Postępowanie UODO wykazało, że prowadząca działalność uzdrowiskową firma U. S.A. dobrała nieskuteczne środki ochrony swoich systemów informatycznych i nie przeprowadzała testów ich podatności na różnego rodzaju zagrożenia. Przedsiębiorstwo testowało jedynie wydajność komponentów oprogramowania, czy odporność systemów na awarie. UODO uważa, że nie były natomiast sprawdzane w pełnym zakresie zabezpieczenia techniczne i organizacyjne systemów, w których przetwarzano dane osobowe.
- Administrator dysponował przestarzałymi systemami operacyjnymi i innym oprogramowaniem, które nie było aktualizowane, gdyż producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego. W efekcie nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach - stwierdził Urząd.
Te zaniedbania doprowadzić miały do fatalnego w skutkach incydentu: złośliwe oprogramowanie szyfrujące „Devos” dezaktywowało ochronę antywirusową, co skutkowało uniemożliwieniem zadziałania mechanizmów bezpieczeństwa systemów operacyjnych. Infekcja miała miejsce w godzinach nocnych, a nieprawidłowości stwierdzono dopiero w godzinach porannych (ze względu na to, że uzdrowisko nie funkcjonowało w związku z pandemią — również dział IT działał z okrojoną obsadą). Spółka utraciła dostęp do danych osobowych, które gromadziła. Nie doszło jednak do naruszenia "atrybutu poufności" danych osobowych, czyli ich wycieku.
W ocenie UODO incydent nie spowodował więc wysokiego ryzyka dla osób, których dane przetwarzała firma U. S.A. Nie było też innych negatywnych konsekwencji związanych z brakiem dostępu do tych danych, gdyż cały incydent wydarzył się w okresie, w którym z uwagi na stan zagrożenia epidemicznego podmiot uzdrowiskowy i tak nie prowadził swojej działalności.
- Obowiązkiem każdego administratora jest nie tylko regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanym danym - wskazał organ nadzorczy. Zaznaczył też, że czynności te powinny być także dokumentowane, zgodnie z zasadą rozliczalności wynikającą z RODO.
