20/06/2023
❗ Kolejna kara UODO ❗ Czego możemy się z niej nauczyć?
Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 10 tyś. zł na Burmistrza Miasta i Gminy W.
🤔 Za co?
Za brak stosowania odpowiednich środków organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych, w tym brak przeprowadzonej analizy ryzyka.
😮 Co się wydarzyło?
Administrator zgłosił naruszenie do organu nadzorczego, które polegało na wykonaniu przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik.
Administrator nie stosował szyfrowania portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik, w związku z tym nie zastosował odpowiednich środków technicznych i organizacyjnych adekwatnych do sytuacji, które mogłyby zapobiec pojawieniu się naruszenia w tym przypadku.
Adekwatność stosowanych środków Administrator mógłby ustalić po przeprowadzeniu analizy ryzyka dla czynności przetwarzania, czego Administrator nie wykonał.
Administrator deklarował, że przeprowadził szkolenia obejmujące swoją tematyką zagadnienia związane z ochroną danych osobowych, jednak nie był w stanie wykazać, że osoba, która doprowadziła do naruszenia ochrony danych osobowych uczestniczyła w tych szkoleniach.
Jakie dane zostały naruszone?
👉 imiona i nazwiska, adresy;
👉 kwoty faktur i sporadycznie numery PESEL oraz numery kont bankowych.
„Na nośniku pojawiają się dane osobowe około 250 osób fizycznych i firm. Dokładna liczba osób jest trudna do oszacowania z uwagi na fakt, iż wiele nazwisk znajdujących się w dokumentach jest powtarzanych, a na samym nośniku przeanalizowano ponad ok. 2100 plików” - fragment decyzji DKN.5131.44.2022
❗ UODO przypomina:
✔️ Wykonuj analizę ryzyka
Administrator Danych Osobowych powinien przeprowadzać analizę ryzyka poszczególnych obszarów działalności w celu badania i obserwowania istniejącego środowiska przetwarzania danych i informacji, a tym samym dobrać adekwatne środki techniczne i organizacyjne wspierające ochronę danych osobowych i zapewniających ich bezpieczeństwo, co może być możliwe po przeprowadzeniu rzetelnej analizy ryzyka
✔️ Powinieneś umieć wykazać zastosowane środki techniczne i organizacyjne
Na mocy RODO, Administrator Danych Osobowych ma obowiązek w razie potrzeby wykazać wdrożone środki techniczne i organizacyjne. Zwracamy uwagę na prowadzenie, przegląd i aktualizację dokumentacji RODO; szkolenia pracowników z zakresu ochrony danych osobowych wraz z poświadczeniami o uczestnictwie czy dokumentowaniu wszelkich zastosowanych środków technicznych i organizacyjnych w przedsiębiorstwie.
✔️ Ochrona danych osobowych to ciągły proces
Wszelkie czynności przetwarzania danych powinny być monitorowane a dostosowanie procesów przetwarzania zgodnie z prawem i dbałość o bezpieczeństwo nie powinno mieć charakteru epizodycznego.