UODO nałożyło na firmę karę za zgubiony Pendrive. Zobacz, ile będzie musiała zapłacić
Pendrive to bardzo przydatne narzędzie, którego posiadanie może się jednak wiązać z dużą odpowiedzialnością, szczególnie jeśli przechowujemy na nim wrażliwe dane. Jeden z pracowników podkarpackiej firmy nie dopilnował swojego pendrive'a, co spowodowało, że na jego pracodawcę nałożono karę.
Bez względu na to, jakiego pendrive'a się używa, trzeba przestrzegać podstawowej zasady dotyczącej bezpieczeństwa - zawsze pilnować swojego urządzenia, aby nie wpadło w niepowołane ręce. Szczególnie ważne jest to, gdy przechowujemy na nim bardzo wrażliwe dane. Przykładem tego, z jakimi konsekwencjami może się to wiązać, jest sytuacja, w jakiej znalazła się firma z Podkarpacia. W wyniku zaniedbania przez jednego z pracowników kwestii bezpieczeństwa otrzymała ona karę pieniężną.
Jaka kara została nałożona firmę?
Pracownik firmy gastronomicznej Res-Gastro M. Gaweł Sp. k. z Kolbuszowej na Podkarpaciu zgubił pendrive, na którym przechowywane były dane osobowe. Firma sama zgłosiła incydent do Urzędu Ochrony Danych Osobowych (UODO).
W trakcie postępowania okazało się, że przetwarzanie danych osobowych w firmie nie spełniało wymagań określonych przez RODO. W rezultacie nałożono karę w wysokości prawie 240 tys. zł (dokładnie 238 345 zł).
Kara mogła być znacznie wyższa, jednak dzięki współpracy firmy z Prezesem UODO w trakcie postępowania, ostateczna suma, jaką musi ona zapłacić, została obniżona.
Według komunikatu UODO, pracownik firmy zgubił pendrive'a, na którym przechowywane były niezaszyfrowane pliki zawierające dane osobowe innego pracownika. Dane te obejmowały imię i nazwisko, adres, obywatelstwo, płeć, datę urodzenia, numer PESEL, serię i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz informacje o wysokości zarobków. Dodatkowo, na pendrive'ie znajdowały się zaszyfrowane pliki z danymi finansowymi.
Co wykazała kontrola UODO i jak uzasadniono nałożenie kary?
Uzasadnienie UODO dotyczące kary nałożonej na firmę Res-Gastro M. Gaweł Sp. k. z Kolbuszowej wskazuje na kilka kluczowych naruszeń przepisów RODO. Przede wszystkim, problemem była nieprawidłowo przeprowadzona analiza ryzyka. Firma nie uwzględniła możliwości zgubienia nośnika z danymi, co doprowadziło do braku odpowiednich środków organizacyjnych i technicznych, które zapewniłyby bezpieczne przetwarzanie danych.
W firmie zastosowano jedynie film instruktażowy na temat szyfrowania plików, co okazało się niewystarczające i oznaczało, że odpowiedzialność za bezpieczne przetwarzanie danych spoczywała na pracownikach, a nie na systemowych rozwiązaniach firmy.
Kolejnym zarzutem było niewdrożenie rozwiązań kryptograficznych dla ochrony danych osobowych na zewnętrznych nośnikach oraz brak regularnego testowania i oceny skuteczności zastosowanych środków bezpieczeństwa. Wysokość kary (238 345 zł) była również wynikiem dużych obrotów firmy. Warto zaznaczyć, że kara mogła być wyższa, ale współpraca firmy z UODO podczas postępowania przyczyniła się do jej obniżenia.
