A Autoridade de Proteção de Dados da Polônia (UODO) multou a American Heart of Poland SA, uma empresa do setor médico, em PLN 1.440.549 (€ 330.000) após uma investigação iniciada por um incidente de violação de dados. O caso envolveu um ataque de ransomware que comprometeu dados pessoais de aproximadamente 21.000 funcionários e pacientes, incluindo informações sensíveis como dados de saúde, números de identificação pessoal (PESEL), números de contas bancárias e credenciais de contas de usuários.

Um grupo de hackers atacou a empresa, obtendo acesso aos drives de rede da empresa e instalando um software de ransomware. Como resultado, diversas categorias de dados pessoais foram expostas, incluindo nomes, endereços, números de documentos de identidade, dados financeiros, e informações de saúde. Os hackers exigiram um resgate de 3 milhões de dólares e chegaram a compartilhar uma amostra dos dados obtidos em um site na Darknet para pressionar a empresa a pagar.

Após o ataque, a empresa notificou o UODO sobre a violação de dados conforme exigido pelo Artigo 33 do GDPR. Durante a investigação, descobriu-se que a falha de segurança foi causada por uma ausência de atualização de software, que continha uma vulnerabilidade explorável. A auditoria ISO da empresa não identificou essa falha e outros problemas, como a má qualidade das senhas e a possibilidade de um ataque de phishing, também foram apontados.

Adicionalmente, foi descoberto que a empresa armazenava dados de saúde em drives de rede, em desacordo com sua própria política, que exigia que esses dados fossem armazenados em locais específicos. Apesar de a empresa ter tomado medidas para lidar com a violação, incluindo a criação de um call center para comunicação com os titulares dos dados, a investigação do UODO encontrou diversas deficiências nos procedimentos de segurança da empresa.

A investigação concluiu que a empresa violou vários artigos do GDPR, incluindo os Artigos 5(1)(f), 5(2), 24(1), 32(1) e 32(2). A UODO determinou que a empresa falhou em avaliar adequadamente os riscos de processamento de dados, não implementou medidas técnicas e organizacionais adequadas e não manteve políticas internas de segurança eficazes. Como resultado, foi aplicada uma multa de PLN 1.440.549 (€ 330.000) e a empresa foi ordenada a alinhar suas operações de processamento de dados com o GDPR, especialmente no que diz respeito à implementação de medidas técnicas e organizacionais apropriadas.

Com informações GDPRHub

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

10 de Setembro, 2024

Empresa do setor médico na Polônia é multada em 330 mil euros por falhas de segurança de dados

Quer ficar por dentro das ultimas notícias na área?

Posts recentes