Urząd Ochrony Danych Osobowych (UODO) poinformował na swojej stronie internetowej o nałożeniu kary na podmiot zajmujący się działalnością gastronomiczną, za – mówiąc w uproszczeniu – zgubienie niezaszyfrowanego nośnika danych (pendrive), zawierającego dane osobowe. Przewinienia administratora zostały wycenione przez organ nadzorczy na niecałe 240 000 zł. To znaczna kwota, biorąc pod uwagę, że sprawa dotyczy danych osobowych jednej osoby. Sam fakt zgubienia nośnika nie miał jednak znaczącego wpływu na wysokość kary. Wydaje się, że decydująca okazała się nieprawidłowo przeprowadzona analiza ryzyka we wskazanym zakresie.
Zgubiony pendrive
Organ nadzorczy ustalił w toku postępowania, że 19 lipca 2023 r. jeden z pracowników administratora zgubił przenośny nośnik danych (pendrive), na którym znajdowały się niezaszyfrowane pliki z danymi osobowymi innego pracownika ukaranej spółki, obejmujące jego imię, nazwisko, adres, obywatelstwo, płeć, datę urodzenia, numer PESEL, serię i numer paszportu, numer telefonu, adres e-mail, wizerunek oraz informacje o wysokości jego wynagrodzenia. Dodatkowo, pendrive zawierał dane finansowe, które jednak – szczęśliwie dla administratora – były zaszyfrowane. Po kilku dniach od zdarzenia, administrator dokonał zgłoszenia naruszenia ochrony danych do organu nadzorczego.
Morele.net ponownie ukarana. Kara wzrosła do ponad 3,8 miliona złotych!
Rozstrzygnięcie organu nadzorczego
Z decyzji organu nadzorczego wynika, że w toku postępowania administrator przedstawił dokumenty dotyczące przetwarzania danych osobowych, w tym rejestr ryzyka. W ocenie Prezesa UODO problem stanowiły jednak – określone przez administratora – zasady korzystania przez pracowników z zewnętrznych nośników, dotyczące m.in. kwestii szyfrowania danych. Co ciekawe, postępowanie organu nadzorczego wykazało, że ukarana spółka informowała pracowników o sposobach szyfrowania danych osobowych jedynie poprzez przekazanie im filmu instruktażowego. Takie działanie – zdaniem organu nadzorczego – przerzucało odpowiedzialność za właściwe przetwarzanie danych osobowych na samych pracowników. Warto zwrócić uwagę, że regulator przytoczył w decyzji wyrok WSA (wyrok z 15 lutego 2022 r.), w którym sąd oceniał podobną problematykę, tj. kwestię odpowiedniego zabezpieczenia nośników danych. Dodatkowo, Prezes UODO podkreślił w swoim rozstrzygnięciu, że administrator nie podjął we wskazanym zakresie żadnych działań mających na celu zastosowanie odpowiednich środków technicznych mających na celu odpowiednie zabezpieczenie danych osobowych.
Reklama_przejecie_obowiązków IOD
Administrator źle ocenił ryzyko
Organ nadzorczy zarzucił administratorowi, że ten źle ocenił ryzyko związane z przetwarzaniem danych osobowych. Co prawda, ukarana spółka przewidziała, że przenośne nośniki danych mogą zostać skradzione lub zniszczone, niemniej nie uwzględniła ona potencjalnej możliwości ich przypadkowego zgubienia. Co ważniejsze – w ocenie Prezesa UODO – pomimo że administrator częściowo zidentyfikował ryzyka, nie wdrożył rozwiązań, które zapewniałyby odpowiednią ochronę danych osobowych znajdujących się na zewnętrznych nośnikach. Biorąc pod uwagę zakres danych osobowych, które znajdowały się na zgubionym pendrive ’wie, zdaniem regulatora, poprzestanie na przekazaniu pracownikom filmu instruktażowego, okazało się niewystarczające. Co więcej, z decyzji w omawianej sprawie wynika, że ukarana spółka nie realizowała obowiązku regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków bezpieczeństwa.
Kara mogła być jeszcze wyższa
Wskazana decyzja organu nadzorczego jasno pokazuje, jak ważne jest odpowiednie wdrożenie w organizacji procedur związanych z przetwarzaniem danych osobowych. Administrator powinien w każdym przypadku dołożyć wszelkiej staranności, aby nie tylko przeanalizować ryzyka i określić właściwe zasady postępowania, ale również odpowiednio przeszkolić pracowników. Niedociągnięcia w tym zakresie mogą bowiem prowadzić do poważnych naruszeń ochrony danych, spowodowanych przez nieświadomych pracowników. Przedmiotowa sprawa pokazuje również, jak bardzo kosztowne mogą okazać się niedociągnięcia w zakresie ochrony danych osobowych.
Warto na marginesie zwrócić uwagę, że kara w tej sprawie mogła być znacznie wyższa. W decyzji wskazane jest bowiem, że w ocenie Prezesa UODO, adekwatna i uzasadniona okolicznościami sprawy kara oscylowała wyjściowo na poziomie ponad 10 000 000 zł. Następnie została ona odpowiednio zmniejszona, przy uwzględnieniu m.in. pełnej współpracy administratora z organem nadzorczym.
Źródło:
https://www.uodo.gov.pl/decyzje/DKN.5131.29.2023
