Postępowanie UODO wykazało, że prowadząca działalność  uzdrowiskową firma U. S.A. dobrała nieskuteczne środki ochrony swoich systemów informatycznych i nie przeprowadzała testów ich podatności na różnego rodzaju zagrożenia. Przedsiębiorstwo testowało jedynie wydajność komponentów oprogramowania, czy odporność systemów na awarie. UODO uważa, że nie były natomiast sprawdzane w pełnym zakresie zabezpieczenia techniczne i organizacyjne systemów, w których przetwarzano dane osobowe.

- Administrator dysponował przestarzałymi systemami operacyjnymi i innym oprogramowaniem, które nie było aktualizowane, gdyż producenci tych rozwiązań nie oferowali już dla nich wsparcia technicznego. W efekcie nie były one aktualizowane m.in. pod kątem zabezpieczeń w tych programach - stwierdził Urząd.

Te zaniedbania doprowadzić miały do fatalnego w skutkach incydentu: złośliwe oprogramowanie szyfrujące „Devos” dezaktywowało ochronę antywirusową, co skutkowało uniemożliwieniem zadziałania mechanizmów bezpieczeństwa systemów operacyjnych. Infekcja miała miejsce w godzinach nocnych, a nieprawidłowości stwierdzono dopiero w godzinach porannych (ze względu na to, że uzdrowisko nie funkcjonowało w związku z pandemią — również dział IT działał z okrojoną obsadą). Spółka utraciła dostęp do danych osobowych, które gromadziła. Nie doszło jednak do naruszenia "atrybutu poufności" danych osobowych, czyli ich wycieku.

W ocenie UODO incydent nie spowodował więc wysokiego ryzyka dla osób, których dane przetwarzała firma U. S.A. Nie było też innych negatywnych konsekwencji związanych z brakiem dostępu do tych danych, gdyż cały incydent wydarzył się w okresie, w którym z uwagi na stan zagrożenia epidemicznego podmiot uzdrowiskowy i tak nie prowadził swojej działalności.

- Obowiązkiem każdego administratora jest nie tylko regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanym danym -  wskazał organ nadzorczy. Zaznaczył też, że czynności te powinny być także dokumentowane, zgodnie z zasadą rozliczalności wynikającą z RODO.

UODO wskazał też, że gdyby zabezpieczenia były odpowiednio testowane, to administrator doszedłby do wniosku, że konieczna jest instalacja nowych systemów operacyjnych i programów, które mają wsparcie producentów i są do nich wydawane aktualizacje dotyczące bezpieczeństwa. Wówczas ryzyko wystąpienia naruszenia zostałoby zminimalizowane. Tymczasem spółka U. zainstalowała nowe systemy operacyjne dopiero po tym incydencie.

Wymierzając spółce jedynie karę upomnienia PUODO wziął pod uwagę nie tylko to, że  osoby, których dotyczyło naruszenie nie poniosły żadnej szkody, ale także fakt, że administrator szybko podjął działania naprawcze.