BEZPIECZEŃSTWOUODO nakłada wysoką karę za naruszenie zasad ochrony danych osobowych po ataku...

UODO nakłada wysoką karę za naruszenie zasad ochrony danych osobowych po ataku ransomware

UODO nakłada wysoką karę za naruszenie zasad ochrony danych osobowych po ataku ransomware

Urząd Ochrony Danych Osobowych (UODO) ukarał firmę zajmującą się sprzedażą m.in. drzwi antywłamaniowych karą w wysokości ponad 350 tys. zł. Kara została nałożona za szereg uchybień związanych z naruszeniem ochrony danych osobowych, które ujawniono w wyniku ataku hakerskiego. Dodatkowo, wspólnicy spółki cywilnej, której administrator danych powierzył przetwarzanie danych, zostali ukarani karą 9,8 tys. zł.

Atak ransomware i błędy administratora

Firma zgłosiła, że w wyniku ataku typu ransomware straciła dostęp do danych klientów oraz pracowników. W bazie znajdowały się szczegółowe dane osobowe, takie jak numery PESEL, dane z dowodów osobistych, adresy zamieszkania, numery kont bankowych czy dane kontaktowe. Według wyjaśnień firmy, atak był możliwy, ponieważ pracownik wyłączył program antywirusowy. Administrator danych ocenił, że celem ataku był szantaż, a nie przejęcie danych, dlatego uznał, że nie doszło do wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.

Mimo powiadomienia osób, których dane dotyczyły, UODO stwierdził, że sposób zawiadomienia był wadliwy. Dodatkowo administrator danych nie zareagował na uwagi urzędu, co było kolejnym powodem nałożenia kary.

Nieodpowiednie środki bezpieczeństwa i analiza ryzyka

Prezes UODO, analizując zgromadzony materiał dowodowy, ustalił, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które mogłyby zapobiec atakowi. Kluczowym uchybieniem było nieprzeprowadzenie analizy ryzyka zgodnie z wymaganiami RODO. Firma nie zidentyfikowała zagrożeń związanych z wykorzystaniem złośliwego oprogramowania ani nie zadbała o aktualizację oprogramowania w swojej infrastrukturze informatycznej.

Nawet środki wdrożone po incydencie nie były wystarczające. Administrator danych nie potrafił wykazać, że są one odpowiednie do zidentyfikowanego ryzyka, ponieważ analiza ryzyka nie została przeprowadzona.

Braki w szkoleniach i odpowiedzialność „czynnika ludzkiego”

Administrator danych wskazywał, że za atak odpowiada „czynnik ludzki”. Prezes UODO podkreślił jednak, że organizacja przeprowadziła jedynie dwa szkolenia z zakresu ochrony danych osobowych, w tym tylko jedno przed incydentem. To zdecydowanie za mało w sytuacji, gdy firma uważała „czynnik ludzki” za potencjalne zagrożenie.

Odpowiedzialność podmiotu przetwarzającego dane

Kara finansowa została również nałożona na wspólników spółki cywilnej, której administrator powierzył przetwarzanie danych. UODO wskazał, że spółka ta nie udzieliła administratorowi wystarczającej pomocy w zapewnieniu bezpieczeństwa danych. Podmiot przetwarzający nie informował o podatnościach serwera, braku aktualizacji oprogramowania oraz konieczności wdrożenia nowszych rozwiązań, co ostatecznie umożliwiło atak ransomware.

NAJNOWSZE ARTYKUŁY

- Reklama -Osteopatia Kraków

POLECAMY

lekarz medycyna technologia

Polski rynek ochrony zdrowia na fali wzrostu – EY prognozuje roczny wzrost o 11%...

0
Z analizy firmy EY wynika, że polski rynek świadczenia usług z zakresu opieki zdrowotnej będzie do 2028 roku rósł w tempie - 11 proc. rocznie. Rozwój stymuluje rosnące finansowanie publiczne i prywatne, które jest...