Ile firma zapłaci za to, że pracownik zgubił pendrive z danymi osobowymi?

Niedostateczne zabezpieczenia danych

W toku postępowania ujawniono, że pracownik firmy zgubił pendrive’a, na którym znajdowały się niezaszyfrowane pliki zawierające szczegółowe dane osobowe innego pracownika. Wśród tych danych były m.in. imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz informacje dotyczące wysokości zarobków. Dodatkowo, na pendrive’ie znajdowały się zaszyfrowane pliki z danymi finansowymi.

Firma Res-Gastro sama poinformowała o incydencie i współpracowała z UODO podczas całego postępowania, co wpłynęło na złagodzenie ostatecznego wymiaru kary. Jednakże Prezes UODO zauważył, że firma posiadała wprawdzie dokumenty takie jak rejestr ryzyka i potwierdzenia monitorowania procedur RODO, lecz to nie wystarczyło, aby zapobiec tak poważnym naruszeniom. Kluczowym problemem były zasady korzystania z zewnętrznych nośników danych oraz brak właściwego szyfrowania plików.

Błędna analiza ryzyka i jej konsekwencje

Prezes UODO wskazał, że problemem była niewłaściwa ocena ryzyka dla przetwarzanych danych. Firma założyła, że nośniki danych mogą zostać skradzione lub zniszczone, ale nie uwzględniła możliwości ich zgubienia. Ponadto, chociaż rozważano różne scenariusze zagrożeń, nie wdrożono rozwiązań kryptograficznych, które mogłyby zabezpieczyć dane osobowe na zewnętrznych nośnikach.

Firma Res-Gastro informowała swoich pracowników o sposobach szyfrowania plików za pomocą filmu instruktażowego. Jednak, jak zauważył UODO, przerzucanie odpowiedzialności za bezpieczne przetwarzanie danych na pracowników było niewystarczające. Zamiast zapewnić kompleksowe zabezpieczenia na poziomie organizacyjnym, firma polegała na indywidualnej odpowiedzialności pracowników, co okazało się niewystarczające w obliczu przepisów RODO.

Instytut Prawa Ochrony Danych Osobowych (IPODO). Nowa instytucja w Polsce Anna Petynia-Kawa

Kolejnym problemem było niewywiązywanie się firmy z obowiązku regularnego mierzenia, testowania i oceniania skuteczności zastosowanych środków bezpieczeństwa. Brak systematycznych testów i ocen skutkował tym, że firma nie była w stanie na bieżąco dostosowywać swoich procedur bezpieczeństwa do zmieniających się warunków i zagrożeń.

Wysoka kara finansowa

W wyniku postępowania, Prezes UODO nałożył na firmę Res-Gastro karę finansową w wysokości 238 345 zł. Kara ta jest wynikiem poważnych zaniedbań ze strony firmy, ale również uwzględnia wysokie obroty firmy, które miały wpływ na jej ostateczny wymiar. Warto zaznaczyć, że gdyby firma nie współpracowała z UODO i nie zgłosiła sama incydentu, kara mogłaby być znacznie wyższa.

Wiadomość z mBanku z prośbą o potwierdzenie numeru? To kolejne oszustwoMikołaj Frączak

Cała sytuacja z Res-Gastro jest przestrogą dla innych firm, aby nie lekceważyły przepisów RODO i podchodziły z najwyższą starannością do kwestii zabezpieczania danych osobowych. Prawidłowa analiza ryzyka, regularne testowanie środków bezpieczeństwa oraz odpowiednie szkolenia pracowników to kluczowe elementy skutecznego zarządzania bezpieczeństwem danych w każdej organizacji.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.