Sama analiza ryzyka nie wystarczy (kara UODO)
Prezes UODO wymierzył wójtowi gminy karę 8 tys. zł za naruszenie ochrony danych. Polegało ono na niewdrożeniu środków bezpieczeństwa, które zostały wypracowane na podstawie przeprowadzonej analizy ryzyka. Sprawdzamy szczegóły sprawy.
Kradzież laptopa z domu pracownika
Wójt gminy zgłosił naruszenie ochrony danych polegające na kradzieży służbowego laptopa z danymi osobowymi. Laptop ten został skradziony z domu jednego z pracowników urzędu gminy. Zagrożone stały się więc dane osobowe znajdujące się na tym sprzęcie.
Administrator przeprowadził analizę ryzyka i wyciągnął wnioski
W toku postępowania Prezes UODO stwierdził nieprawidłowości w działaniu administratora. Wprawdzie administrator przeprowadził analizę ryzyka. W analizie tej odniósł się zaś do zagrożenia zdefiniowanego jako kradzież sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych. Zagrożenie to ocenił jako nieakceptowalne. Następnie zaś określił zabezpieczenia, które miały być wdrożone w celu jego limitowania ryzyka.
Jednym z takich środków miało być szyfrowanie.
ADO nie wdrożył środków bezpieczeństwa
Niestety na tym administrator poprzestał. W rzeczywistości bowiem skradziony komputer był zabezpieczony jedynie hasłem. Nie zastosowano więc na tym sprzęcie innych planowanych środków bezpieczeństwa, w szczególności szyfrowania. Właśnie to stało się przyczyną wymierzenia kary przez Prezesa UODO.
Działania administratora były spóźnione
Organ nadzorczy dostrzegł, że administrator wykonał niektóre obowiązki RODO i miał świadomość konieczności wdrożenia środków bezpieczeństwa wybranych na podstawie analizy ryzyka. Wszak z uwagi na:
-
charakter, zakres, kontekst i cele przetwarzania,
-
ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze,
administrator musi odpowiednie środki techniczne i organizacyjne, aby zapewnić zgodność przetwarzania z RODO i być w stanie się z tego rozliczyć (art. 24 ust. 1 RODO). Tymczasem ten obowiązek nie został wykonany.
Dopiero po wystąpieniu naruszenia administrator podjął działania następcze mające na celu uniknięcie tego typu incydentów w przyszłości. Wprowadził bowiem szyfrowanie dysków twardych na wszystkich pozostałych laptopach. Było to jednak działanie spóźnione
Ostatecznie nie doszło do wycieku danych
Na szczęście komputer został odnaleziony i – jak się okazało – nie doszło do naruszenia praw i wolności podmiotów danych. Ustalono bowiem, że od dnia kradzieży nie uruchamiano systemu operacyjnego laptopa. Z tego względu organ nadzorczy ograniczył się do wymierzenia stosunkowo niskiej administracyjnej kary pieniężnej w wysokości 8 tys. zł.
-
decyzja Prezesa UODO z 2 listopada 2022 r. (DKN.5131.8.2022)
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
- Kiedy należy sporządzić ocenę skutków dla ochrony danych w związku z wdrożeniem sztucznej inteligencji
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Jak przeprowadzić analizę ryzyka dla danych osobowych w związku z wdrożeniem sztucznej inteligencji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
