W niedawno opublikowanej decyzji Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 10 tys. zł na burmistrza miasta i wójta gminy za niestosowanie odpowiednich środków technicznych i organizacyjnych. Główną tego przyczyną był brak przeprowadzonej analizy ryzyka.
Feralny pendrive
Urząd miasta (administrator) w zgłoszeniu do UODO z maja 2022 r. informował, że doszło do naruszenia ochrony danych osobowych. Były pracownik z polecania obecnej pracownicy urzędu (przebywającej na zwolnieniu lekarskim Pani D.) przyniósł nieznany pendrive do urzędu. Pendrive zawierał pliki z m.in. wzorami umów, umowy powierzenia przetwarzania danych osobowych, umowy użyczenia boisk, informacje o czynszach, dane niezbędne do dokonania naliczeń za energię elektryczną, wodę, ścieki i czynsze. W wyniku przeprowadzonych ustaleń okazało się, że wcześniej Pani D. pomimo przebywania na zwolnieniu lekarskim, pojawiła się w urzędzie przed godzinami jego otwarcia i następnie zgrała dokumenty znajdujące się na jej komputerze na pendrive i opuściła budynek. W wyniku przeprowadzonego postępowania Prezes UODO stwierdził naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO.
Stanowisko UODO w kontekście wycieku danych z polskich domen
Brak analizy i brak zabezpieczeń
W toku prowadzonego przez UODO postępowania, ustalono, że urząd nie posiada procedury dotyczącej użytkowania przenośnych nośników pamięci. Ponadto administrator nie stosował narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik. Brak zastosowania wskazanych środków był pokłosiem nieprzeprowadzenia analizy ryzyka w zakresie stosowania przenośnych nośników pamięci.
UODO podkreśla, że taka analiza ryzyka pozwoliłaby zidentyfikować ryzyko wykorzystania prywatnego pendrive’a do wyniesienia danych osobowych poza urząd, a następnie administrator mógłby zastosować odpowiednie środki, aby dane ryzyko minimalizować.
UODO w swojej decyzji podkreśla, że zarządzanie ryzykiem jest jednym z podstawowych elementów systemu ochrony danych osobowych. Brak przeprowadzanie analizy ryzyka, choć sam proces może być kosztowny i czasochłonny, sprawia, że działania administratora mające na celu ochronę danych osobowych, są mało skuteczne. Kompleksowa analiza ryzyka, choć nie zawsze zapobiegnie wystąpieniu naruszenia, to jednak sprawi, że administrator będzie świadomy zagrożeń i odpowiednio na nie przygotowany.
Monitoring zabezpieczeń i szkolenia
Drugim wątkiem, który pojawia się w decyzji UODO, jest kwestia monitoringu stosowanych zabezpieczeń. Wedle przepisów RODO konieczne jest nie tylko samo ich wdrożenie, ale również regularne sprawdzanie pod kątem aktualności i adekwatności wobec rozpoznanych zagrożeń. UODO w swojej decyzji podkreśla, że proces ochrony danych osobowych jest ciągły i nie ma charakteru epizodycznego. Administrator poprzez brak analizy ryzyka nie tylko nie był w stanie zidentyfikować zagrożenia, ale również nie był w stanie wykazywać, czy stosowane zabezpieczenia są skuteczne.
UODO zbadał również, jak przebiegał proces szkoleń pracowników pod kątem ochrony danych osobowych. Okazało się, że każdy pracownik urzędu w dniu rozpoczęcia pracy otrzymuje od pracodawcy zbiór, zawierający regulamin i przepisy dotyczące ochrony danych osobowych, i równocześnie składa oświadczenia, że zapoznał się z tymi dokumentami. Szkolenie dotyczące danych osobowych zostało przeprowadzone tylko raz w 2018 r., w 2020 r. zapoznano pracowników ze „zmienionymi dokumentami RODO”. Ponadto administrator nie był w stanie wykazać, że pracownica, która doprowadziła do naruszenia, uczestniczyła w tym szkoleniu.
Szkolenia z zakresu ochrony danych osobowych, według UODO muszą być przeprowadzane cyklicznie, tak aby pracownicy, utrwalali i przypominali sobie przepisy. Ponadto szkolenie traci swój sens, jeśli przeszkolona zostaje jedynie cześć osób, które są uprawnione do przetwarzania danych osobowych.
Wnioski dla organizacji
Analiza ryzyka jest zatem kluczowa w systemie ochrony danych osobowych, co podkreśla UODO. Jej brak sprawia, że ryzyko wystąpienia naruszenia jest znacznie zwiększone. Jednakże, nie samą analizą administrator żyje. Konieczne jest wdrożenie, a następnie monitorowanie stosowanych zabezpieczeń, jak również regularne szkolenie pracowników. Należy zatem pamiętać, że ochrona danych osobowych jest procesem ciągłym a nie kolejnym punktem na checkliście zadań do wykonania i zapomnienia.
Link do decyzji:
https://www.uodo.gov.pl/decyzje/DKN.5131.44.2022
