Kara PUODO za wyłączenie antywirusa w wysokości 350 tysięcy złotych została nałożona na firmę, która w wyniku tego padła ofiarą ataku hakerskiego. Kary – w wysokości po 9,8 tysiąca złotych otrzymali także wspólnicy spółki, której firma powierzyła przetwarzanie danych.

Pracownik ukaranej firmy w trakcie pracy wyłączył program antywirusowy, czego konsekwencją był atak hakerski. W wyniku ataku firma na chwile straciła dostęp do danych, wśród których były między innymi numery PESEL, numery dowodów osobistych, imiona i nazwiska, daty urodzenia, numery rachunków bankowych, adresy, e-mail i numery telefonu byłych i obecnych pracowników firmy. Mimo, że zaatakowana firma powiadomiła zainteresowane osoby o incydencie, to zrobiła to według PUODO w sposób wadliwy. Dodatkowo administrator danych nie zastosował odpowiednich środków technicznych i organizacyjnych, które zminimalizowałyby ryzyko, ani nie przeprowadził analizy ryzyka. Jak wskazywała zaatakowana firma atak hakerski trwał bardzo krótko, a jego celem był szantaż, a nie zdobycie danych osobowych. Na tej podstawie firma uznała, że nie było wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.

Kara PUODO za wyłączenie antywirusa została nałożona na firmę która padła w wyniku tego ofiarą ataku hakerskiego

Administrator w trakcie rozpatrywania sprawy przez UODO przyznał, że przeprowadził tylko dwa szkolenia z zakresu ochrony danych i tylko jedno przed zdarzeniem, co jest niewystarczające w sytuacji, gdy „czynnik ludzki” stwarza w organizacji zagrożenie dla danych. Nie została także przeprowadzona odpowiednia analiza ryzyka, a więc i środki wdrożone po ataku nie były wystarczające: administrator nie był w stanie wykazać, że są one odpowiednie do ryzyka, bo go nie zbadał.

Wspólnicy spółki cywilnej przetwarzającej dane otrzymane od administratora otrzymali karę za “nieudzielenie administratorowi pomocy w wywiązywaniu się przez niego z obowiązku wdrożenia adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych”. Oznacza to, że zaniedbany został obowiązek poinformowania administratora o braku właściwych zabezpieczeń serwera wykorzystywanego w procesie przetwarzania danych.