UODO jest zdania, że ukarana spółka nie sprawdziła odpowiednio szybko informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. Takiego zawiadomienia nie potraktowała z odpowiednią powagą, przez co kilka dni po otrzymanym przez spółkę sygnale, osoba nieuprawniona skopiowała te dane, a następnie usunęła je z serwera.
Za zwrot wykradzionych informacji zażądała okupu. Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych organowi nadzoru.
Prezes UODO uznał więc, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych, przez co doszło do naruszenia zasady poufności danych i nałożył na spółkę karę w wysokości ponad 1 mln zł – czytamy w komunikacie na stronie internetowej.
UODO, nakładając karę za to, że w wyniku szeregu zaniedbań administratora doszło do naruszenia poufności danych osobowych, wziął pod uwagę skalę naruszenia, jak i zakres wykradzionych danych. Uwzględnił też fakt, że wyciekły także niezaszyfrowane hasła użytkowników, więc istnieje możliwość posłużenia się tymi danymi do zalogowania się na różnych kontach, jeżeli użytkownicy w innych serwisach posługiwali się tym samym loginem (np. e-mail) i hasłem.
Przy wymierzaniu wysokości kary organ wziął też pod uwagę zwłokę administratora w podjęciu działań zapobiegawczych.
Według Urzędu do naruszenia doszło po tym, jak po restarcie jednego z serwerów obsługiwanego przez podmiot przetwarzający (firmę hostingową) nie przywrócono odpowiedniej konfiguracji zabezpieczeń. Administrator został powiadomiony o tym fakcie przez jednego ze specjalistów zajmujących się cyberbezpieczeństwem, który wykrył podatność i wskazał przykładowe, dostępne publicznie informacje.
Jednak - zdaniem UODO - administrator zamiast rzetelnie sprawdzić jego doniesienia i monitorować podmiot przetwarzający, czy należycie zajął się sprawą pod kątem sprawdzenia zabezpieczeń, miał wątpliwości, czy nie jest to próba wyłudzenia od niego innych danych. Wskazywał to w korespondencji do podmiotu przetwarzającego. Przez to nie zajęto się od razu sprawdzeniem wskazanych luk w systemie i kilka dni później doszło do wykradzenia danych z tego serwera.
UODO ocenił, że do tego naruszenia nie doszłoby, gdyby administrator od razu odpowiednio zareagował na informację o tym, iż dane na jego serwerze są niezabezpieczone. Administrator powinien utrzymywać zdolność do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń, aby mieć możliwość podjęcia odpowiednich działań, uznał organ.
Ponadto administrator powinien być w stanie szybko zbadać dany incydent pod kątem tego, czy doszło do naruszenia ochrony danych oraz podjąć odpowiednie działania zaradcze.