System bez wsparcia
W trakcie postępowania ustalono, że system operacyjny, zainstalowany przez administratora na serwerze, w czasie wystąpienia naruszenia ochrony danych osobowych, nie miał wsparcia producenta. Co więcej - administrator jeszcze przed wystąpieniem naruszenia ochrony danych osobowych zidentyfikował ryzyko związane z wykorzystywaniem przestarzałego oprogramowania, jednak i tak go nie aktualizował. Czyli sam nie zastosował się do procedur, których był autorem.
- Jednym z istotnych elementów, które mają wpływ na bezpieczeństwo danych osobowych jest zapewnienie, aby wykorzystywane do przetwarzania danych oprogramowanie posiadało najnowszą wersję udostępnioną przez jego producenta. Takie oprogramowanie posiada wszystkie wydane przez producenta aktualizacje, w tym te dotyczące zabezpieczeń i poprawek działania oprogramowania - przypomina UODO.
Zaszyfrowane na amen
Prowadzone postępowanie wykazało, że dane osobowe przetwarzane u administratora, zostały zaszyfrowane, w wyniku czego nastąpiła utrata dostępności do baz danych administratora.
Obowiązujące w urzędzie zasady tworzenia kopii zapasowych oraz praktyka wykonywania tej kopii nie zapewniały jednak dostępności systemów i usług przetwarzania oraz do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w przypadku zaistniałego naruszenia. Jak ustalono, serwer, na którym miała być wykonana dodatkowa kopia danych uległ awarii, co uniemożliwiło szybkie odtworzenie znajdujących się na nim danych. Administrator odzyskał dane dopiero po prawie trzech miesiącach.
Dezynwoltura w urzędzie
Przyjęte przez administratora środki techniczne mające służyć właściwej ochronie danych osobowych w żaden sposób nie były przez burmistrza testowane, mierzone i oceniane celem weryfikacji ich skuteczności. W trakcie prowadzonego postępowania administrator nie był w stanie wykazać, że zastosowane rozwiązania są wystarczające dla zapewnienia bezpieczeństwa przetwarzanych danych. Nie przedstawił dowodu także na to, że po wystąpieniu naruszenia ochrony danych osobowych dokonuje regularnego testowania.
- Testowanie, mierzenie i ocenianie zastosowanych zabezpieczeń, musi być dokonywane w sposób regularny, nie może mieć charakteru jednorazowego - przypomina UODO.