Burmistrz Miasta i Gminy zgłosił do UODO naruszenie ochrony danych osobowych polegające na wykonaniu przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik. Jak się okazało  w urzędzie nie stosowano szyfrowania portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik.

 W ocenie PUODO, biorąc pod uwagę  zakres przetwarzanych przez Burmistrza danych osobowych zawartych w skopiowanych dokumentach,  administrator ten był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych. 

Czytaj więcej

Sąd: kurator zgubił dane osobowe, ale odpowiada prezes sądu
Dane osobowe
Sąd: kurator zgubił dane osobowe, ale odpowiada prezes sądu

Analiza ryzyka jest kluczowa

-  Administrator ma samodzielnie przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka - przypomina Urząd Ochrony Danych Osobowych.

Z przeprowadzonego postępowania organu nadzorczego wynika, że  administrator nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem. A tymczasem czynność ta jest kluczowa dla doboru odpowiednich środków technicznych i organizacyjnych.

W przypadku gdy administrator przewidział możliwość użycia przenośnych nośników pamięci, przeprowadzenie prawidłowej analizy pozwoliłyby określić oraz wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa  danych.

Monitorowanie skuteczności zabezpieczeń

- Dostosowanie procesów przetwarzania danych osobowych w każdej organizacji nie może mieć charakteru epizodycznego. Ochrona danych osobowych jest procesem ciągłym i powinna być poddawana bieżącej aktualizacji, w zależności od zachodzących procesów. W przedmiotowej sprawie administrator nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń - przypomina UODO.

Administrator przeprowadził co prawda szkolenia obejmujące swoją tematyką zagadnienia związane z ochroną danych osobowych, jednak nie był w stanie wykazać, że osoba, która doprowadziła do naruszenia ochrony danych osobowych, uczestniczyła w tych szkoleniach.

Brak analizy ryzyka przed wystąpieniem naruszenia ochrony danych osobowych, spowodował, że administrator nie był w stanie wykazać, czy przyjęte rozwiązania rzeczywiście zapewniały odpowiednie bezpieczeństwo. Doszło do nieuprawnionego wykorzystywania przez pracownika przenośnego nośnika danych.