- Prezes UODO uznał więc, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych przez co doszło do naruszenia zasady poufności danych - czytamy w komunikacie.
Spółka zdaniem UODO zbyt długo zwlekała ze sprawdzeniem informacji o tym, że na jednym z jej serwerów dostępne są dane jej klientów. W związku z brakiem reakcji kilka dni po otrzymanym sygnale, osoba nieuprawniona skopiowała dane i usunęła je z serwera, a za zwrot wykradzionych informacji zażądała okupu. - Dopiero wtedy spółka rozpoczęła analizowanie zabezpieczeń na swoich serwerach i jednocześnie zgłosiła naruszenie ochrony danych organowi nadzoru - donosi UODO.
Czytaj także: Ponad 85 tys. zł kary przez wysłanie danych na zły e-mail
Urząd podkreślił, że do naruszenia nie doszłoby, gdyby administrator od razu odpowiednio zareagował na informację o tym, iż dane na jego serwerze są niezabezpieczone. Zdaniem UODO administrator musi mieć zdolność do wykrywania naruszeń, zaradzania im oraz ich zgłaszania – to kluczowy element środków technicznych i organizacyjnych.
W ocenie UODO działania spółki były niewystarczające. - Postępowanie wykazało, że administrator pobieżnie przeanalizował otrzymany sygnał, nie potraktował go z odpowiednią powagą i nie zobligował podmiotu przetwarzającego do należytego zajęcia się sprawą - wyjaśnił UODO.
Urząd poinformował, że z serwisu wyciekły również niezaszyfrowane hasła, co stanowi możliwość posłużenia się tymi danymi do zalogowania się na różnych kontach klientów.
