Urząd Ochrony Danych Osobowych informuje o kolejnej karze nałożonej przez PUODO za nieprzestrzeganie zasad ochrony danych osobowych i niewdrożenie odpowiednich środków technicznych i organizacyjnych. Firma sprzedająca drzwi antywłamaniowe otrzymała karę w wysokości 350 tys. zł za swoje zaniechania, które doprowadziły do utraty dostępu do danych na skutek ataku hakerskiego.
Ukarana została nie tylko sama firma, która padła ofiarą ataku, ale także wspólnicy spółki cywilnej, której firma powierzyła przetwarzanie danych – w ich przypadku kara wyniosła 9,8 tys. zł. Początkiem sprawy był atak hakerski, w wyniku którego firma straciła dostęp do danych klientów oraz pracowników. Mowa o numerach PESEL, dowodach osobistych, imionach i nazwiska, imionach rodziców, datach urodzenia, numerach rachunków bankowych, adresach zamieszkania lub pobytu, e-mailach i numerach telefonu. Co istotne, do wycieku doszło na skutek ataku typu ransomware, a ten był możliwy dzięki wyłączeniu przez pracownika firmy programu antywirusowego.
Firma uzasadniała swoją opieszałość krótkim czasem trwania incydentu i tym, że szybko udało się jej odzyskać dostęp do danych. Twierdziła również, że celem ataku nie było zdobycie danych, a szantaż, stąd argument mówiący o braku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Osoby, których dane zostały utracone zostały o wszystkim poinformowane, jak jednak zaznacza PUODO, firma zrobiła to w sposób wadliwy.
W toku działań wyjaśniających okazało się, że firma nie przeprowadziła odpowiedniej analizy ryzyka wbrew wskazaniom RODO. Ta zaś wskazywałaby jednoznacznie na możliwość wykorzystania złośliwego oprogramowania do ataku. Tymczasem jedną z kluczowych metod ochrony przed cyberatakami jest używanie aktualnego oprogramowania dla wszystkich elementów infrastruktury informatycznej.
Jak argumentuje prezes UODO w swojej decyzji, innymi argumentami, które przemawiały za zasądzeniem kary było: niezweryfikowanie, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO chroniło prawa osób, których dane dotyczą oraz nieprawidłowe zawiadomienie osób, których dane dotyczą. Administrator danych nie wypełnił też wynikającej z RODO zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679) tak przed, jak i po incydencie. Na żadnym etapie przetwarzania danych osobowych nie określił precyzyjnie wszystkich możliwych do zidentyfikowania ryzyk czy zagrożeń, przez co wdrożone przez niego środki bezpieczeństwa okazały się nieskuteczne. Środki wdrożone po ataku również nie były wystarczające: administrator nie był w stanie wykazać, że są one odpowiednie do ryzyka, bo ryzyka nie zbadał.
Firma uznała, że przyczyną ataku był tzw. czynnik ludzki, ale przeprowadziła jedynie dwa szkolenia z zakresu ochrony danych, a tylko jedno przed zdarzeniem. Kara dla wspólników spółki, której firma powierzyła przetwarzanie danych, została przyznana za nieudzielenie administratorowi pomocy w wywiązywaniu się przez niego z obowiązku wdrożenia adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych. Mówiąc wprost, mowa o niepoinformowaniu firmy o braku właściwych zabezpieczeń serwera wykorzystywanego w procesach przetwarzania danych osobowych, istniejących w oprogramowaniu podatnościach oraz konieczności przeprowadzenia aktualizacji.
Najnowsze komentarze