Kolejna Kara Prezesa UODO, tym razem dla Burmistrza. Nałożona kara finansowa wyniosła 10.000 zł. Wprawdzie sama jej wysokość może wydawać się niewielka przy progach ustalonych przez RODO, należy jednak pamiętać, że dla podmiotów publicznych ustalony został próg w wysokości 100.000 zł. Oznacza to, że nałożona przez Prezesa UODO kara sięga 1/10 możliwej kwoty.
A o co chodziło w całym zdarzeniu? O tym przeczytasz w dalszej części.
Nieuprawnione wykorzystanie pendrive’a
W sprawie poszło o nieuprawnione wykorzystanie pendrive’a. Jak ustalono w trakcie sprawy nie było to urządzenie służbowe, a prywatny nośnik danych pracownika. Posłużył on tutaj do zgrania na niego ponad 2.000 plików. Zawierały one dane około 250 osób fizycznych i firm, a ich zakres był szeroki.
To nie jedyna kwestia, którą porusza Prezes UODO. Pliki zgrane na pendrive zostały przeniesione z urządzenia tak, że nie było do nich dostępu. Ponadto, sytuacja wystąpiła w czasie zwolnienia lekarskiego, a pracownik nie zarejestrował się w systemie pracy, odwiedzając urząd przed godzinami jego pracy. Prezes UODO wspomina w decyzji także o przesłaniu hasła do komputera innemu pracownikowi oraz o dostępie do nośnika osoby trzeciej.
W konkluzji uznał, że okoliczności powodują nie tylko potencjalną, ale i realną możliwość wykorzystania danych.
Jak Prezes UODO uzasadnił fakt nałożenia kary na Burmistrza?
Wprawdzie jak wykazało postępowanie wyjaśniające istniały procedury regulujące przetwarzanie danych osobowych, jak również przeprowadzone zostało stosowne szkolenie, to administrator nie był w stanie wykazać, że ten konkretny pracownik wziął w nim udział.
Prezes UODO wskazał też znów na rolę szacowania ryzyka w procesie ochrony danych osobowych. Bez rzetelnej analizy nie ma możliwości dobrania odpowiednich środków zabezpieczeń. W tym przypadku zabezpieczenie mogłoby polegać np. na blokadzie portów USB.
Prezes UODO wskazuje także na istotność regularnych przeglądów i monitorowania zastosowanych środków zabezpieczeń. Sporo ostatnio podobnych motywów nakładanych kar, o jednej z ostatnich możesz przeczytać tutaj.
W telegraficznym skrócie
- Jeżeli dopuszczasz możliwość korzystania z nośników zewnętrznych (np. pendrive’ów) zadbaj o to, aby były one zabezpieczone, w szczególności zaszyfrowane.
- Unikaj wykorzystywania przez pracowników prywatnych urządzeń.
- Monitoruj skuteczność wprowadzonych środków zabezpieczeń.
- Prowadź szkolenia i dokumentuj fakt uczestnictwa.
Link do decyzji: KLIK!