Niezaszyfrowany pendrive to naruszenie RODO
23 580 zł – tyle wynosi administracyjna kara pieniężna wymierzona Rzecznikowi Dyscyplinarnemu jednej z Izb Adwokackich. To kolejny już przypadek zgubienia pendrive’a, który kończy się karą za naruszenie RODO. Sprawdź, za co konkretnie ukarano administratora.
Kolejny przypadek zgubienia pendrive’a z danymi osobowymi
W sprawie doszło do zagubienia nośnika z danymi osobowymi należącymi do 8 osób, takimi jak imiona i nazwiska, relacje stron i informacje dotyczące życia rodzinnego. Zawierał on nagranie rozprawy rozwodowej. Nośnik ten stanowił załącznik do pisma procesowego w postępowaniu dyscyplinarnego wysyłanego do obrońcy obwinionego. Korespondencja nie dotarła jednak w całości – brakowało bowiem wspomnianego nośnika z danymi. Zdarzenie zostało zgłoszone do Prezesa UODO.
To nie pierwszy przypadek zgubienia nośnika z danymi osobowymi. Przeczytaj także:
Administrator przeprowadzić analizę ryzyka, ale wyciągnął niewłaściwe wnioski
Rozpoznając sprawę, Prezes UODO wskazał, że status administratora danych osobowych w tej sprawie posiadał rzecznik dyscyplinarny Izby Adwokackiej. Administratorowi temu zarzucono niewdrożenie środków bezpieczeństwa adekwatnych do poziomu ryzyka wiążącego się z przetwarzanymi danymi osobowymi. Wybór tych środków należało zaś poprzedzić analizą ryzyka. W toku postępowania rzecznik dyscyplinarny przedstawił prawdzie procedurę analizy ryzyka wraz z arkuszem dotyczącym „awarii, kradzieży lub zagubienia nośników danych”. Dokumenty te wzbudziły jednak wątpliwości organu nadzorczego.
Niewłaściwa analiza ryzyka i źle dobrane środki bezpieczeństwa
Przede wszystkim dla wskazanej kategorii ryzyka określono poziom 1 czyli „ryzyko akceptowalne, nie wymagające dalszego postępowania (podjęcia środków minimalizujących)”. Poza tym dla tej kategorii wdrożono zabezpieczenie jedynie w postaci tworzenia kopii zapasowych. Kopie te zabezpieczają dane osobowe np. na wypadek zniszczenia nośnika, ale już nie w przypadku jego kradzieży czy po prostu zgubienia. Istnieje wtedy poważne zagrożenie, że dane te trafią do osoby nieuprawnionej, a administrator w żaden sposób tego zagrożenia nie zredukował.
Kopie zapasowe to rozwiązanie minimalizujące ryzyko utraty dostępu do danych osobowych, ale nie ich przejęcia przez nieuprawnione osoby.
Zaniechano zaś takich rozwiązań jak np. szyfrowanie plików z danymi osobowymi.
Administrator musi wdrożyć odpowiednie zabezpieczenia
Organ nadzorczy uznał więc, że przyjęty środek bezpieczeństwa nie jest adekwatny do poziomu ryzyka wiążącego się z wysyłką pendrive’a z danymi osobowymi. W konsekwencji Prezes UODO poza wymierzeniem administracyjnej kary pieniężnej w wysokości 23 580 zł, nakazał rzecznikowi dyscyplinarnemu dostosowanie operacji przetwarzania poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych w celu:
-
zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych za pomocą zewnętrznych nośników danych,
-
zapewnienia regularnego testowania, mierzenia i oceniania skuteczności tych środków.
Ukarany administrator na 6 miesięcy na wykonanie decyzji Prezesa UODO.
-
decyzja Prezesa UODO z 20 kwietnia 2023 r. (DKN.5131.31.2022)
- Analiza ryzyka zapobiegnie wyciekowi danych ze służbowego komputera
- Regulamin Portalu PoradyODO.pl - obowiązuje od 01.01.2021 r.
- Minister Zdrowia odwołany po ujawnieniu treści recepty na Twitterze
- Kara dla burmistrza za brak zabezpieczenia danych osobowych
- Jak może wyglądać wzór rejestru upoważnień do przetwarzania danych
- Wypowiedzenie stosunku pracy – z poszanowaniem RODO
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
