Dane osobowe: 8 tys. zł kary za kradzież służbowego laptopa

8 tysięcy złotych kary będzie musiał zapłacić wójt gminy Dobrzyniewo Duże (Podlaskie). Powód: niezapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz brak wdrożenia właściwych środków – zarówno technicznych, jak i organizacyjnych. A wszystko zaczęło się od… skradzionego laptopa.

  • Mikołaj Frączak
  • /
  • 21 listopada 2022

Skradziony laptop – naruszenie ochrony danych osobowych

Administrator danych osobowych poinformował UODO o naruszeniu ochrony danych osobowych. Miało ono polegać na kradzieży służbowego laptopa, na którego dyskach znajdowały się dane osobowe. Problem w tym, że komputer nie posiadał odpowiednich zabezpieczeń, które pozwoliłyby na ochronę danych. Sprzęt został skradziony poza siedzibą administratora. Pracownik, który korzystał z laptopa, przechowywał go bowiem w domu. 

Jak prezes UODO nakłada administracyjne kary pieniężne?Jak prezes UODO nakłada administracyjne kary pieniężne?Alicja Skibińska


Lekcja z UODO odrobiona, ale nie do końca

Jak zauważa Urząd Ochrony Danych Osobowych, administrator wcześniej opracował właściwe procedury oraz politykę bezpieczeństwa przetwarzania tego typu informacji. Wskazał nawet szyfrowanie danych, jako jedno z zabezpieczeń, które miały obniżyć poziom ryzyka. Wszystko na papierze się zgadzało. Gorzej z wykonaniem

Niestety, feralny komputer był zabezpieczony przed nieautoryzowanym dostępem wyłącznie hasłem. Zabezpieczenia, które przyjęto w procedurach, w przypadku tego sprzętu nie zostały zastosowane. 

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

UODO: jasne wytyczne przetwarzania danych

Jak wyjaśnia UODO -„dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”)”.

Kara za zaniedbanie?

UODO podkreśla w komunikacie, że administrator danych osobowych podjął działania, których celem było uniknięcie podobnych zdarzeń w przyszłości poprzez szyfrowanie dysków twardych komputerów przenośnych dopiero PO NARUSZENIU. Doszło zatem do zamiany kolejności działania. W tym przypadku zastosowanie do wyników własnej analizy ryzyka powinno nastąpić jeszcze przed incydentem, a nie dopiero po wystąpieniu naruszenia. 

Administrator dopuścił się zaniedbania skutkującego wystąpieniem naruszenia dotyczącego poufności danych, tym samym nieumyślnie naruszył przepisy o ochronie danych osobowych. Przy nakładaniu administracyjnej kary pieniężnej uwzględniono również fakt, że skradziony komputer został odnaleziony, a przeprowadzona przez administratora analiza wykazała, że od dnia kradzieży system operacyjny komputera nie był uruchamiany” – informuje Urząd Ochrony Danych Osobowych. 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!