W wyniku kradzieży jednego z laptopów, który – wbrew przeprowadzonej ocenie ryzyka i podjętych decyzji co do jego zmniejszenia – doszło do naruszenia ochrony danych osobowych. Prezes UODO zdecydował w tym postępowaniu o nałożeniu na Wójta Gminy Dobrzyniewo Duże kary finansowej w wysokości 8.000 zł.
Czego dotyczyło naruszenie?
Naruszenie polegało na przetwarzaniu danych osobowych w sposób niezapewniający odpowiedniego bezpieczeństwa danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych lub organizacyjnych poprzez brak wdrożenia odpowiednich środków technicznych i organizacyjnych, a w konsekwencji, brak możliwości wykazania przestrzegania zasady „integralności i poufności”, co stanowi o naruszeniu zasady „rozliczalności” wyrażonej w art. 5 ust. 2 RODO.
Jaka została nałożona kara?
Prezes UODO nałożył administracyjną karę pieniężną w wysokości 8.000 zł.
Dlaczego została nałożona kara?
Podstawą naruszenia był laptop, który nie został poddany szyfrowaniu. Laptop ten, w którego pamięci były przechowywane dane osobowe, został skradziony z prywatnego mieszkania pracownika. Jak wykazała późniejsza analiza przeprowadzona po jego odzyskaniu, nikt nie uzyskał dostępu do zawartych na nim danych.
Administrator prawidłowo zidentyfikował ryzyko kradzieży laptopa, a także postanowił w wyniku szacowania ryzyka o wdrożeniu środka ochrony danych w postaci szyfrowania dysku. Działanie takie jest szczególnie istotne przy możliwości wynoszenia sprzętu zawierającego dane osobowe poza obszar administratora. Rzecz w tym, że pomimo tej decyzji dysk laptopa nie został zaszyfrowany, co administrator wyjaśniał w trakcie postępowania innymi zadaniami i koniecznością ich kolejkowania.
Prezes UODO wskazał, że zakup laptopa oraz odpowiednie jego zabezpieczenie nie stanowi nadzwyczajnych okoliczności, przez co ich niedopełnienie stanowi zlekceważenie przepisów dotyczących ochrony danych osobowych na rzecz innych obowiązków i zadań administratora.
Wymierzając karę Prezes UODO wziął pod uwagę takie elementy jak:
- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody – zdarzenie powodowało potencjalnie wysokie ryzyko z uwagi na dużą ilość danych osobowych, a ponadto polegało na naruszeniu podstawowych zasad przetwarzania;
- nieumyślny charakter naruszenia – administrator był świadomy konieczności wykorzystania szyfrowania dysku laptopa, a zdarzenie było skutkiem zaniedbania w tym zakresie;
- stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 – administrator prawidłowo przeprowadził szacowanie ryzyka oraz dobrał odpowiednie środki mające je zredukować. Wdrożył również zasady zabezpieczania sprzętu komputerowego, które obejmowały obowiązek szyfrowania twardego dysku komputera. Pomimo tych działań, dysk nie został zaszyfrowany;
- kategorie danych osobowych, których dotyczyło naruszenie – naruszenie dotyczyło danych zwykłych, jednak znajdowały się wśród nich również numery PESEL, ten zaś w zestawieniu z pozostałymi danymi powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Okolicznościami łagodzącymi były:
- działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą – administrator niezwłocznie poinformował Policję o kradzieży laptopa, który został odnaleziony. Administrator przeprowadził też analizę logów, która nie wykazała uruchomienia laptopa, co spowodowało brak podstaw do stwierdzenia naruszenia praw osób dotkniętych naruszeniem;
- wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego – nie stwierdzono wcześniejszych naruszeń;
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków – administrator współpracował z Prezesem UODO składając konkretnych wyjaśnień i odpowiedzi;
- wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty – administrator nie uzyskał z tytułu naruszenia korzyści oraz wyciągnął z niego wnioski.
Na decyzję Prezesa UODO nie miały wpływu:
- sposób w jaki Prezes UODO dowiedział się o naruszeniu – zgłoszenia dokonał administrator, realizując jedynie swój obowiązek prawny;
- przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia RODO – nie zastosowano wcześniej żadnego ze środków względem administratora;
- stosowanie kodeksów zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO – administrator nie wykorzystywał takich mechanizmów.
Wnioski?
- W podejściu opartym na ryzyku istotne jest nie tylko prawidłowe zidentyfikowanie i oszacowanie ryzyka, ale również wdrożenie odpowiednich środków wpływających na jego redukcję.
- Komputery, na których są przechowywane dane osobowe, a zwłaszcza te wynoszone poza obszar działania administratora, powinny być szyfrowane.
- Wdrożone procedury powinny być przestrzegane. Nawet najlepsza procedura nie zadziała, jeżeli nie będzie stosowana. Działania sprzeczne z przyjętymi procedurami mogą stanowić o niewdrożeniu środków ochrony danych osobowych.
Link do decyzji: https://www.uodo.gov.pl/decyzje/DKN.5131.34.2021
Postscriptum
Szyfrowanie twardego dysku laptopa stanowi jeden z podstawowych środków zabezpieczeń na wypadek jego kradzieży, zgubienia lub utracenia go w inny sposób. Podjęcie takiego działania co najmniej utrudnia uzyskanie dostępu do danych osobowych zapisanych na urządzeniu. Szyfrować można również inne nośniki, jak choćby pendrive’y, czy dyski przenośne.
Szyfrowanie powinno być stosowane przede wszystkim w przypadku korzystania z urządzenia w różnych miejscach, co wiąże się z jego nieustannym przenoszeniem – to zaś zwiększa ryzyko jego utraty w taki, czy inny sposób. Stosując szyfrowanie pamiętaj o regularnym tworzeniu kopii zapasowych – w pewnych sytuacjach może ono uniemożliwić dostęp do danych również Tobie!