Kara od UODO
Urząd Ochrony Danych Osobowych (UODO) nałożył karę finansową w wysokości ok. 240 tysięcy złotych na firmę gastronomiczną z Podkarpacia za utratę pendrive’a. Prezes UODO ustalił, że firma w sposób nieprawidłowy przeprowadziła analizę ryzyka, w której nie przewidziano zagrożenia polegającego na utracie nośnika. O naruszeniu firma samodzielnie zawiadomiła PUODO.
Pracownik firmy gastronomicznej zgubił pendrive’a, na którym znajdowały się szyfrowane jak i niezaszyfrowane pliki z danymi finansowymi. W niezaszyfrowanych plikach znajdowały się takie dane jak imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Firma wykazała, że przeprowadzała monitorowanie procedur RODO, jak również posiadała rejestr ryzyka. Organizacja informowała swoich pracowników w filmie instruktażowym o tym w jaki sposób można szyfrować pliki. A to, jak zauważył organ nadzorczy przerzucało na nich odpowiedzialność za sposób przetwarzania danych osobowych, a sam film instruktażowy nie był wystarczający jak zaznaczył organ nadzorczy.
W czym tkwił problem:
- Prezes UODO stwierdził, że firma gastronomiczna w sposób nieprawidłowy oceniła ryzyko dla danych osobowych. Organizacja nie wzięła pod uwagę tego, że nośnik danych można po prostu zgubić bez złych intencji. W przekazanej analizie zostało wskazane jedynie zagrożenie związane z włamaniem i kradzieżą, jednakże należy zaznaczyć, że są to zagrożenia związane z czynnym działaniem osób trzecich mających na celu wyjęcie rzeczy spod władztwa właściciela w celu przywłaszczenia, natomiast zgodnie z semantycznym znaczeniem słowa „zgubić” oznacza zostawienie czegoś, gdzieś bezwiednie lub przez nieuwagę;
- Firma nie dokonywała regularnego testowania i oceny skuteczności zastosowanych środków bezpieczeństwa;
- Nie wdrożono rozwiązań kryptograficznych w celu ochrony danych osobowych na nośnikach zewnętrznych.
Komentarz AURACO:
Warto podkreślić, że w przypadku zgłaszania naruszeń współpraca z organem nadzorczym jest niezwykle ważna, gdyby firma nie poinformowała o zdarzeniu i nie współpracowała z PUODO, to kara byłaby znacznie wyższa. W decyzji wskazane jest, że w ocenie Prezesa UODO, adekwatna i uzasadniona okolicznościami sprawy kara mogłaby wynosić ponad 10.000.000 zł. Przy używaniu zewnętrznych nośników danych, należy pamiętać o zabezpieczeniu nośników danych w każdej sytuacji, nawet jeżeli istnieje zakaz wynoszenia pendrivów z organizacji. Warto pamiętać, o odpowiednim stosowaniu środków organizacyjnych w postaci polityk bądź procedur zawierających informacje na temat zabezpieczenia danych na nośnikach wszelkiego rodzaju.