Ile firma zapłaci za to, że pracownik zgubił pendrive z danymi osobowymi?
Pracownik firmy gastronomicznej Res-Gastro M. Gaweł Sp. k. z Kolbuszowej zgubił pendrive’a zawierającego dane osobowe, co doprowadziło do poważnych konsekwencji prawnych i finansowych dla firmy. Prezes Urzędu Ochrony Danych Osobowych (UODO) ustalił, że sposób przetwarzania danych osobowych w tej firmie był niezgodny z przepisami RODO, wskazując na niepoprawnie przeprowadzoną analizę ryzyka. Zaniedbania te skutkowały brakiem odpowiednich środków organizacyjnych i technicznych, które mogłyby zapewnić bezpieczeństwo przetwarzanych danych.
- Joanna Gościńska
- /
- 23 maja 2024
Niedostateczne zabezpieczenia danych
W toku postępowania ujawniono, że pracownik firmy zgubił pendrive’a, na którym znajdowały się niezaszyfrowane pliki zawierające szczegółowe dane osobowe innego pracownika. Wśród tych danych były m.in. imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz informacje dotyczące wysokości zarobków. Dodatkowo, na pendrive’ie znajdowały się zaszyfrowane pliki z danymi finansowymi.
Firma Res-Gastro sama poinformowała o incydencie i współpracowała z UODO podczas całego postępowania, co wpłynęło na złagodzenie ostatecznego wymiaru kary. Jednakże Prezes UODO zauważył, że firma posiadała wprawdzie dokumenty takie jak rejestr ryzyka i potwierdzenia monitorowania procedur RODO, lecz to nie wystarczyło, aby zapobiec tak poważnym naruszeniom. Kluczowym problemem były zasady korzystania z zewnętrznych nośników danych oraz brak właściwego szyfrowania plików.
Błędna analiza ryzyka i jej konsekwencje
Prezes UODO wskazał, że problemem była niewłaściwa ocena ryzyka dla przetwarzanych danych. Firma założyła, że nośniki danych mogą zostać skradzione lub zniszczone, ale nie uwzględniła możliwości ich zgubienia. Ponadto, chociaż rozważano różne scenariusze zagrożeń, nie wdrożono rozwiązań kryptograficznych, które mogłyby zabezpieczyć dane osobowe na zewnętrznych nośnikach.
Firma Res-Gastro informowała swoich pracowników o sposobach szyfrowania plików za pomocą filmu instruktażowego. Jednak, jak zauważył UODO, przerzucanie odpowiedzialności za bezpieczne przetwarzanie danych na pracowników było niewystarczające. Zamiast zapewnić kompleksowe zabezpieczenia na poziomie organizacyjnym, firma polegała na indywidualnej odpowiedzialności pracowników, co okazało się niewystarczające w obliczu przepisów RODO.
Instytut Prawa Ochrony Danych Osobowych (IPODO). Nowa instytucja w Polsce Anna Petynia-Kawa
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Kolejnym problemem było niewywiązywanie się firmy z obowiązku regularnego mierzenia, testowania i oceniania skuteczności zastosowanych środków bezpieczeństwa. Brak systematycznych testów i ocen skutkował tym, że firma nie była w stanie na bieżąco dostosowywać swoich procedur bezpieczeństwa do zmieniających się warunków i zagrożeń.
Wysoka kara finansowa
W wyniku postępowania, Prezes UODO nałożył na firmę Res-Gastro karę finansową w wysokości 238 345 zł. Kara ta jest wynikiem poważnych zaniedbań ze strony firmy, ale również uwzględnia wysokie obroty firmy, które miały wpływ na jej ostateczny wymiar. Warto zaznaczyć, że gdyby firma nie współpracowała z UODO i nie zgłosiła sama incydentu, kara mogłaby być znacznie wyższa.
Wiadomość z mBanku z prośbą o potwierdzenie numeru? To kolejne oszustwoMikołaj Frączak
Cała sytuacja z Res-Gastro jest przestrogą dla innych firm, aby nie lekceważyły przepisów RODO i podchodziły z najwyższą starannością do kwestii zabezpieczania danych osobowych. Prawidłowa analiza ryzyka, regularne testowanie środków bezpieczeństwa oraz odpowiednie szkolenia pracowników to kluczowe elementy skutecznego zarządzania bezpieczeństwem danych w każdej organizacji.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?