Prezes UODO nałożył karę upomnienia na Spółkę za utratę dostępu do danych osobowych zaszyfrowanych przez złośliwe oprogramowanie typu ransomware.
Postępowanie dotyczące naruszenia ochrony danych osobowych wykazało, że przełamane zostały zabezpieczenia systemu informatycznego wykorzystywanego przez ukaraną Spółkę do przetwarzania danych osobowych. Skutkiem tego dane osobowe przetwarzane przez spółkę zostały zaszyfrowane, a spółka utraciła do nich dostęp.
Spółka określiła skalę powstałego naruszenia, która wykazała, że zaszyfrowane bazy danych obejmowały około 80 000 rekordów danych pracowników, klientów oraz pacjentów w zakresie imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania, numer ewidencyjny PESEL, adres e-mail, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia. Spółka nie stwierdziła wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych z uwagi na odzyskanie zaszyfrowanych danych oraz zrezygnowała z zawiadomienia osób, których dane dotyczą, o naruszeniu.
Postępowanie UODO wykazało, że Administrator używał przestarzałego oprogramowania, które nie posiadało wsparcia producenta w skutek czego nie było możliwości aktualizacji m.in. pod katem zabezpieczeń. Powyższe dotyczy zarówno systemów operacyjnych jak i innego oprogramowania używanego do przetwarzania danych osobowych.
UODO wskazał, iż każdy Administrator powinien stosować zabezpieczenia, które są odpowiednio testowane pod kątem m.in. podatności na różne zagrożenia, instalować aktualne systemy operacyjne i programy, które posiadają wsparcie techniczne i do których są wydawane aktualizacje dotyczące bezpieczeństwa. Tylko takie działania pozwalają na zminimalizowanie ryzyka wystąpienia naruszenia.
Tymczasem dopiero po tym incydencie administrator zainstalował nowe systemy operacyjne i dodatkowe oprogramowanie, mające odpowiednie wsparcie producentów.
Prezes Urzędu Ochrony Danych Osobowych zdecydował o nałożeniu jedynie kary upomnienia biorąc pod uwagę, że Spółka zgłosiła do Prezesa UODO naruszenie ochrony danych osobowych. Ponadto osoby, których dotyczyło naruszenie, nie poniosły żadnej szkody na skutek naruszenia, ponieważ działalności uzdrowisk została zawieszona z powodu pandemii COVID-19 i w okresie naruszenia Spółka nie świadczyła usług dla klientów i kuracjuszy.
Warto dodać, iż Administrator szybko podjął działania naprawcze minimalizujące ryzyko podobnego zdarzenia w przyszłości.
Pełna treść decyzji dostępna pod linkiem: https://www.uodo.gov.pl/decyzje/DKN.5130.2815.2020