Przejdź na

350 tys. zł kary za wyciek danych. Wyłączyli antywirusa

UODO ukarał firmę sprzedającą m.in. drzwi antywłamaniowe karą w wysokości ponad 350 tys. zł. Ukarani zostaną też wspólnicy spółki cywilnej, której firma powierzyła przetwarzanie danych. Wszystko przez duży wyciek, który miał miejsce w listopadzie.

oczy biuro stres praca przed komputerem zdrowy wzrokPraca w biurze
Źródło zdjęć: © Adobe Stock
Karol Kołtowski

UODO nałożył karę w wysokości 350 tys. zł na jedną z firm, która zajmuje się m.in. sprzedażą drzwi antywłamaniowych. Wszystko przez niewdrożenie właściwych środków bezpieczeństwa. Firma zgłosiła, że w wyniku ataku hakerskiego utraciła dostęp do danych klientów i pracowników.

Baza danych była bogata. Znalazły się w nich bowiem dane m.in. byłych i obecnych pracowników, takie, jak numery PESEL, dowodów osobistych, imiona i nazwiska, imiona rodziców, daty urodzenia, numery kont bankowych, adresy zamieszkania lub pobytu, e-mail i numery telefonu.

Dalsza część artykułu pod materiałem wideo

Wyłączył antywirusa

Firma twierdzi, że jej pracownik wyłączył program antywirusowy, co mogło doprowadzić do ataku typu ransomware. Jak czytamy na stronie UODO, firmie udało się odzyskać dostęp do danych. Uznano, że celem ataku nie były dane, ale szantaż firmy. Firma, jako administrator danych, poinformowała o fakcie wycieku osoby, których dane dotyczyły. Zrobiła to w sposób niewłaściwy i nie zareagowała na uwagi PUODO.

PUODO przeanalizował sprawę i uznał, że firma nie wdrożyła odpowiednich środków technicznych i organizacyjnych, które zminimalizowałyby ryzyko wycieku. Wynika to z faktu, że wbrew wskazaniom RODO, nie przeprowadzono odpowiedniej analizy ryzyka. Do minimalizacji ryzyka należało korzystać z aktualnego oprogramowania dla wszystkich elementów infrastruktury informatycznej.

Karę nałożono też za niezweryfikowanie, czy podmiot przetwarzający dane zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO chroniło prawa osób, których dane dotyczą (pkt I b sentencji decyzji); nieprawidłowe zawiadomienie osób, których dane dotyczą (pkt I c sentencji decyzji).

Administrator twierdzi, że zawinił czynnik ludzki. Przyznał jednak, że przeprowadzono tylko dwa szkolenia z zakresu ochrony danych, a tylko jedno przed zdarzeniem. PUODO dopatrzył się też uchybień ze strony administratora w zakresie powiadomienia osób o fakcie naruszenia ochrony danych osobowych.

Karol Kołtowski, dziennikarz dobreprogramy.pl

Wybrane dla Ciebie
Awaria w Alior Banku. Nie działa aplikacja (aktualizaja)
Awaria w Alior Banku. Nie działa aplikacja (aktualizaja)
Ostrzeżenie CERT Orange. "Karta SIM wymaga aktualizacji"
Ostrzeżenie CERT Orange. "Karta SIM wymaga aktualizacji"
Koniec Messenger.com. Wszystko, co musisz wiedzieć
Koniec Messenger.com. Wszystko, co musisz wiedzieć
Microsoft potwierdza: Windows 11 przyspieszy
Microsoft potwierdza: Windows 11 przyspieszy
Używasz mObywatela? Koniecznie zapisz ten numer telefonu
Używasz mObywatela? Koniecznie zapisz ten numer telefonu
Skyscanner trafił do ChatGPT. Lotów można szukać zwykłą rozmową
Skyscanner trafił do ChatGPT. Lotów można szukać zwykłą rozmową
Nowość w Google Chrome. Pionowe karty i lepszy tryb czytania
Nowość w Google Chrome. Pionowe karty i lepszy tryb czytania
Masz numer w T-Mobile? Możesz odzyskać pieniądze
Masz numer w T-Mobile? Możesz odzyskać pieniądze
AI może przewidzieć sepsę. Badacze wskazali geny ryzyka
AI może przewidzieć sepsę. Badacze wskazali geny ryzyka
WhatsApp w CarPlay. Nowa aplikacja w samochodzie
WhatsApp w CarPlay. Nowa aplikacja w samochodzie
Rosja wykorzystuje arabski Telegram. To element wojny z Ukrainą
Rosja wykorzystuje arabski Telegram. To element wojny z Ukrainą
Android Auto: większość kierowców ma problemy z łącznością
Android Auto: większość kierowców ma problemy z łącznością
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY 🌟