Polonya’da American Heart of Poland S.A. adlı sağlık şirketi 330.000 Euro para cezasına çarptırılmıştır. 2024 yılının mayıs ayında Polonya Kişisel Verileri Koruma Ofisi tarafından verilen nihai kararda şirketin bilgi teknolojileri altyapısının siber saldırıya uğradığı ve yaklaşık 21.000 kişinin kişisel verilerinin ele geçirildiği belirtilmiştir. Veri güvenliğine yönelik risklerin yeterince değerlendirilmediği ve pandemi döneminde veri koruma politikalarına uyulmadığı belirlenmiştir.

Saldırganlar, hastaların ve çalışanların ad, soyad, doğum tarihi, sağlık verisi, banka hesap bilgisi, PESEL numarası, kimlik numarası gibi birçok verisine erişmiştir. Şirketin, veri güvenliğini sağlamak için gerekli önlemleri almadığı, ayrıca kendi güvenlik protokollerine uymadığı tespit edilmiştir. COVID-19 test sonuçlarının yanlış sistemde saklanması ve bulut platformundaki yetersiz güvenlik önlemleri, saldırganların sisteme sızmasına olanak sağlamıştır. Ayrıca, şirketin oltalama (phishing) saldırılarına karşı da yeterince korunmadığı, bilgisayar korsanlarının bu tür saldırılar ile sisteme girdiği anlaşılmıştır. Kişisel Verileri Koruma Ofisi, şirketin veri işleme süreçlerinde gerçek tehditleri doğru şekilde analiz etmediğini ve risk analizlerinin sadece formalite amaçlı yapıldığını belirtmiştir.

Sonuç olarak, şirketin AB Genel Veri Koruma Tüzüğü’nün 5, 24 ve 32. maddelerini ihlal ettiği belirlenmiş ve 330.000 Euro para cezası uygulanmıştır. Ayrıca veri işleme faaliyetlerini GDPR ile uyumlu hale getirmek için gerekli düzeltici adımları atması da şirketten talep edilmiştir.