Prezes UODO wymierzył wójtowi gminy karę 8 tys. zł za naruszenie ochrony danych. Polegało ono na niewdrożeniu środków bezpieczeństwa, które zostały wypracowane na podstawie przeprowadzonej analizy ryzyka. Sprawdzamy szczegóły sprawy.
Wójt gminy zgłosił naruszenie ochrony danych polegające na kradzieży służbowego laptopa z danymi osobowymi. Laptop ten został skradziony z domu jednego z pracowników urzędu gminy. Zagrożone stały się więc dane osobowe znajdujące się na tym sprzęcie.
W toku postępowania Prezes UODO stwierdził nieprawidłowości w działaniu administratora. Wprawdzie administrator przeprowadził analizę ryzyka. W analizie tej odniósł się zaś do zagrożenia zdefiniowanego jako kradzież sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych. Zagrożenie to ocenił jako nieakceptowalne. Następnie zaś określił zabezpieczenia, które miały być wdrożone w celu jego limitowania ryzyka.
Jednym z takich środków miało być szyfrowanie.
Niestety na tym administrator poprzestał. W rzeczywistości bowiem skradziony komputer był zabezpieczony jedynie hasłem. Nie zastosowano więc na tym sprzęcie innych planowanych środków bezpieczeństwa, w szczególności szyfrowania. Właśnie to stało się przyczyną wymierzenia kary przez Prezesa UODO.
Organ nadzorczy dostrzegł, że administrator wykonał niektóre obowiązki RODO i miał świadomość konieczności wdrożenia środków bezpieczeństwa wybranych na podstawie analizy ryzyka. Wszak z uwagi na:
charakter, zakres, kontekst i cele przetwarzania,
ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze,
administrator musi odpowiednie środki techniczne i organizacyjne, aby zapewnić zgodność przetwarzania z RODO i być w stanie się z tego rozliczyć (art. 24 ust. 1 RODO). Tymczasem ten obowiązek nie został wykonany.
Dopiero po wystąpieniu naruszenia administrator podjął działania następcze mające na celu uniknięcie tego typu incydentów w przyszłości. Wprowadził bowiem szyfrowanie dysków twardych na wszystkich pozostałych laptopach. Było to jednak działanie spóźnione
Na szczęście komputer został odnaleziony i – jak się okazało – nie doszło do naruszenia praw i wolności podmiotów danych. Ustalono bowiem, że od dnia kradzieży nie uruchamiano systemu operacyjnego laptopa. Z tego względu organ nadzorczy ograniczył się do wymierzenia stosunkowo niskiej administracyjnej kary pieniężnej w wysokości 8 tys. zł.
decyzja Prezesa UODO z 2 listopada 2022 r. (DKN.5131.8.2022)
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
