Tym razem obyło się bez kary finansowej. Upomnieniem ukarał Prezes UODO spółkę prowadzącą działalność uzdrowiskową, która straciła dostęp do danych osobowych w wyniku ataku ransomware.
Jak okazało się w wyniku postępowania prowadzonego przez UODO, administrator wybrał nieodpowiednie środki ochrony swoich systemów IT. Zaniechał też testów ich podatności na różnego rodzaju zagrożenia. Ograniczył się jedynie do testowania wydajności komponentów oprogramowania oraz odporności systemów na rożnego rodzaju awarie.
Gdyby zaś przeprowadzono odpowiednie testy, wówczas administrator doszedłby do wniosku, że konieczna jest instalacja aktualnych systemów operacyjnych i programów, które mają wsparcie producentów i są do nich wydawane aktualizacje dotyczące bezpieczeństwa. W ten sposób doszłoby do minimalizacji ryzyka wystąpienia naruszenia, do którego doszło.
Obowiązkiem każdego administratora jest regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanym danym. Czynności te powinny być także odpowiednio dokumentowane zgodnie z regułą rozliczalności.
Ustalono także, że ADO korzystał z przestarzałych systemów operacyjnych i oprogramowania, które nie było aktualizowane, ponieważ producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego. W efekcie nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach.
W spółce doszło do ataku złośliwego oprogramowania, co skończyło się zaszyfrowaniem tych danych i utratą dostępu. Co istotne, nie doszło jednak do naruszenia ich poufności. Dlatego Prezes UODO uznał, że nie wystąpiło wysokie ryzyko dla osób dotkniętych tym naruszeniem. Nie pojawiły się też inne negatywne konsekwencje związane z brakiem dostępu do tych danych. Zdarzenie miało bowiem miejsce w czasie, w którym z powodu zagrożenia epidemicznego administrator i tak nie prowadził swojej działalności.
Organ nadzoru ograniczył się do wymierzenia kary upomnienia. Wziął bowiem pod uwagę, że osoby, których dotyczyło naruszenie, nie poniosły żadnej szkody. Jako okoliczność łagodzącą potraktowano także szybko podjęte działania naprawcze administratora.
Opracowanie:
Michał Kowalski
Orzecznictwo:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
