350 tys. zł kary za wyciek danych. Wyłączyli antywirusa

UODO ukarał firmę sprzedającą m.in. drzwi antywłamaniowe karą w wysokości ponad 350 tys. zł. Ukarani zostaną też wspólnicy spółki cywilnej, której firma powierzyła przetwarzanie danych. Wszystko przez duży wyciek, który miał miejsce w listopadzie.

Praca w biurze
Praca w biurze
Źródło zdjęć: © Adobe Stock

16.11.2024 15:51

UODO nałożył karę w wysokości 350 tys. zł na jedną z firm, która zajmuje się m.in. sprzedażą drzwi antywłamaniowych. Wszystko przez niewdrożenie właściwych środków bezpieczeństwa. Firma zgłosiła, że w wyniku ataku hakerskiego utraciła dostęp do danych klientów i pracowników.

Baza danych była bogata. Znalazły się w nich bowiem dane m.in. byłych i obecnych pracowników, takie, jak numery PESEL, dowodów osobistych, imiona i nazwiska, imiona rodziców, daty urodzenia, numery kont bankowych, adresy zamieszkania lub pobytu, e-mail i numery telefonu.

Dalsza część artykułu pod materiałem wideo

Wyłączył antywirusa

Firma twierdzi, że jej pracownik wyłączył program antywirusowy, co mogło doprowadzić do ataku typu ransomware. Jak czytamy na stronie UODO, firmie udało się odzyskać dostęp do danych. Uznano, że celem ataku nie były dane, ale szantaż firmy. Firma, jako administrator danych, poinformowała o fakcie wycieku osoby, których dane dotyczyły. Zrobiła to w sposób niewłaściwy i nie zareagowała na uwagi PUODO.

PUODO przeanalizował sprawę i uznał, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które zminimalizowałyby ryzyko wycieku. Wynika to z faktu, że wbrew wskazaniom RODO, nie przeprowadzono odpowiedniej analizy ryzyka. Do minimalizacji ryzyka należało korzystać z aktualnego oprogramowania dla wszystkich elementów infrastruktury informatycznej.

Karę nałożono też za niezweryfikowanie, czy podmiot przetwarzający dane zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO chroniło prawa osób, których dane dotyczą (pkt I b sentencji decyzji); nieprawidłowe zawiadomienie osób, których dane dotyczą (pkt I c sentencji decyzji).

Administrator twierdzi, że zawinił czynnik ludzki. Przyznał jednak, że przeprowadzono tylko dwa szkolenia z zakresu ochrony danych, a tylko jedno przed zdarzeniem. PUODO dopatrzył się też uchybień ze strony administratora w zakresie powiadomienia osób o fakcie naruszenia ochrony danych osobowych.

Karol Kołtowski, dziennikarz dobreprogramy.pl

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (24)