Analiza ryzyka zapobiegnie wyciekowi danych ze służbowego komputera
Pracodawca nie powinien dopuścić do kopiowania danych osobowych ze służbowego komputera na prywatny nośnik pracownika. W takiej sytuacji dość łatwo bowiem o wyciek danych lub uzyskanie dostępu do nich przez nieuprawnioną osobę. Aby temu zapobiec, administrator powinien przeprowadzać analizę ryzyka RODO. Za brak takiej analizy Prezes UODO ukarał burmistrza jednej z gmin. Teraz zaś karę UODO podtrzymał Wojewódzki Sąd Administracyjny w Warszawie.
Kopiowanie danych osobowych ze służbowego komputera na prywatny nośnik niedopuszczalne
Prezes Urzędu Ochrony Danych Osobowych nałożył na Burmistrza Gminy Wronki administracyjną karę pieniężną w kwocie 10 tys. za niezastosowanie odpowiednich środków bezpieczeństwa danych. Uchybienie polegało na nieprzeprowadzeniu analizy ryzyka. Analiza taka, zdaniem Prezesa UODO, pozwoliłaby zapobiec naruszeniu ochrony danych.
Naruszenie polegało z kolei na:
-
skopiowaniu danych osobowych przez pracownika ze służbowego komputera na prywatny pendrive,
-
brak zabezpieczenia tych danych osobowych na nośniku,
-
wejście w posiadanie nośnika przez nieupoważnioną osobę, która w czasie zwolnienia lekarskiego pracownika dostarczyła pendrive do pracodawcy.
Analiza ryzyka pozwoliłaby dobrać odpowiednie środki bezpieczeństwa i uniknąć naruszenia
Jak wskazał Prezes UODO, gdyby administrator uwzględnił w analizie ryzyka możliwość użycia pendrive’a albo innych przenośnych nośników pamięci, wówczas analiza ta dałaby odpowiedź, jakie ryzyka wiążą się z przetwarzaniem danych osobowych np. ryzyko skopiowania danych osobowych z komputera służbowego na prywatny nośnik. Dzięki tak przeprowadzonej analizie administrator mógłby zapewne wdrożyć środki bezpieczeństwa danych adekwatne do poziomu ryzyka wiążącego się z ich przetwarzaniem.
WSA podkreśla znaczenie analizy ryzyka
Od decyzji Prezesa UODO złożona została skarga do Wojewódzkiego Sądu Administracyjnego w Warszawie. Sąd jednak skargę administratora oddalił. Z ustnego uzasadnienia wyroku wynikało, że administrator został słusznie ukarany za nieprzeprowadzenie analizy ryzyka.
WSA podkreślił, że analiza ryzyka powinna być przeprowadzana systematycznie.
-
wyrok Wojewódzkiego Sądu Administracyjnego z dnia 27 lutego 2024 r. II SA/Wa 1404/23
-
uodo.gov.pl
- Czym zajmuje się kancelaria radcowska?
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
