Kara dla burmistrza za brak zabezpieczenia danych osobowych
Karę 10 tys. zł wymierzył Prezes Urzędu Ochrony Danych Osobowych burmistrzowi jednej z gmin, który nie przeprowadził analizy ryzyka i nie wdrożył właściwych zabezpieczeń danych osobowych. W konsekwencji w ocenie UODO doszło do nieuprawnionego kopiowania danych przez pracownika gminy.
Pracownik kopiuje dane osobowe na prywatny nośnik
Jeden z pracowników gminy skopiował dane osobowe z komputera służbowego na prywatny nośnik. Skopiowane zostały następujące dane osobowe:
-
imiona i nazwiska,
-
data urodzenia,
-
numer rachunku bankowego,
-
adres zamieszkania lub pobytu,
-
PESEL,
-
informacje o rozliczeniach opłat za czynsze, wodę, ścieki, energię elektryczną, najem lokali.
UODO: burmistrz powinien uniemożliwić nieuprawnione kopiowanie danych przez pracowników
Zdarzenie to zgłoszono do Prezesa UODO jako naruszenie ochrony danych. Organ nadzorczy uznał, że administrator winien był wprowadzić zabezpieczenia uniemożliwiające takie kopiowanie. Jakie konkretnie? Odpowiedź na to pytania powinna była dać analiza ryzyka, której administrator nie przeprowadził. Analiza ta pozwoliłaby wskazać, jakie są zagrożenia związane z kopiowaniem danych osobowych na prywatne nośniki danych przez nieuprawnione osoby.
W ocenie UODO zabezpieczeniem przed nieuprawnionym kopiowaniem danych osobowych na zewnętrzny nośnik może być np. szyfrowanie portów.
Administrator nie wykazał, czy przeszkolił pracownika
W toku postępowania okazało się, że administrator przeprowadził dla swoich pracowników szkolenia dotyczące ochrony danych osobowych. Niemniej jednak nie wykazał, że osoba, która doprowadziła do naruszenia ochrony danych osobowych, uczestniczyła w tych szkoleniach.
Administratorowi zarzucono też brak systematycznego monitorowania adekwatności, jak i skuteczności zabezpieczeń danych osobowych.
Wszystkie te naruszenia złożyły się na karę w wysokości 10 tys. zł.
Przeczytaj także: Pendrive z danymi osobowymi bez odpowiednich zabezpieczeń
-
decyzja Prezesa UODO z 9 maja 2023 r. DKN.5131.44.2022
- Duży wyciek danych na chińskiej platformie sprzedażowej
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- Upoważnienie do przetwarzania danych osobowych czy oświadczenie o poufności
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
