Kara PUODO za wyłączenie antywirusa w wysokości 350 tysięcy złotych została nałożona na firmę, która w wyniku tego padła ofiarą ataku hakerskiego. Kary – w wysokości po 9,8 tysiąca złotych otrzymali także wspólnicy spółki, której firma powierzyła przetwarzanie danych.
Pracownik ukaranej firmy w trakcie pracy wyłączył program antywirusowy, czego konsekwencją był atak hakerski. W wyniku ataku firma na chwile straciła dostęp do danych, wśród których były między innymi numery PESEL, numery dowodów osobistych, imiona i nazwiska, daty urodzenia, numery rachunków bankowych, adresy, e-mail i numery telefonu byłych i obecnych pracowników firmy. Mimo, że zaatakowana firma powiadomiła zainteresowane osoby o incydencie, to zrobiła to według PUODO w sposób wadliwy. Dodatkowo administrator danych nie zastosował odpowiednich środków technicznych i organizacyjnych, które zminimalizowałyby ryzyko, ani nie przeprowadził analizy ryzyka. Jak wskazywała zaatakowana firma atak hakerski trwał bardzo krótko, a jego celem był szantaż, a nie zdobycie danych osobowych. Na tej podstawie firma uznała, że nie było wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
Administrator w trakcie rozpatrywania sprawy przez UODO przyznał, że przeprowadził tylko dwa szkolenia z zakresu ochrony danych i tylko jedno przed zdarzeniem, co jest niewystarczające w sytuacji, gdy „czynnik ludzki” stwarza w organizacji zagrożenie dla danych. Nie została także przeprowadzona odpowiednia analiza ryzyka, a więc i środki wdrożone po ataku nie były wystarczające: administrator nie był w stanie wykazać, że są one odpowiednie do ryzyka, bo go nie zbadał.
Wspólnicy spółki cywilnej przetwarzającej dane otrzymane od administratora otrzymali karę za “nieudzielenie administratorowi pomocy w wywiązywaniu się przez niego z obowiązku wdrożenia adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych”. Oznacza to, że zaniedbany został obowiązek poinformowania administratora o braku właściwych zabezpieczeń serwera wykorzystywanego w procesie przetwarzania danych.