Aktualności

UODO

Kara UODO za brak Cyberbezpieczeństwa

Urząd Ochrony Danych Osobowych (UODO) nałożył administracyjną karę pieniężną na pewnego administratora za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych oraz brak regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków. Kara wyniosła ponad 47 tys. zł.

Zgłoszenie od podmiotu trzeciego do UODO wskazało na utratę dokumentacji prowadzonej przez administratora w formie elektronicznej, zawierającej dane osobowe pracowników administratora i stron umów cywilnoprawnych. UODO zażądało od administratora wyjaśnień w związku z tym incydentem, a administrator przyznał, że padł ofiarą ataku ransomware, który zablokował dostęp do danych osobowych. Mimo braku możliwości odszyfrowania danych, administrator zdecydował się nie ingerować w system.

Najbardziej niepokojącym aspektem była jednak niezgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego, a administrator nie uważał tego zdarzenia za naruszenie zgodnie z przepisami RODO.

UODO podkreśla elastyczność RODO, które nie nakłada ściśle określonych wymagań co do zabezpieczeń danych osobowych. To administrator musi samodzielnie przeprowadzić analizę procesów przetwarzania danych, ocenić ryzyka i zastosować odpowiednie środki i procedury. W tej konkretnie sprawie, administrator nie tylko nie wdrożył odpowiednich środków bezpieczeństwa, co zaowocowało atakiem i zaszyfrowaniem danych osobowych, ale także nie podjął skutecznych działań w celu przywrócenia dostępu do danych. UODO zauważa, że wdrażanie środków bezpieczeństwa to nie tylko jednorazowy proces, ale wymaga także regularnego testowania i weryfikacji, czy są one odpowiednie do aktualnych ryzyk. W tym przypadku administrator nie był w stanie wykazać, że zastosowane przez niego środki techniczne i organizacyjne były wystarczające. Mimo sugestii ze strony UODO, aby przeprowadził pogłębioną analizę zdarzenia, administrator nadal nie widział w nim naruszenia ochrony danych osobowych ani ryzyka dla praw i wolności osób, których dane dotyczą

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM