Pracownik firmy z Kolbuszowej zgubił pendrive, na który wcześniej wgrał wrażliwe dane. Spółka sama zgłosiła incydent do UODO, ale i tak zapłaci 240 tys. zł kary.
Statystycznie niewielu ludzi zdaje sobie sprawę, że w przypadku incydentów związanych z ochroną danych osobowych samodzielne zgłoszenie nie stanowi szczególnej okoliczności łagodzącej. Oczywiście jego brak może pogrążyć przedsiębiorstwo jeszcze bardziej, ale o darowaniu kary w zamian za rachunek sumienia zazwyczaj nie ma mowy.
Przekonuje się o tym właśnie firma Res-Gastro M. Gaweł Sp. k. z Kolbuszowej, prowadząca kilka restauracji McDonald's, której pracownik zgubił pendrive'a z niezaszyfrowanymi danymi innej osoby. Spółka zgodnie z obowiązującą procedurą zgłosiła zdarzenie do UODO. Mimo to zapłaci bagatela 240 tys. zł kary, gdyż prezes urzędu uznał, że po drodze doszło do całego szeregu uchybień.
Jak czytamy, na nośniku znajdowały się: imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Ponadto były też szersze dane finansowe, na szczęście dla firmy jednak zaszyfrowane.
Ale co UODO wypunktował jako krytyczne, to niedociągnięcia natury systemowej. Szkolenie z ochrony danych miało być zorganizowane w formie gotowego wideo, a ryzyka – błędnie ocenione. Zauważono, że w swych materiałach Res-Gastro skupia się wyłącznie na możliwości kradzieży bądź uszkodzenia nośników, całkowicie pomijając kwestię ich zgubienia. Jednocześnie w myśl przedstawionej oceny zabrakło regularnego mierzenia, testowania i oceniania skuteczności zastosowanych środków bezpieczeństwa.
To niewątpliwie poważne zarzuty, ale też, jak dodaje serwis Sekurak, za bardzo srogą uchodzić może naliczona kara. Rzecz jasna, jej wysokość wynika wprost z przychodów firmy, ale zważywszy na zakres incydentu, od którego się wszystko zaczęło, niewątpliwie robi wrażenie.
Sekurak przy okazji przypomina, aby wszelkie wrażliwe dane na pamięciach flash USB szyfrować. A najlepiej w ogóle nie używać prywatnych nośników do przenoszenia danych służbowych. Zauważmy, polityka bezpieczeństwa wielu organizacji zakłada nawet blokowanie portów USB w komputerach pracowników. Inna sprawa, że nie wiemy, czy pechowy pracownik Rea-Gastro w ogóle otrzymał firmowy sprzęt.
Redakcja doda od siebie, abstrahując od firmy z Kolbuszowej, że praca z wrażliwymi danymi na prywatnym sprzęcie niestety nie zawsze wynika z braku dyscypliny. Minimalizując koszty, pracodawcy potrafią zrzucać obowiązek zapewnienia sobie wymaganych urządzeń na pracowników. W takim wypadku trudno o centralne zarządzanie flotą maszyn, więc i procedury związane z bezpieczeństwem są stosowane bardzo wybiórczo.
Źródło zdjęć: Shutterstock
Źródło tekstu: UODO via Sekurak, oprac. własne