10 tys. zł kary dla burmistrza. Za RODO

Burmistrz Miasta i Gminy został ukarany przez Prezesa Urzędu Ochrony Danych Osobowych za to, że nie zapobiegł wyciekowi danych, do którego doszło wskutek wykonania przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik.

Publikacja: 15.06.2023 15:01

10 tys. zł kary dla burmistrza. Za RODO

Foto: Adobe Stock

Burmistrz Miasta i Gminy zgłosił do UODO naruszenie ochrony danych osobowych polegające na wykonaniu przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik. Jak się okazało  w urzędzie nie stosowano szyfrowania portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik.

 W ocenie PUODO, biorąc pod uwagę  zakres przetwarzanych przez Burmistrza danych osobowych zawartych w skopiowanych dokumentach,  administrator ten był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych. 

Czytaj więcej

Sąd: kurator zgubił dane osobowe, ale odpowiada prezes sądu

Analiza ryzyka jest kluczowa

-  Administrator ma samodzielnie przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka - przypomina Urząd Ochrony Danych Osobowych.

Z przeprowadzonego postępowania organu nadzorczego wynika, że  administrator nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem. A tymczasem czynność ta jest kluczowa dla doboru odpowiednich środków technicznych i organizacyjnych.

W przypadku gdy administrator przewidział możliwość użycia przenośnych nośników pamięci, przeprowadzenie prawidłowej analizy pozwoliłyby określić oraz wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa  danych.

Monitorowanie skuteczności zabezpieczeń

- Dostosowanie procesów przetwarzania danych osobowych w każdej organizacji nie może mieć charakteru epizodycznego. Ochrona danych osobowych jest procesem ciągłym i powinna być poddawana bieżącej aktualizacji, w zależności od zachodzących procesów. W przedmiotowej sprawie administrator nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń - przypomina UODO.

Administrator przeprowadził co prawda szkolenia obejmujące swoją tematyką zagadnienia związane z ochroną danych osobowych, jednak nie był w stanie wykazać, że osoba, która doprowadziła do naruszenia ochrony danych osobowych, uczestniczyła w tych szkoleniach.

Brak analizy ryzyka przed wystąpieniem naruszenia ochrony danych osobowych, spowodował, że administrator nie był w stanie wykazać, czy przyjęte rozwiązania rzeczywiście zapewniały odpowiednie bezpieczeństwo. Doszło do nieuprawnionego wykorzystywania przez pracownika przenośnego nośnika danych.

Burmistrz Miasta i Gminy zgłosił do UODO naruszenie ochrony danych osobowych polegające na wykonaniu przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik. Jak się okazało  w urzędzie nie stosowano szyfrowania portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik.

 W ocenie PUODO, biorąc pod uwagę  zakres przetwarzanych przez Burmistrza danych osobowych zawartych w skopiowanych dokumentach,  administrator ten był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych. 

2 / 3
artykułów
Czytaj dalej. Kup teraz
Konsumenci
Jest nowy wyrok TSUE w polskiej sprawie. Upraszcza procesy frankowiczów
Materiał Promocyjny
Zwinny, wyrazisty i dynamiczny. SUV, który bryluje na europejskich salonach
Prawo karne
Marian Banaś składa doniesienie do prokuratury na Elżbietę Witek
Prawo dla Ciebie
Od dzisiaj możemy obniżyć rachunek za prąd. Trzeba spełnić jeden warunek
Prawo karne
Jest wyrok Sądu Najwyższego ws. symulacji zabójstwa abp. Jędraszewskiego
Materiał Promocyjny
THE FUTURE OF FINANCE
Praca, Emerytury i renty
Ogłoszono listę 10 najbogatszych emerytów w Polsce
Materiał Promocyjny
Nowe finansowanie dla transportu miejskiego w Polsce Wschodniej