Niewdrożenie odpowiednich środków bezpieczeństwa dla danych może skończyć się ich utratą
Za nieprzestrzeganie zasad ochrony danych osobowych UODO ukarał firmę sprzedającą m.in. drzwi antywłamaniowe ponad 350 tys. zł kary. Wspólnicy spółki cywilnej, której firma powierzyła przetwarzanie danych, zostali ukarani karą 9,8 tys. zł. Firma zgłosiła, że w wyniku ataku hakerskiego straciła dostęp do danych klientów oraz pracowników. W bazie były dane m.in. byłych i obecnych pracowników: numery PESEL, dowodów osobistych, imiona i nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, e-mail i numer telefonu. Jak twierdziła firma, jej pracownik wyłączył program antywirusowy i to umożliwiło atak typu ransomware. Zdaniem administratora incydent trwał jednak krótko, firmie udało się odzyskać dostęp do danych. Uznała też, że celem ataku nie było zdobycie danych, tylko szantaż. Dlatego uznała, że nie było więc wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Firma (administrator danych) powiadomiła o fakcie osoby, których dane dotyczyły. Zrobiła to jednak w sposób wadliwy, i nie zareagowała na uwagi PUODO.