Kara upomnienia za naruszenie ochrony danych osobowych z powodu nieaktualnego oprogramowania

Postępowanie UODO wykazało, że administrator danych dobrał nieskuteczne środki ochrony swoich systemów informatycznych. Nie przeprowadzał też testów ich podatności na różnego rodzaju zagrożenia. Przedsiębiorstwo testowało jedynie wydajność komponentów oprogramowania, czy odporność systemów na rożnego rodzaju awarie. W ocenie organu nadzoru nie były sprawdzane w pełnym zakresie zabezpieczenia techniczne i organizacyjne systemów, w których przetwarzano dane osobowe.

Administrator dysponował przestarzałymi systemami operacyjnymi i innym oprogramowaniem, które nie było aktualizowane, gdyż producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego. W efekcie nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach.

W wyniku ataku złośliwego oprogramowania, które skutkowało zaszyfrowaniem danych osobowych, Spółka utraciła dostęp do tych danych. Nie doszło jednak do naruszenia atrybutu poufności danych osobowych.

W ocenie UODO naruszenie nie powodowało więc wysokiego ryzyka dla osób dotkniętych naruszeniem. Nie było też innych negatywnych konsekwencji związanych z brakiem dostępu do tych danych, gdyż cały incydent wydarzył się w okresie, w którym z uwagi na stan zagrożenia epidemicznego podmiot uzdrowiskowy i tak nie prowadził swojej działalności.

Organ nadzorczy wskazał, że obowiązkiem każdego administratora jest nie tylko regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanym danym. Zaznaczył też, że czynności te powinny być także dokumentowane, by realizowana był zasada rozliczalności wynikająca z RODO.

UODO wskazał też, że gdyby zabezpieczenia były odpowiednio testowane, to administrator doszedłby do wniosku, że konieczna jest instalacja aktualnych systemów operacyjnych i programów, które mają wsparcie producentów i są do nich wydawane aktualizacje dotyczące bezpieczeństwa. Wówczas administrator zminimalizowały ryzyko wystąpienia naruszenia, do którego doszło. Tymczasem dopiero po tym incydencie administrator zainstalował nowe systemy operacyjne i dodatkowe oprogramowanie, mające odpowiednie wsparcie producentów.

Organ nadzoru decydując się o karze upomnienia wziął pod uwagę nie tylko to, że okoliczności sprawy wskazują na to, że osoby, których dotyczyło naruszenie nie poniosły żadnej szkody, na co wpływ miało zawieszenie działalności uzdrowisk w związku z pandemią COVID, ale też to, że administrator szybko podjął działania naprawcze. W ocenie UDOO kara upomnienia jest w tym wypadku wystarczająca i sprawi, że administrator będzie podejmował odpowiednie działania, które zminimalizują ryzyko wystąpienia podobnego zdarzenia w przyszłości.

Pełna treść decyzji dostępna pod linkiem: https://www.uodo.gov.pl/decyzje/DKN.5130.2815.2020




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Polityka prywatności