Kara mogła być znacznie wyższa. Pendrive zawierał dane osobowe i został zgubiony przez pracownika firmy z południa Polski.
Zaginiony nośnik danych zawierał dane osobowe innego pracownika tej samej firmy. Były to imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Ponadto były tam także pliki informacjami finansowymi z wewnątrz firmy. Dane niestety nie były zaszyfrowane, więc mamy do czynienia z naruszeniem RODO i potencjalnie zagrożeniem osoby poszkodowanej, jeśli ktoś ten pendrive znalazł.
Pendrive z danymi osobowymi należał do firmy Res-Gastro M. Gaweł Sp. k. z Kolbuszowej – miejscowości niedaleko Rzeszowa. Firma nie zamiotła sprawy pod dywan i sama zgłosiła incydent do Urzędu Ochrony Danych Osobowych. Ponadto spółka współpracowała z UODO w czasie postępowania. Kara za takie naruszenia ustalana jest w zależności od obrotów firmy i tu mogła być znacznie wyższa. Jednak została złagodzona dzięki wzorowej postawie pozostałych pracowników. Skończyło się na 240 tysiącach złotych.
Zobacz: Poczta Polska na potęgę gubi przesyłki. Jest reakcja UODO
Postępowanie wykazało, że firma była nieźle przygotowana do ochrony danych osobowych. Miała przygotowane takie dokumenty jak rejestr ryzyka i potwierdzenia monitorowania procedur wymaganych przez RODO. Znalazła się jednak poważna luka w zasadach korzystania z zewnętrznych nośników. Pracownicy byli szkoleni z tego, jak samodzielnie szyfrować nośniki danych, więc to oni ponosili część odpowiedzialności za sposób przetwarzania danych.
Był jeszcze jeden problem. Firma źle oceniła ryzyko. W komunikacie UODO można przeczytać:
Założono, że nośniki danych mogą być skradzione albo zniszczone – nie wzięto jednak pod uwagę tego, że nośnik można po prostu zgubić bez złych intencji.
Mimo wszystko, skoro firma przygotowywała się na utratę nośników w różnych okolicznościach, nie zostały wdrożone odpowiednie narzędzia kryptograficzne. Jeśli już dane osobowe muszą trafić na pendrive, najlepiej by były szyfrowane automatycznie (na przykład BitLockerem). Tymczasem pracownicy firmy dostali tylko film pokazujący, jak powinni zaszyfrować pliki samodzielnie. Wiele firm decyduje się, by w ogóle nie używać wymiennych dysków USB i blokuje porty w firmowych komputerach.
Prezes UODO uznał, że to za mało wobec zakresu przetwarzanych danych. Ktoś z pracowników nie dopełnił tego obowiązku, być może pracując w pośpiechu, zanim nośnik przepadł. Ponadto firma nie dopełniła obowiązku regularnego testowania i oceny skuteczności zastosowanych środków bezpieczeństwa.
Wszystkie szczegóły można znaleźć w decyzji UODO DKN.5131.29.2023, wydanej 29 kwietnia 2024 w Warszawie. Poza karą pieniężną spółka będzie musiała również uszczelnić swoje procedury, by były w pełni zgodne z przepisami RODO.
Źródło zdjęć: Pheelings media / Shutterstock
Źródło tekstu: UODO