kolejna kara za niewdrożenie odpowiednich środków bezpieczeństwa i brak ich regularnego testowania. Tym razem jedna ze spółek przyjęła rozwiązania, które okazały się niewystarczające przeciwko atakowi ransomware. Spółce zarzucono także m.in. brak regularnego testowania przyjętych rozwiązań Prezes UODO nałożył z tego tytułu karę w wysokości 47 tys. zł.
Utrata dostępu do dokumentacji pracowniczej w wyniku ransomware
Do Prezesa UODO wpłynęła informacja o utracie elektronicznej dokumentacji pracowniczej a także dotyczącej osób, z którymi administrator zawarł umowy cywilnoprawne. Do utraty tej doszło w wyniku ataku ransomware. Administrator nie był w stanie rozszyfrować danych. Jednocześnie nie zgłosił on naruszenia ochrony danych.
Środki bezpieczeństwa nie były wystarczające na atak ransomware
Jak ustalił Prezes UODO, administrator nie przeprowadził właściwej analizy ryzyka, wskutek czego nie wdrożył środków bezpieczeństwa adekwatnych do poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych. Przyjęte przez niego rozwiązania w ocenie Prezesa UODO nie wystarczyły do zapobiegnięcia zaszyfrowaniu danych osobowych. To zdaniem organu nadzorczego obciąża administratora.
Brak regularnego testowania środków bezpieczeństwa
Administrator zaniechał także testowania i weryfikowania, czy przyjęte środki bezpieczeństwa są odpowiednie względem istniejących ryzyk.
Administrator był zobligowany do regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków bezpieczeństwa. Tak się jednak nie stało.
Naruszenie ochrony danych powinno być zgłoszone
Prezes UODO zarzucił również spółce niezgłoszenie naruszenia ochrony danych. Przez całe postępowanie administrator utrzymywał bowiem, że zdarzenie nie wygenerowało ryzyka naruszenia praw i wolności podmiotów danych.
Współpraca z organem nadzorczym była niezadowalająca
Dodatkowo administratorowi zarzucono, że składane przez niego wyjaśnienia były lakoniczne i niespójne. Kierowane pisma nie były opatrywane podpisami osób uprawnionych do reprezentacji. Miała też miejsce sytuacja, w której odpowiedzi udzieliła inna spółka niż wezwana. Kwestie te przełożyły się na wymiar kary, którą ostatecznie ustalono na poziomie 47 tys. zł.
Przeczytaj także: Kontynuacja sprawy Virgin Mobile Polska – kara za brak środków bezpieczeństwa danych abonentów
-
decyzja Prezesa UODO z 31 maja 2023 r. DKN.5131.8.2021
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Jak zapewnić ochronę danych w tworzonym oprogramowaniu
- Santander Bank Polska z wysoką karą UODO za niezgłoszenie naruszenia ochrony danych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
