10 tys. zł kary dla burmistrza. Za RODO

Burmistrz Miasta i Gminy został ukarany przez Prezesa Urzędu Ochrony Danych Osobowych za to, że nie zapobiegł wyciekowi danych, do którego doszło wskutek wykonania przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik.

Publikacja: 15.06.2023 15:01

10 tys. zł kary dla burmistrza. Za RODO

Foto: Adobe Stock

Burmistrz Miasta i Gminy zgłosił do UODO naruszenie ochrony danych osobowych polegające na wykonaniu przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik. Jak się okazało  w urzędzie nie stosowano szyfrowania portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik.

 W ocenie PUODO, biorąc pod uwagę  zakres przetwarzanych przez Burmistrza danych osobowych zawartych w skopiowanych dokumentach,  administrator ten był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych. 

Czytaj więcej

Sąd: kurator zgubił dane osobowe, ale odpowiada prezes sądu

Analiza ryzyka jest kluczowa

-  Administrator ma samodzielnie przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka - przypomina Urząd Ochrony Danych Osobowych.

Z przeprowadzonego postępowania organu nadzorczego wynika, że  administrator nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem. A tymczasem czynność ta jest kluczowa dla doboru odpowiednich środków technicznych i organizacyjnych.

W przypadku gdy administrator przewidział możliwość użycia przenośnych nośników pamięci, przeprowadzenie prawidłowej analizy pozwoliłyby określić oraz wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa  danych.

Monitorowanie skuteczności zabezpieczeń

- Dostosowanie procesów przetwarzania danych osobowych w każdej organizacji nie może mieć charakteru epizodycznego. Ochrona danych osobowych jest procesem ciągłym i powinna być poddawana bieżącej aktualizacji, w zależności od zachodzących procesów. W przedmiotowej sprawie administrator nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń - przypomina UODO.

Administrator przeprowadził co prawda szkolenia obejmujące swoją tematyką zagadnienia związane z ochroną danych osobowych, jednak nie był w stanie wykazać, że osoba, która doprowadziła do naruszenia ochrony danych osobowych, uczestniczyła w tych szkoleniach.

Brak analizy ryzyka przed wystąpieniem naruszenia ochrony danych osobowych, spowodował, że administrator nie był w stanie wykazać, czy przyjęte rozwiązania rzeczywiście zapewniały odpowiednie bezpieczeństwo. Doszło do nieuprawnionego wykorzystywania przez pracownika przenośnego nośnika danych.

Burmistrz Miasta i Gminy zgłosił do UODO naruszenie ochrony danych osobowych polegające na wykonaniu przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik. Jak się okazało  w urzędzie nie stosowano szyfrowania portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik.

 W ocenie PUODO, biorąc pod uwagę  zakres przetwarzanych przez Burmistrza danych osobowych zawartych w skopiowanych dokumentach,  administrator ten był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych. 

2 / 3
artykułów
Czytaj dalej. Subskrybuj
Nieruchomości
Jak kwestionować niezgodne z prawem plany inwestycyjne sąsiada? Odpowiadamy
Materiał Promocyjny
Mity i fakty - Czy to prawda, że elektryczne auta palą się częściej niż spalinowe?
Praca, Emerytury i renty
Krem z filtrem, walizka i autoresponder – co o urlopie powinien wiedzieć pracownik
W sądzie i w urzędzie
Jak otrzymać bon energetyczny? Jest wzór wniosku
Nieruchomości
Większe odległości od działki sąsiada. Jakie zmiany się szykują
Administracja
Rzeka zabrała część nieruchomości. Kiedy przysługuje odszkodowanie?