Nałożono karę upomnienia dla spółki, w której administrator danych dobrał nieskuteczne środki ochrony swoich systemów informatycznych - poinformował w środę Urząd Ochrony Danych Osobowych.

Napisano, że postępowanie UODO wykazało, że administrator danych dobrał nieskuteczne środki ochrony swoich systemów informatycznych. "Przedsiębiorstwo testowało jedynie wydajność komponentów oprogramowania, czy odporność systemów na rożnego rodzaju awarie" - napisano.

Wskazano, że administrator dysponował przestarzałymi systemami operacyjnymi i innym oprogramowaniem, które nie było aktualizowane, gdyż producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego. W efekcie - jak czytamy - nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach.

Napisano, że w wyniku ataku złośliwego oprogramowania, które skutkowało zaszyfrowaniem danych osobowych, spółka utraciła dostęp do tych danych. Nie doszło jednak do naruszenia atrybutu poufności danych osobowych.

W ocenie UODO naruszenie nie powodowało więc wysokiego ryzyka dla osób dotkniętych naruszeniem. Nie było też innych negatywnych konsekwencji związanych z brakiem dostępu do danych, gdyż cały incydent wydarzył się w okresie, w którym z uwagi na stan zagrożenia epidemicznego podmiot i tak nie prowadził swojej działalności.

Organ nadzorczy wskazał, że obowiązkiem każdego administratora jest nie tylko regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanym danym. Zaznaczył też, że czynności te powinny być także dokumentowane, by realizowana był zasada rozliczalności wynikająca z RODO.

UODO wskazał też, że gdyby zabezpieczenia były odpowiednio testowane, to administrator doszedłby do wniosku, że konieczna jest instalacja aktualnych systemów operacyjnych i programów, które mają wsparcie producentów i są do nich wydawane aktualizacje dotyczące bezpieczeństwa. "Wówczas administrator zminimalizowały ryzyko wystąpienia naruszenia, do którego doszło. Tymczasem dopiero po tym incydencie administrator zainstalował nowe systemy operacyjne i dodatkowe oprogramowanie, mające odpowiednie wsparcie producentów" - napisano.

Zaznaczono, że organ nadzoru decydując o karze upomnienia wziął pod uwagę nie tylko to, że okoliczności sprawy wskazują na to, że osoby, których dotyczyło naruszenie nie poniosły żadnej szkody, na co wpływ miało zawieszenie działalności uzdrowisk w związku z pandemią COVID, ale też to, że administrator szybko podjął działania naprawcze. W ocenie UDOO kara upomnienia jest w tym wypadku wystarczająca i sprawi, że administrator będzie podejmował odpowiednie działania, które zminimalizują ryzyko wystąpienia podobnego zdarzenia w przyszłości.