UODO ukarał firmę sprzedającą m.in. drzwi antywłamaniowe, na kwotę ponad 350 tys. złotych. Wspólnicy spółki cywilnej, której firma powierzyła przetwarzanie danych, zostali ukarani karą 9,8 tys. zł.
Firma zgłosiła, że w wyniku ataku hakerskiego straciła dostęp do danych klientów oraz pracowników. W bazie były dane m.in. byłych i obecnych pracowników: numery PESEL, dowodów osobistych, imiona i nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, e-mail i numer telefonu. Jak twierdziła firma, jej pracownik wyłączył program antywirusowy i to umożliwiło atak typu ransomware. Zdaniem administratora incydent trwał jednak krótko, firmie udało się odzyskać dostęp do danych. Uznała też, że celem ataku nie było zdobycie danych, tylko szantaż. Dlatego uznała, że nie było więc wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Firma (administrator danych) powiadomiła o fakcie osoby, których dane dotyczyły. Zrobiła to jednak w sposób wadliwy, i nie zareagowała na uwagi PUODO.
W efekcie PUODO ustalił, że administrator danych nie zastosował odpowiednich środków technicznych i organizacyjnych, które zminimalizowałyby ryzyko dla danych. A stało się to dlatego, że wbrew wskazaniom RODO, nie przeprowadził odpowiedniej analizy ryzyka.
Niezależnie od niewdrożenia przez administratora odpowiednich technicznych i organizacyjnych środków bezpieczeństwa na podstawie przeprowadzonej analizy ryzyka, kara jest też za: niezweryfikowanie, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO chroniło prawa osób, których dane dotyczą (pkt I b) sentencji decyzji); nieprawidłowe zawiadomienie osób, których dane dotyczą (pkt I c) sentencji decyzji).
W efekcie PUODO ustalił, że administrator danych nie zastosował odpowiednich środków technicznych i organizacyjnych, które zminimalizowałyby ryzyko dla danych. A stało się to dlatego, że wbrew wskazaniom RODO, nie przeprowadził odpowiedniej analizy ryzyka.
Niezależnie od niewdrożenia przez administratora odpowiednich technicznych i organizacyjnych środków bezpieczeństwa na podstawie przeprowadzonej analizy ryzyka, kara jest też za: niezweryfikowanie, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO chroniło prawa osób, których dane dotyczą (pkt I b) sentencji decyzji); nieprawidłowe zawiadomienie osób, których dane dotyczą (pkt I c) sentencji decyzji).
