240 tysięcy złotych kary na gruncie RODO za zgubienie firmowego pendrive przez pracownika? Tak, to jest możliwe!
W dniu 29 kwietnia 2024 r. Prezes UODO nałożył na firmę gastronomiczną Res-Gastro M. Gaweł Sp. k. z Kolbuszowej na Podkarpaciu Res-Gastro karę finansową w wysokości 238 345 zł za niezgodny z przepisami RODO sposób przetwarzania danych osobowych, tj. niepoprawnie przeprowadzoną analizę ryzyka, która nie przewidziała zagrożenia polegającego na zagubieniu nośnika danych. Powyższe skutkowało brakiem zastosowania odpowiednich środków organizacyjnych i technicznych, aby zapewnić bezpieczne przetwarzanie danych.
Tłem ww. decyzji było naruszenie bezpieczeństwa danych osobowych przez pracownika, który zgubił firmowego pendrive’a, na którym znajdowały się niezaszyfrowane pliki zawierające dane osobowe innego pracownika, a mianowicie imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Na pendrive’ie znajdowały się też zaszyfrowane pliki z danymi finansowymi. O zdarzeniu poinformowała sama firma, a w czasie postępowania współpracowała z Prezesem UODO, co miało istotny wpływ na ostateczny wymiar kary. Gdyby nie to, kara byłaby znacznie wyższa. Wysokość kary jest też m.in. wypadkową dużych obrotów firmy.
Szyfrowanie zewnętrznych nośników danych osobowych kluczowe
Pomimo posiadania rejestru ryzyka czy potwierdzenia przeprowadzania monitorowania procedur RODO dla Res-Gastro problemem okazały się zasady korzystania z zewnętrznych nośników danych, w tym ich szyfrowanie. O tym, jak szyfrować pliki, firma informowała pracowników na filmie instruktażowym. A to, jak zauważył Prezes UODO, przerzucało na nich odpowiedzialność za sposób przetwarzania danych i na gruncie spełnienia wymogów nałożonych przez przepisy RODO było niewystarczające. Pracownicy muszą być świadomi obowiązujących procedur oraz mają umieć zastosować je w praktyce.
Analiza ryzyka musi być weryfikowana i testowana
Ponadto prezes UODO wskazał, że zarządzanie ryzykiem (przeprowadzenie analizy ryzyka i na tej podstawie wdrożenie odpowiednich zabezpieczeń) jest jednym z podstawowych elementów systemu ochrony danych osobowych i ma charakter ciągłego procesu. Tym samym musi następować okresowa weryfikacja zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń – Administrator danych powinien zatem regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Opisana powyżej okresowa weryfikacja dotyczy również dokumentacji o charakterze organizacyjnym, a więc m.in. procedur określających zasady przetwarzania danych osobowych, w tym przy użyciu zewnętrznych nośników danych (pendrive). Jak podkreślił prezes UODO za realizację obowiązku określonego w art. 32 ust. 1 lit. d) rozporządzenia RODO nie spełni posiadanie odpowiedniej dokumentacji, gdyż skuteczność posiadanej dokumentacji ma być sprawdzana i weryfikowana, a pracownicy znać obowiązujące procedury.
W Twojej firmie nie ustanowiono zasad korzystania z zewnętrznych nośników danych lub nie przeprowadzono analizy ryzyka? Skontaktuj się z nami! Pomożemy Ci wdrożyć odpowiednie środki ochrony zewnętrznych nośników, przeszkolimy Twoich pracowników oraz przygotujemy odpowiednią dokumentację dotyczącą analizy ryzyka.