30 tys. zł – to kwota kary, jaką organ nadzorczy nałożył na burmistrza, który w ocenie PUODO nieskutecznie zabezpieczył dane osobowe. Mowa tutaj, o użytkowaniu przestarzałego oprogramowania, bez wsparcia producenta i nie aktualizowaniu bazy wirusów. Według organu, to właśnie doprowadziło do ataku ransomware. Złośliwe oprogramowanie, umieściło w każdym folderze plik tekstowy z żądaniem okupu, a administrator utracił dostępność do przetwarzanych baz danych. Szacuje się, że naruszenie dotknęło danych około 9400 osób. Organ nadzorczy zarzucił administratorowi Urzędu Miejskiego m.in. nie zastosowanie odpowiednich środków zabezpieczających dane osobowe oraz nie wykonywanie testów skuteczności wdrożonych środków technicznych i organizacyjnych. Również sposób przeprowadzenia analizy ryzyka, w ocenie organu był nierzetelny; administrator nie wziął pod uwagę wszystkich ryzyk, związanych z przetwarzaniem danych. W związku z powyższym obok nałożenia kary administracyjnej, organ nadzorczy nakazał, aby w ciągu 30 dni od dnia doręczenia decyzji, zastosowano odpowiednie środki zabezpieczające dane osobowe, a ponadto wskazał również na konieczność wywiązania się z obowiązku regularnego testowania, mierzenia i oceniania ich skuteczności. Wymierzając karę, zgodnie z treścią decyzji, wzięto pod uwagę m.in. charakter, wagę i czas trwania naruszenia, jak również jego nieumyślny charakter. Kluczowe znaczenia miała również liczba osób poszkodowanych, a także rozmiar poniesionej przez nie szkody.
Należy pamiętać, że stosowanie oprogramowania, które nie posiada już wsparcia producenta, to podatność, która w znacznym stopniu obniża poziom bezpieczeństwa przetwarzanych danych osobowych, co w konsekwencji bardzo często prowadzi do powstania naruszeń.