Urząd Ochrony Danych Osobowych (UODO) nałożył administracyjną karę pieniężną na pewnego administratora za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych oraz brak regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków. Kara wyniosła ponad 47 tys. zł.
Zgłoszenie od podmiotu trzeciego do UODO wskazało na utratę dokumentacji prowadzonej przez administratora w formie elektronicznej, zawierającej dane osobowe pracowników administratora i stron umów cywilnoprawnych. UODO zażądało od administratora wyjaśnień w związku z tym incydentem, a administrator przyznał, że padł ofiarą ataku ransomware, który zablokował dostęp do danych osobowych. Mimo braku możliwości odszyfrowania danych, administrator zdecydował się nie ingerować w system.
Najbardziej niepokojącym aspektem była jednak niezgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego, a administrator nie uważał tego zdarzenia za naruszenie zgodnie z przepisami RODO.
UODO podkreśla elastyczność RODO, które nie nakłada ściśle określonych wymagań co do zabezpieczeń danych osobowych. To administrator musi samodzielnie przeprowadzić analizę procesów przetwarzania danych, ocenić ryzyka i zastosować odpowiednie środki i procedury. W tej konkretnie sprawie, administrator nie tylko nie wdrożył odpowiednich środków bezpieczeństwa, co zaowocowało atakiem i zaszyfrowaniem danych osobowych, ale także nie podjął skutecznych działań w celu przywrócenia dostępu do danych. UODO zauważa, że wdrażanie środków bezpieczeństwa to nie tylko jednorazowy proces, ale wymaga także regularnego testowania i weryfikacji, czy są one odpowiednie do aktualnych ryzyk. W tym przypadku administrator nie był w stanie wykazać, że zastosowane przez niego środki techniczne i organizacyjne były wystarczające. Mimo sugestii ze strony UODO, aby przeprowadził pogłębioną analizę zdarzenia, administrator nadal nie widział w nim naruszenia ochrony danych osobowych ani ryzyka dla praw i wolności osób, których dane dotyczą