Niedawny wyrok Naczelnego Sądu Administracyjnego* (NSA) potwierdził, że to na administratorze danych spoczywa pełna odpowiedzialność za ochronę danych osobowych – nie może on przerzucać tego obowiązku na swoich pracowników. W związku z tym, małe i średnie przedsiębiorstwa (MŚP), które często nie posiadają zasobów ani wiedzy, aby skutecznie zarządzać bezpieczeństwem danych, muszą zwrócić szczególną uwagę na wdrażanie odpowiednich zabezpieczeń technicznych. Ten wyrok daje do myślenia i pokazuje, że nawet niewielkie uchybienia mogą prowadzić do poważnych konsekwencji dla firmy – zarówno finansowych, jak i wizerunkowych.
Przykład z życia – zgubienie pendrive przez pracownika Sądu Rejonowego w Zgierzu
W lutym 2020 r. w Zgierzu doszło do incydentu ochrony danych osobowych – kurator sądowy zgubił pendrive’a z niezaszyfrowanymi danymi osobowymi aż 400 osób. Na urządzeniu znalazły się dane szczególnie chronione, takie jak numery PESEL, adresy, informacje o zarobkach, a nawet wyroki skazujące. Mimo że Prezes Sądu Rejonowego zgłosił incydent do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) i powiadomił osoby poszkodowane, PUODO uznał, że Administrator nie wypełnił tego obowiązku powiadomienia osób poszkodowanych prawidłowo: nie poinformował odpowiednio o możliwych konsekwencji naruszenia ochrony danych osobowych oraz o tym, co zrobił Administrator, by zminimalizować skutki naruszenia. Równocześnie okazało się, że Administrator ograniczył się do szkolenia pracowników i procedur, ale nie wprowadził odpowiednich zabezpieczeń technicznych, takich jak szyfrowanie nośników danych. Zamiast tego, odpowiedzialność za ich bezpieczeństwo została przeniesiona na samych pracowników.
Sprawa trawiła aż przed NSA, który podkreślił, że kluczowym problemem w tej sprawie była nieadekwatne wdrożenie środków bezpieczeństwa do wykonanej przez Administratora analizy ryzyka. Administrator danych wiedział, że istnieje ryzyko utraty danych, ale pomimo tego nie zainwestował w szyfrowane nośniki pamięci, które zminimalizowałoby ryzyko naruszenia zasad poufności danych osobowych.
Wnioski dla małych i średnich przedsiębiorców? Odpowiednia analiza ryzyka i wdrożenie technicznych zabezpieczeń to podstawa. Nie można polegać wyłącznie na procedurach organizacyjnych czy przeszkoleniu personelu. Praktyki takie jak szyfrowanie danych, ewidencjonowanie nośników czy regularne audyty mogą uchronić Twoją firmę przed karami i utratą reputacji.
Jakie działania powinna podjąć Twoja firma?
Dzięki wyrokowi NSA można wyciągnąć jasne wnioski, które są szczególnie ważne dla MŚP. Oto kilka kluczowych kroków, jakie warto rozważyć w celu ochrony danych osobowych:
- Przeprowadzenie analizy ryzyka – Weryfikacja, jakie dane przetwarza Twoja firma i jakie zagrożenia mogą się z tym wiązać.
- Wdrożenie zabezpieczeń technicznych – Takich jak szyfrowanie danych, kontrola dostępu, a także regularne sprawdzanie nośników.
- Ciągłe szkolenie personelu – Szkolenia to dobry start, ale muszą być regularnie powtarzane i połączone z odpowiednimi narzędziami technicznymi.
- Audyt wewnętrzny – Przeprowadzenie audytu zgodności z RODO może pomóc w zidentyfikowaniu potencjalnych luk w zabezpieczeniach.
Nie czekaj, aż będzie za późno! Ochrona danych osobowych w Twojej firmie to nie tylko kwestia zgodności z przepisami, ale również ochrona przed stratami finansowymi i utratą wizerunku. Jeśli masz wątpliwości, czy Twoje zabezpieczenia są wystarczające, skontaktuj się z nami! Pomożemy Ci przeprowadzić kompleksową analizę ryzyka, wdrożyć odpowiednie zabezpieczenia oraz zapewnić pełną zgodność z przepisami RODO. Nie zostawiaj bezpieczeństwa danych w rękach przypadkowych rozwiązań – chroń swoją firmę!
*Wyrok NSA w sprawie o sygn. akt III OSK 2654/22 dot. skargi kasacyjnej Prezesa Sądu Rejonowego w Zgierzu od wyroku WSA w Warszawie z dnia 15 lutego 2022 r., sygn. akt II SA/Wa 3309//21.