Pracownik firmy gastronomicznej Res–Gastro M. Gaweł Sp. k. z Kolbuszowej na Podkarpaciu, zgubił pendrive’a z danymi osobowymi. Sprawę zgłosiło samo przedsiębiorstwo. Urząd Ochrony Danych Osobowych (UODO) wyjaśnia, dlaczego kara była tak wysoka, i z jakiego powodu należy uznać, że i tak okazała się niezwykle niska.
Jakie czynniki wpływają na ostateczny wymiar kary, jeśli firma zgubi wrażliwe dane?
Sprawę zgubienia pendrive'a zgłosiło samo Res–Gastro M. Gaweł Sp. k. Co więcej, w czasie postępowania firma współpracowała z Prezesem UODO, co – jak się okazuje – miało istotny wpływ na ostateczny wymiar kary. Według UODO, gdyby nie to, byłaby znacznie wyższa niż 238 345 zł. Dlaczego?
Wysokość kary przewidzianej za zgubienie nośnika danych, które powinny być chronione, ustala się, biorąc pod uwagę szereg czynników. Wśród nich znajdują się: poziom zagrożenia dla podmiotów, których dane wyciekły, ilość oraz rodzaj zaniechań, jakich dopuścił się podmiot, reakcja firmy po utracie danych, chęć współpracy z urzędnikami po zdarzeniu, ale też wysokość obrotów firmy.
Lepiej nie pozostawiać danych niezaszyfrowanych. Instrukcja, jak to robić, to za mało
Pracownik firmy Res–Gastro M. Gaweł Sp. k. zgubił pendrive’a, na którym znajdowały się niezaszyfrowane pliki zawierające dane osobowe innego pracownika: imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Na pendrive’ie znajdowały się też zaszyfrowane pliki z danymi finansowymi.
W toku postępowania firma wykazała, że posiadała dokumenty takie jak rejestr ryzyka czy potwierdzenia przeprowadzania monitorowania procedur RODO – wynika z komunikatu przesłanego przez UODO.
Problemem okazały się jednak zasady korzystania z zewnętrznych nośników danych, w tym ich szyfrowanie. O tym, jak szyfrować pliki, firma informowała pracowników na filmie instruktażowym. A to, jak zauważył UODO, przerzucało na nich odpowiedzialność za sposób przetwarzania danych.
Przedsiębiorca musi właściwie ocenić ryzyko związane z danymi osobowymi
Prezes UODO ustalił, że przedsiębiorstwo źle oceniło ryzyko. Firma wzięła pod uwagę tylko to, że nośniki danych mogą być skradzione albo zniszczone. Ewentualne zgubienie nośnika pominięto.
Co więcej, pomimo założenia, że mogą wystąpić różne zdarzenia, firma nie wdrożyła rozwiązań kryptograficznych dla ochrony danych osobowych na zewnętrznych nośnikach. Film szkoleniowy: „w jaki sposób szyfrować pliki na pendrive oraz jakiego programu do tego celu użyć” to za mało wobec zakresu danych przetwarzanych na takich nośnikach – twierdzi UODO.
Kolejny problem, który wskazali urzędnicy, polegał na tym, że przedsiębiorstwo nie dopełnił obowiązku regularnego mierzenia, testowania i oceniania skuteczności zastosowanych środków bezpieczeństwa.
Źródło: UODO
