Pracownik wyłączył program antywirusowy, stracili dostęp do bazy klientów

UODO napisał, że firma w wyniku ataku hakerskiego straciła dostęp do bazy danych klientów i pracowników, w której znajdowały się między innymi numery PESEL, dowodów osobistych, imiona i nazwiska rodziców, daty urodzenia, miejsca zamieszkania, numery rachunków bankowych, adresy e-mail, a także numery telefonów.

"Jak twierdziła firma, jej pracownik wyłączył program antywirusowy i to umożliwiło atak typu ransomware. Zdaniem administratora incydent trwał jednak krótko, firmie udało się odzyskać dostęp do danych. Uznała też, że celem ataku nie było zdobycie danych, tylko szantaż. Dlatego uznała, że nie było więc wysokiego ryzyka naruszenia praw lub wolności osób fizycznych" - czytamy w komunikacie.

UODO podkreślił, że firma co prawda powiadomiła o fakcie wszystkie osoby, których dane dotyczyły, ale zrobiła to w sposób wadliwy, a także nie zareagowała na uwagi zgłoszone przez PUODO.

"Prezes UODO wszechstronnie rozpatrzył zgromadzony w sprawie materiał dowodowy. Pytał też firmę (administratora danych), jakie rozwiązania wdrożyła po ataku. W efekcie PUODO ustalił, że administrator danych nie zastosował odpowiednich środków technicznych i organizacyjnych, które zminimalizowałyby ryzyko dla danych. A stało się to dlatego, że wbrew wskazaniom RODO, nie przeprowadził odpowiedniej analizy ryzyka. W tej sytuacji ryzyko to należało łączyć z możliwością wykorzystania złośliwego oprogramowania" - przekazał urząd.

Jak wskazano, "jedną z kluczowych metod zapobiegania takim atakom jest używanie aktualnego oprogramowania dla wszystkich elementów infrastruktury informatycznej". "Czego firma nie zrobiła, gdyż takiego zagrożenia nie zidentyfikowała" - wyjaśniono.

UDODO przekazał, że niezależnie od wcześniejszego niewdrożenia należytych środków bezpieczeństwa kara została też nałożona za niezweryfikowanie, czy podmiot przetwarzający jest w stanie zagwarantować odpowiednie środki techniczne, a także organizacyjne, by przetwarzanie było zgodne z wymogami RODO, a także chroniło prawa osób, których dotyczą te regulacje.

"Administrator na żadnym etapie przetwarzania danych osobowych nie określił precyzyjnie wszystkich możliwych do zidentyfikowania ryzyka czy zagrożeń, przez co wdrożone przez niego środki bezpieczeństwa okazały się nieskuteczne. Środki wdrożone po ataku również nie były wystarczające: administrator nie był w stanie wykazać, że są one odpowiednie do ryzyka, bo ryzyka nie zbadał" - czytamy.

"Administrator wskazywał, że zawinił człowiek (czynnik ludzki), ale, jak sam przyznał, przeprowadził tylko dwa szkolenia z zakresu ochrony danych. A tylko jedno przed zdarzeniem. To za mało, jeśli administrator uważa, że 'czynnik ludzki' stwarza w jego organizacji zagrożenie dla danych" - dodano.

W ocenie prezesa UODO ze strony administratora doszło także do uchybień w zakresie zawiadamiania swoich byłych i obecnych pracowników o kwestii naruszenia ich danych osobowych.

"Prezes UODO zauważył też odpowiedzialność wspólników spółki cywilnej, której administrator powierzył przetwarzanie danych. Wskazał, że nie udzieliła ona administratorowi pomocy w wywiązywaniu się przez niego z obowiązku wdrożenia adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych" - wskazano.

UODO dodał, że "podmiot przetwarzający zaniechał na przestrzeni lat informowania administratora o występujących w oprogramowaniu serwera podatnościach, a także o konieczności aktualizacji systemu operacyjnego do możliwie najnowszej wersji".

Na firmę sprzedającą m.in. drzwi antywłamaniowe została nałożona kara w wysokości 350 tys. zł, a na podmiot, któremu powierzono przetwarzanie danych - 9,8 tys. zł.