BLOG

Dowiedz się co jest naprawdę ważne.

Urząd Ochrony Danych Osobowych (UODO) nałożył karę finansową w wysokości ok. 240 tysięcy złotych na firmę gastronomiczną z Podkarpacia za utratę pendrive’a

auraco, rodo, gdpr, uodo, puodo, kara,
UODO nałożył karę ok. 240 tys. zł. na za utratę pendrive’a.

Kara od UODO

Urząd Ochrony Danych Osobowych (UODO) nałożył karę finansową w wysokości ok. 240 tysięcy złotych na firmę gastronomiczną z Podkarpacia za utratę pendrive’a. Prezes UODO ustalił, że firma w sposób nieprawidłowy przeprowadziła analizę ryzyka, w której nie przewidziano zagrożenia polegającego na utracie nośnika. O naruszeniu firma samodzielnie zawiadomiła PUODO.

Pracownik firmy gastronomicznej zgubił pendrive’a, na którym znajdowały się szyfrowane jak i niezaszyfrowane pliki z danymi finansowymi. W niezaszyfrowanych plikach znajdowały się takie dane jak imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Firma wykazała, że przeprowadzała monitorowanie procedur RODO, jak również posiadała rejestr ryzyka. Organizacja informowała swoich pracowników w filmie instruktażowym o tym w jaki sposób można szyfrować pliki. A to, jak zauważył organ nadzorczy przerzucało na nich odpowiedzialność za sposób przetwarzania danych osobowych, a sam film instruktażowy nie był wystarczający jak zaznaczył organ nadzorczy.

 W czym tkwił problem:

  • Prezes UODO stwierdził, że firma gastronomiczna w sposób nieprawidłowy oceniła ryzyko dla danych osobowych. Organizacja nie wzięła pod uwagę tego, że nośnik danych można po prostu zgubić bez złych intencji. W przekazanej analizie zostało wskazane jedynie zagrożenie związane z włamaniem i kradzieżą, jednakże należy zaznaczyć, że są to zagrożenia związane z czynnym działaniem osób trzecich mających na celu wyjęcie rzeczy spod władztwa właściciela w celu przywłaszczenia, natomiast zgodnie z semantycznym znaczeniem słowa „zgubić” oznacza zostawienie czegoś, gdzieś bezwiednie lub przez nieuwagę;
  • Firma nie dokonywała regularnego testowania i oceny skuteczności zastosowanych środków bezpieczeństwa;
  • Nie wdrożono rozwiązań kryptograficznych w celu ochrony danych osobowych na nośnikach zewnętrznych.

Komentarz AURACO:

Warto podkreślić, że w przypadku zgłaszania naruszeń współpraca z organem nadzorczym jest niezwykle ważna, gdyby firma nie poinformowała o zdarzeniu i nie współpracowała z PUODO, to kara byłaby znacznie wyższa. W decyzji wskazane jest, że w ocenie Prezesa UODO, adekwatna i uzasadniona okolicznościami sprawy kara mogłaby wynosić ponad 10.000.000 zł. Przy używaniu zewnętrznych nośników danych, należy pamiętać o zabezpieczeniu nośników danych w każdej sytuacji, nawet jeżeli istnieje zakaz wynoszenia pendrivów z organizacji. Warto pamiętać, o odpowiednim stosowaniu środków organizacyjnych w postaci polityk bądź procedur zawierających informacje na temat zabezpieczenia danych na nośnikach wszelkiego rodzaju.

Źródło:

https://uodo.gov.pl/pl/138/3095