Polityka i prawo
Zgubił pendrive'a z danymi osobowymi. Gigantyczna kara
Jeden z pracowników firmy z Podkarpacia zgubił pendrive z danymi osobowymi. W efekcie postępowania Prezesa Urzędu Ochrony Danych Osobowych na spółkę nałożono karę.
Jak czytamy w komunikacie UODO, pracownik firmy gastronomicznej Res-Gastro M. Gaweł Sp. k. z Kolbuszowej na Podkarpaciu zgubił pendrive’a z danymi osobowymi. Sprawą zainteresował się Prezes Urzędu, który zbadał sposób przetwarzania danych osobowych w tej firmie.
Ocenił, że był niezgodny z obowiązującymi przepisami RODO. Chodziło o niepoprawnie przeprowadzoną analizę ryzyka, polegającą na przewidziałaniu zagrożeniu, jakim jest zgubienie nośnika danych. Nie zastosowano odpowiednich środków organizacyjnych i technicznych, aby zapewnić bezpieczne przetwarzanie danych.
Czytaj też
Postępowanie PUODO
O zdarzeniu organ poinformowała sama firma. W czasie postępowania współpracowała z Prezesem UODO, co miało także wpływ na ostateczny wymiar kary (inaczej byłaby znacznie wyższa).
Na czym dokładnie polegało zdarzenie? Pracownik zgubił pendrive’a, na którym znajdowały się niezaszyfrowane pliki, które zawierały dane osobowe innego pracownika: imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Na pendrive’ie znajdowały się też zaszyfrowane pliki z danymi finansowymi.
Firma wykazała, że posiadała dokumenty, takie jak rejestr ryzyka czy potwierdzenia przeprowadzania monitorowania procedur RODO. Jednak problemem były zasady korzystania z zewnętrznych nośników danych, w tym ich szyfrowanie.
Czytaj też
Na czym polegał problem?
Zdaniem Prezesa UODO firma źle oceniła ryzyko dla danych. Założono, że nośniki danych mogą być skradzione albo zniszczone, a nie wzięto pod uwagę, iż nośnik można zgubić.
Nie wdrożono również rozwiązań kryptograficznych dla ochrony danych osobowych na zewnętrznych nośnikach. Film instruktażowy „w jaki sposób szyfrować pliki na pendrive oraz jakiego programu do tego celu użyć” (jaki przekazano pracownikom) to za mało.
Firma nie dopełniła także obowiązku regularnego mierzenia, testowania i oceniania skuteczności zastosowanych środków bezpieczeństwa.
W związku z tym, Prezes UODO nałożył na Res-Gastro karę finansową w wysokości 238 345 zł.
/NB
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Haertle: Każdego da się zhakować
Materiał sponsorowany