Kolejna kara za niewdrożenie odpowiednich środków bezpieczeństwa i brak ich regularnego testowania. Tym razem jedna ze spółek przyjęła rozwiązania, które okazały się niewystarczające przeciwko atakowi ransomware. Spółce zarzucono także m.in. brak regularnego testowania przyjętych rozwiązań Prezes UODO nałożył z tego tytułu karę w wysokości 47 tys. zł.
Do Prezesa UODO wpłynęła informacja o utracie elektronicznej dokumentacji pracowniczej a także dotyczącej osób, z którymi administrator zawarł umowy cywilnoprawne. Do utraty tej doszło w wyniku ataku ransomware. Administrator nie był w stanie rozszyfrować danych. Jednocześnie nie zgłosił on naruszenia ochrony danych.
Jak ustalił Prezes UODO, administrator nie przeprowadził właściwej analizy ryzyka, wskutek czego nie wdrożył środków bezpieczeństwa adekwatnych do poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych. Przyjęte przez niego rozwiązania w ocenie Prezesa UODO nie wystarczyły do zapobiegnięcia zaszyfrowaniu danych osobowych. To zdaniem organu nadzorczego obciąża administratora.
Administrator zaniechał także testowania i weryfikowania, czy przyjęte środki bezpieczeństwa są odpowiednie względem istniejących ryzyk.
Administrator był zobligowany do regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków bezpieczeństwa. Tak się jednak nie stało.
Prezes UODO zarzucił również spółce niezgłoszenie naruszenia ochrony danych. Przez całe postępowanie administrator utrzymywał bowiem, że zdarzenie nie wygenerowało ryzyka naruszenia praw i wolności podmiotów danych.
Dodatkowo administratorowi zarzucono, że składane przez niego wyjaśnienia były lakoniczne i niespójne. Kierowane pisma nie były opatrywane podpisami osób uprawnionych do reprezentacji. Miała też miejsce sytuacja, w której odpowiedzi udzieliła inna spółka niż wezwana. Kwestie te przełożyły się na wymiar kary, którą ostatecznie ustalono na poziomie 47 tys. zł.
Przeczytaj także: Kontynuacja sprawy Virgin Mobile Polska – kara za brak środków bezpieczeństwa danych abonentów
decyzja Prezesa UODO z 31 maja 2023 r. DKN.5131.8.2021
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
