Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

Rekordowa kara UODO za zaniedbania w ochronie danych

Rekordowa  kara UODO za zaniedbania w ochronie danych

Zaniedbania w ochronie danych osobowych kosztują coraz więcej – przekonała się o tym firma, której błędy w zabezpieczeniach i niewłaściwe procedury komunikacyjne po ataku ransomware kosztowały ponad 350 tys. zł kary.

Ustawa Kamilka

Atak ransomware obnażył słabe punkty

Incydent rozpoczął się od błędu pracownika, który wyłączył oprogramowanie antywirusowe, umożliwiając atak typu ransomware. W jego wyniku firma straciła dostęp do danych klientów oraz pracowników – zarówno byłych, jak i obecnych. Dane obejmowały wrażliwe informacje, takie jak numery PESEL, numery dowodów osobistych, rachunków bankowych, adresy zamieszkania, a także dane kontaktowe.

Administrator danych, pomimo odzyskania dostępu do danych w krótkim czasie, uznał, że celem ataku był jedynie szantaż, a nie pozyskanie danych. Firma powiadomiła osoby dotknięte incydentem, jednak sposób komunikacji okazał się wadliwy, a reakcja na uwagi UODO – niewystarczająca.

Największym problemem okazały się jednak zaniedbania w zakresie analizy ryzyka oraz brak wdrożenia adekwatnych środków technicznych i organizacyjnych. Firma nie przeprowadziła kompleksowej analizy zagrożeń, co mogło zapobiec wykorzystaniu złośliwego oprogramowania. Aktualizacje oprogramowania również nie były regularnie wykonywane, co ułatwiło hakerom dostęp do systemu.

Systemowe zaniedbania i odpowiedzialność podmiotów przetwarzających

PUODO wykazał, że firma nie tylko nie wdrożyła odpowiednich środków bezpieczeństwa, ale również nie zweryfikowała, czy podmiot przetwarzający dane zapewnia odpowiednie zabezpieczenia. Wspólnicy spółki cywilnej odpowiedzialnej za serwer nie poinformowali administratora o znanych podatnościach oprogramowania, co w efekcie umożliwiło przeprowadzenie ataku.

Co więcej, szkolenia z zakresu ochrony danych osobowych w firmie były przeprowadzane rzadko – przed incydentem odbyło się tylko jedno, co w kontekście podkreślanej przez administratora roli „czynnika ludzkiego” było daleko niewystarczające. Brak skutecznych działań edukacyjnych oraz niska świadomość zagrożeń wśród pracowników dodatkowo zwiększyły ryzyko naruszeń.

W decyzji UODO kluczowym punktem była również zasada rozliczalności, którą administrator danych zignorował. Na żadnym etapie nie potrafił udowodnić, że wdrożone środki bezpieczeństwa są adekwatne do ryzyka, ponieważ nigdy tego ryzyka nie zidentyfikował. Nawet po incydencie działania naprawcze były niewystarczające.

Lekcja na przyszłość

Kara finansowa nałożona przez UODO jest jasnym sygnałem, że naruszenia RODO – zarówno w zakresie technologicznym, jak i organizacyjnym – będą surowo karane. Eksperci ds. cyberbezpieczeństwa powinni zwrócić szczególną uwagę na znaczenie kompleksowej analizy ryzyka, regularnych aktualizacji systemów oraz szkoleń pracowników, które mogą zapobiec podobnym incydentom.

Wnioski z tej sprawy pokazują, że nie tylko technologie, ale i odpowiednie procedury oraz świadomość pracowników są kluczowe w ochronie danych osobowych.

 

Dobroczynnie NTHW

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa