Pracownik jednej z firm gastronomicznych zgubił pendrive, na którym znajdowały się niezaszyfrowane dane osobowe innego pracownika. W ocenie Prezesa UODO zagrożenie wiążące się z naruszeniem można było zminimalizować. Zabrakło jednak odpowiedniej analizy ryzyka i wdrożenia adekwatnych środków bezpieczeństwa, a mianowicie szyfrowania danych. Więcej o najnowszej karze UODO dowiesz się z artykułu.
Do utraty danych osobowych doszło w wyniku zgubienia pendrive zawierającego te dane przez jednego pracowników. Jak ustalił Prezes UODO, na nośniku znajdowały się niezaszyfrowane pliki, które zawierały dane osobowe innego pracownika, a mianowicie:
imię i nazwisko,
adres,
obywatelstwo,
płeć,
data urodzenia,
PESEL
seria i numer paszportu,
numer telefonu,
adres e-mail,
zdjęcia,
dane dotyczące wysokości zarobków.
Firma w trakcie postępowania przedstawiła swoją dokumentację: rejestr ryzyka i potwierdzenie przeprowadzania monitorowania procedur RODO. Zabrakło jednak uregulowania zasad korzystania z nośników danych takich jak pendrive.
Wprawdzie firma wskazywała pracownikom, jak szyfrować pliki (na filmie instruktażowym), jednak w ocenie organu nadzorczego było to niewystarczające. Prezes UODO wskazał, że z uwagi na szeroki zakres danych przetwarzanych na zewnętrznych nośnikach należało tu wdrożyć stosowne rozwiązania kryptograficzne.
Naruszenie to było konsekwencją niewłaściwej analizy ryzyka. Firma pominęła bowiem ryzyko zgubienia nośnika przez pracownika. Administratorowi zarzucono także niedopełnienie obowiązku regularnego mierzenia, testowania i oceniania skuteczności stosowanych środków bezpieczeństwa danych.
Karę wymierzono nie tyle za samo zgubienie nośnika z danymi osobowymi (jest to bowiem zdarzenie losowe), lecz za nieodpowiednie zabezpieczenie danych osobowych na wypadek takiego wycieku.
To wszystko złożyło się na dość wysoką administracyjną karę pieniężną w kwocie 238 345 zł. Kwota była związana z wysokimi obrotami firmy. Przy czym w wymiarze kary uwzględniono pozytywnie ocenioną współpracę z organem nadzorczym w toku postępowania. Poza tym firmie nakazano dostosowanie operacji przetwarzania poprzez wdrożenie adekwatnych środków bezpieczeństwa danych.
Nie jest to niestety pierwszy przypadek, w którym zgubienie danych osobowych kończy się karą UODO. Przeczytaj także:
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
