Centrum Audytu Bezpieczeństwa Sp. z o.o.

+48 881 256 247 | biuro@cab.com.pl

Kara od UODO za atak ransomware

3.07.2023

Kara od UODO za atak ransomware

Prezes Urzędu Ochrony Danych osobowych 16 maja 2023 r., wydał decyzję DKN.5131.56.2022, stwierdzającą naruszenie przez Burmistrza Miasta Z.  rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) polegające na doborze nieskutecznych zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych oraz braku odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia.

W związku z naruszeniem Prezes nakłada na Burmistrza Miasta Z. administracyjną karę pieniężną w kwocie 30 000 zł, oraz nakazuje mu dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

O naruszeniu

Zgodnie z treścią decyzji do naruszenia doszło w czerwcu 2022 r. Administrator wskazał, że naruszenie ochrony danych osobowych polegało na: „(…) blokada dostępu przez sieć wewnętrzną dostępu do serwera przez użytkowników końcowych (…)”. W dalszej części formularza „Zgłoszenia naruszenia ochrony danych osobowych” Burmistrz wskazał, że „(…) złośliwe oprogramowanie L. umieściło plik tekstowy w każdym folderze z informacją o okupie (…)”. Naruszenie dotyczyło około 9400 osób. Administrator wskazał, że kategorie danych osobowych, które zostały naruszone to: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, numer telefonu, wizerunek. Jak czytamy w decyzji W Mieście Z. uległ awarii serwer przechowujący kopie zapasowe, ponadto nie przewidziano procedur tworzenia kopii zapasowych, nie był wykonywany regularny backup serwerów, aplikacji, plików, konfiguracji, a także nie były przeprowadzane testy możliwości odtworzenia kopii. Jak wynika ze zgromadzonego materiału dowodowego zaszyfrowane zostały również kopie zapasowe.

Źródło: Decyzja DKN.5131.56.2022 Prezesa Urzędu Ochrony Danych Osobowych, z dnia 16 maja 2023 r. 

Po więcej najświeższych informacji z zakresu ochrony danych osobowych  zapraszamy do zakładki aktualności

~Aneta Zuchowska-Prygiel

Skip to content