Firma zapłaci prawie 240 tys. zł kary. Wszystko przez zgubionego pendrive'a

Prezes Urzędu Ochrony Danych Osobowych nałożył blisko 240 tys. zł kary na firmę gastronomiczną z Kolbuszowej (województwo podkarpackie), której pracownik zgubił pendrive z danymi osobowymi.

Publikacja: 17.05.2024 11:22

Pendrive

Pendrive

Foto: Adobe Stock

Jak podaje w komunikacie Urząd Ochrony Danych Osobowych (UODO), pracownik firmy zgubił pendrive’a, na którym znajdowały się niezaszyfrowane pliki zawierające dane osobowe innego pracownika, a mianowicie imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Na pendrive’ie były też zaszyfrowane pliki z danymi finansowymi.

Firma posiadała rejestr ryzyka czy potwierdzenia przeprowadzania monitorowania procedur RODO. Problemem okazały się jednak zasady korzystania z zewnętrznych nośników danych, w tym ich szyfrowanie. O tym, jak szyfrować pliki, firma informowała pracowników na filmie instruktażowym. A to, jak zauważył UODO, przerzucało na nich odpowiedzialność za sposób przetwarzania danych.

UODO: film instruktażowy o szyfrowaniu plików to za mało

Co więcej zdaniem Prezesa UODO firma źle oceniła ryzyko dla danych. Założono, że nośniki danych mogą być skradzione albo zniszczone – nie wzięto jednak pod uwagę tego, że nośnik można po prostu zgubić bez złych intencji. Do tego, pomimo zakładania wystąpienia różnych zdarzeń, nie wdrożono rozwiązań kryptograficznych dla ochrony danych osobowych na zewnętrznych nośnikach. - Film instruktażowy „w jaki sposób szyfrować pliki na pendrive oraz jakiego programu do tego celu użyć” to za mało wobec zakresu danych przetwarzanych na takich nośnikach — podkreślono w komunikacie.

Kolejny problem polegał na tym, że firma nie dopełniła obowiązku regularnego mierzenia, testowania i oceniania skuteczności zastosowanych środków bezpieczeństwa.

O zgubieniu pendrive'a poinformowała sama firma, a w czasie postępowania współpracowała z Prezesem UODO, co miało istotny wpływ na ostateczny wymiar kary. - Gdyby nie to, kara byłaby znacznie wyższa — zaznacza Urząd. Jak dodano, wysokość kary jest też m.in. wypadkową dużych obrotów firm. 

Czytaj więcej

Rzecznik dyscyplinarny adwokatów przegrał w sprawie zgubionego pendrive'a

Jak podaje w komunikacie Urząd Ochrony Danych Osobowych (UODO), pracownik firmy zgubił pendrive’a, na którym znajdowały się niezaszyfrowane pliki zawierające dane osobowe innego pracownika, a mianowicie imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Na pendrive’ie były też zaszyfrowane pliki z danymi finansowymi.

Firma posiadała rejestr ryzyka czy potwierdzenia przeprowadzania monitorowania procedur RODO. Problemem okazały się jednak zasady korzystania z zewnętrznych nośników danych, w tym ich szyfrowanie. O tym, jak szyfrować pliki, firma informowała pracowników na filmie instruktażowym. A to, jak zauważył UODO, przerzucało na nich odpowiedzialność za sposób przetwarzania danych.

2 / 3
artykułów
Czytaj dalej. Subskrybuj
Prawnicy
Gdzie uczą najlepszych prawników w Polsce? Ranking wydziałów prawa 2024
Podatki
Fiskus nie przejął się wyrokiem NSA. Sam przelew nie wystarczy
Sądy i trybunały
Sędzia Sądu Najwyższego skarży Polskę do ETPC. Chodzi o decyzję Andrzeja Dudy
Sądy i trybunały
Sąd Najwyższy: wybór „spośród sędziów" nie oznacza wyboru „przez sędziów"
Zawody prawnicze
Nieoczekiwana zmiana miejsc na podium rankingu kancelarii prawniczych
Materiał Promocyjny
Sztuczna inteligencja może być wykorzystywana w każdej branży