Napisano, że postępowanie UODO wykazało, że administrator danych dobrał nieskuteczne środki ochrony swoich systemów informatycznych. "Przedsiębiorstwo testowało jedynie wydajność komponentów oprogramowania, czy odporność systemów na rożnego rodzaju awarie" - napisano.

Wskazano, że administrator dysponował przestarzałymi systemami operacyjnymi i innym oprogramowaniem, które nie było aktualizowane, gdyż producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego. W efekcie - jak czytamy - nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach.

Napisano, że w wyniku ataku złośliwego oprogramowania, które skutkowało zaszyfrowaniem danych osobowych, spółka utraciła dostęp do tych danych. Nie doszło jednak do naruszenia atrybutu poufności danych osobowych.

W ocenie UODO naruszenie nie powodowało więc wysokiego ryzyka dla osób dotkniętych naruszeniem. Nie było też innych negatywnych konsekwencji związanych z brakiem dostępu do danych, gdyż cały incydent wydarzył się w okresie, w którym z uwagi na stan zagrożenia epidemicznego podmiot i tak nie prowadził swojej działalności.

Organ nadzorczy wskazał, że obowiązkiem każdego administratora jest nie tylko regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanym danym. Zaznaczył też, że czynności te powinny być także dokumentowane, by realizowana był zasada rozliczalności wynikająca z RODO.

UODO wskazał też, że gdyby zabezpieczenia były odpowiednio testowane, to administrator doszedłby do wniosku, że konieczna jest instalacja aktualnych systemów operacyjnych i programów, które mają wsparcie producentów i są do nich wydawane aktualizacje dotyczące bezpieczeństwa. "Wówczas administrator zminimalizowały ryzyko wystąpienia naruszenia, do którego doszło. Tymczasem dopiero po tym incydencie administrator zainstalował nowe systemy operacyjne i dodatkowe oprogramowanie, mające odpowiednie wsparcie producentów" - napisano.

Zaznaczono, że organ nadzoru decydując o karze upomnienia wziął pod uwagę nie tylko to, że okoliczności sprawy wskazują na to, że osoby, których dotyczyło naruszenie nie poniosły żadnej szkody, na co wpływ miało zawieszenie działalności uzdrowisk w związku z pandemią COVID, ale też to, że administrator szybko podjął działania naprawcze. W ocenie UDOO kara upomnienia jest w tym wypadku wystarczająca i sprawi, że administrator będzie podejmował odpowiednie działania, które zminimalizują ryzyko wystąpienia podobnego zdarzenia w przyszłości.