Zarejestruj się i uzyskaj dostęp do licznych narzędzi

UODO nałożył karę za dobór nieskutecznych zabezpieczeń dla wykorzystywanego systemu informatycznego

29/06/2023

Prezes UODO nałożył administracyjną karę pieniężną w wysokości 30 tys. zł na jednego z burmistrzów za dobór nieskutecznych zabezpieczeń dla wykorzystywanego systemu informatycznego oraz za ich nieprzetestowanie.


UODO nałożył karę za dobór nieskutecznych zabezpieczeń dla wykorzystywanego systemu informatycznego

UODO nałożył karę za dobór nieskutecznych zabezpieczeń dla wykorzystywanego systemu informatycznego

W następstwie przeprowadzonego postępowania organ stwierdził, że faktyczną przyczyną wystąpienia ataku ransomware była niezaktualizowana baza wirusów. Jak ustalono system operacyjny, zainstalowany przez administratora na serwerze, w czasie wystąpienia naruszenia ochrony danych osobowych, nie miał wsparcia producenta.

Efektem tego było przełamanie zabezpieczeń wykorzystywanego przez administratora systemu informatycznego, a następnie zaszyfrowanie przetwarzanych w nim danych z użyciem złośliwego oprogramowania. W wyniku zaszyfrowania nastąpiła utrata dostępności baz danych administratora. 

Obowiązujące u administratora zasady tworzenia kopii zapasowych oraz praktyka wykonywania tej kopii nie zapewniały jednak dostępności systemów i usług przetwarzania oraz do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w przypadku zaistniałego naruszenia. Jak ustalono, serwer, na którym miała być wykonana dodatkowa kopia danych uległ awarii, co uniemożliwiło szybkie odtworzenie znajdujących się na nim danych. Administrator odzyskał dane dopiero po prawie trzech miesiącach.

W ocenie organu korzystanie z systemów informatycznych służących do przetwarzania danych osobowych po zakończeniu wsparcia technicznego przez ich producenta, w sposób istotny obniża ich poziom bezpieczeństwa. Przyjęte przez administratora środki techniczne mające służyć właściwej ochronie danych osobowych w żaden sposób nie były przez burmistrza testowane, mierzone i oceniane celem weryfikacji ich skuteczności. Ponadto w trakcie prowadzonego postępowania administrator nie był w stanie wykazać, że zastosowane rozwiązania są wystarczające dla zapewnienia bezpieczeństwa przetwarzanych danych.

Treść decyzji https://www.uodo.gov.pl/decyzje/DKN.5131.56.2022

 

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach w www.odoserwis.pl dołącz do nas:

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

 

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

 

 

 

 

 Irlandzka Komisja Ochrony Danych nałożyła karę 91 milionów euro na Meta Ireland za naruszenia RODO
Irlandzka Komisja Ochrony Danych nałożyła karę 91 milionów euro na Meta Ireland za naruszenia RODO
Holenderski organ ochrony danych nakłada wysokie kary za naruszenia RODO dla Uber i Clearview AI
Holenderski organ ochrony danych nakłada wysokie kary za naruszenia RODO dla Uber i Clearview AI
Szwedzki Urząd Ochrony Prywatności (IMY)  wymagania dotyczące akredytacji jednostek certyfikujących
Szwedzki Urząd Ochrony Prywatności (IMY) wymagania dotyczące akredytacji jednostek certyfikujących