Na stronie Urzędu Rzecznika ds. Informacji (ICO – brytyjski organ nadzorczy ds. ochrony danych osobowych) ukazała się informacja o nałożeniu kary na spółkę Heathrow Airport Limited (HAL). Co ciekawe, źródłem informacji o nieprawidłowościach był przypadek, to jest zgubienie pamięci przenośnej przez jednego z pracowników.

Treść informacji w języku angielskim, której tłumaczenie znajduje się poniżej, jest dostępna tutaj: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/10/heathrow-airport-limited-fined-120-000-for-serious-failings-in-its-data-protection-practices/.

Spółka Heathrow Airport Limited ukarana karą w wysokości 120 tysięcy funtów brytyjskich za poważne braki w działaniach dotyczących ochrony danych.

Brytyjskie Biuro Rzecznika ds. Informacji (ICO) nałożyło karę na spółkę Heathrow Airport Limited (HAL) w wysokości 120 000 funtów brytyjskich za niezapewnienie odpowiedniej ochrony danych osobowych przechowywanych w jej sieci.

16 października 2017 roku, przypadkowa osoba znalazła pamięć USB, która została zgubiona przez pracownika. Pamięć, która zawierała 76 folderów oraz ponad 1000 plików, nie była zaszyfrowana ani chroniona hasłem.

Osoba ta obejrzała materiał, który zawierał pamięć o lokalnej bibliotece.

Chociaż zwykłe oraz wrażliwe dane osobowe stanowiły jedynie małą część całości danych przechowywanych na nośniku, szczególnie istotne było nagranie szkolenia, zawierające dane 10 osób obejmujących nazwiska, daty urodzenia, numery paszportów oraz dane ponad 50 pracowników HAL zajmujących się bezpieczeństwem lotów.

Pamięć została przekazana do ogólnokrajowej gazety, która skopiowała dane zanim zwróciła pamięć spółce HAL.

Dyrektor ds. Postępowań ICO, Pan Steve Eckersley powiedział:

„Ochrona danych powinna znajdować się wysoko na liście priorytetów Heathrow. Jednakże nasze dochodzenie ustaliło szereg braków w standardach korporacyjnych, szkoleniach oraz wizji, które wskazywały na coś przeciwnego.

Ochrona danych jest kwestią zarządu i konieczne jest aby spółka posiadała polityki, procedury oraz szkolenia, w celu minimalizacji podatności informacji osobistych, które zostały im powierzone.”

W ramach postępowania ICO ustaliło, że jedynie 2 procent z 6 500 pracowników zostało przeszkolonych w ochronie danych.

Inne zastrzeżenia w ramach postępowania obejmowały szerokie korzystanie z urządzeń przenośnych co pozostawało w sprzeczności z własnymi politykami oraz wytycznymi HAL, a także zapewnienie nieskutecznych  środków kontroli zapobiegających pobieraniu danych osobowych na nieautoryzowane lub niezaszyfrowane nośniki.

HAL przeprowadziła szereg działań zaradczych po tym gdy została poinformowana
o naruszeniu, co obejmowało zgłoszenie sprawy policji, działania mające na celu powstrzymanie incydentu oraz zatrudnienie specjalisty, będącego stroną trzecią w celu monitorowania Internetu oraz tzw. dark web.

Z uwagi na czas wystąpienia omawianej sprawy, została ona rozpatrzona zgodnie z ustawą o ochronie danych z 1998 r. a nie z ustawą z 2018 roku, która zastąpiła poprzednią ustawę co oznacza, że maksymalne kary również regulowała poprzednia ustawa.

Na stronie ICO znajdują się porady dotyczące bezpieczeństwa systemu informatycznego, praktyczny poradnik w tym zakresie oraz porady dotyczące stosowania prywatnych urządzeń w miejscu pracy.

Są one dostępne (w języku angielskim) w linku poniżej: „IT security top tips, A practical guide to IT security oraz Bring your own device.”

Opracował: Przemysław Sierzputowski