Informujemy, że decyzją z dnia 29 kwietnia 2024 r. Prezes Urzędu Ochrony Danych Osobowych nałożył 238 345 zł. kary na jedną z firm, której pracownik zgubił pendrive z danymi osobowymi. W stanie faktycznym sprawy, pracownik firmy gastronomicznej zgubił pendrive’a z danymi osobowymi. Prezes UODO ustalił, że sposób przetwarzania danych osobowych w tej firmie był niezgodny z obowiązującymi przepisami RODO, ze względu na niepoprawnie przeprowadzoną analizę ryzyka, która nie przewidziała zagrożenia polegającego na zagubieniu nośnika danych. W efekcie nie zastosowano odpowiednich środków organizacyjnych i technicznych, aby zapewnić bezpieczne przetwarzanie danych.
O zdarzeniu poinformowała sama firma, a w czasie postępowania współpracowała z Prezesem UODO, co miało istotny wpływ na ostateczny wymiar kary. Gdyby nie to, kara byłaby znacznie wyższa. Wysokość kary jest też m.in. wypadkową dużych obrotów firmy.
Pracownik tej firmy zgubił pendrive’a, na którym znajdowały się niezaszyfrowane pliki zawierające dane osobowe innego pracownika, a mianowicie imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Na pendrive’ie znajdowały się też zaszyfrowane pliki z danymi finansowymi.
W toku postępowania firma wykazała, że posiadała dokumenty takie jak rejestr ryzyka czy potwierdzenia przeprowadzania monitorowania procedur RODO. Problemem okazały się jednak zasady korzystania z zewnętrznych nośników danych, w tym ich szyfrowanie. O tym, jak szyfrować pliki, firma informowała pracowników na filmie instruktażowym. A to, jak zauważył PUODO, przerzucało na nich odpowiedzialność za sposób przetwarzania danych.
Prezes UODO ustalił, że firma źle oceniła ryzyko dla danych. Założono, że nośniki danych mogą być skradzione albo zniszczone – nie wzięto jednak pod uwagę tego, że nośnik można po prostu zgubić bez złych intencji.
Do tego, pomimo zakładania wystąpienia różnych zdarzeń, nie wdrożono rozwiązań kryptograficznych dla ochrony danych osobowych na zewnętrznych nośnikach. Film instruktażowy „w jaki sposób szyfrować pliki na pendrive oraz jakiego programu do tego celu użyć” to za mało wobec zakresu danych przetwarzanych na takich nośnikach. Kolejny problem polegał na tym, że firma nie dopełniła obowiązku regularnego mierzenia, testowania i oceniania skuteczności zastosowanych środków bezpieczeństwa.
Na kanwie powyższej decyzji PUODO, rekomendujemy przejrzenie przeprowadzonej
w Państwa spółce analizy ryzyka pod kątem uwzględnienia w niej ryzyka związanego z utratą nośników danych (takich jak pendrive czy laptop) oraz przeglądu wszelkich procedur i zasad użytkowania takiego sprzętu i stosowanych zabezpieczeń, w tym korzystania z tego rodzaju sprzętu i nośników danych poza siedzibą pracodawcy.
W razie potrzeby, służymy pomocą.
Zespół Kancelarii Kulczycki, Puławska s. c.