W dniu 11 stycznia 2021 r. Prezes Urzędu Ochrony Danych Osobowych wydał decyzję stwierdzającą naruszenie przez badany podmiot przepisów RODO, polegające w szczególności na doborze nieskutecznych zabezpieczeń systemu informatycznego oraz braku odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, które doprowadziło do utraty dostępu do danych osobowych w wyniku ataku złośliwego oprogramowania.
Uwzględniając jednak charakter oraz okoliczności naruszenia (m.in. nie doszło do naruszenia atrybutu poufności danych osobowych; osoby, których dotyczyło naruszenie nie poniosły żadnej szkody; administrator szybko podjął działania naprawcze) organ nadzoru nałożył na podmiot jedynie karę upomnienia.
To, co istotne dla przedsiębiorców znajdujemy w uzasadnieniu decyzji, w którym organ wskazał, iż „obowiązkiem każdego administratora jest nie tylko regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanym danym (…) ale czynności te powinny być także dokumentowane, by realizowana był zasada rozliczalności wynikająca z RODO”. Ponadto, w ocenie Prezesa UODO, takie testowanie winno skutkować uaktualnieniem systemów operacyjnych oraz programów w sytuacji ustalenia nieaktualności oprogramowania, co zminimalizowałoby ryzyko wystąpienia naruszenia, do którego doszło w przedmiotowej sprawie.
Zatem, każdy administrator powinien pamiętać o obowiązku przeprowadzania tzw. planów ciągłości działania i wewnętrznych audytów związanych z ochroną danych osobowych, które powinny być udokumentowane oraz powinny skutkować podjęciem właściwych działań minimalizujących ryzyko wystąpienia naruszenia przepisów RODO.