W ten sposób ujawniono nieuprawnionej osobie ponad tysiąc niezabezpieczonych plików. Jak podaje ICO (Information Commissioner's Office), dane osobowe stanowiły tylko niewielki wycinek tych plików. Były to jednak częściowo tzw. dane wrażliwe, a ponadto zawartość pendrive'a została przekazana krajowej prasie.
Czytaj także: Kary w RODO: skutecznie, proporcjonalnie i odstraszająco
Na skutek tego incydentu, urzędnicy ICO przeprowadzili kontrolę w spółce. Jej wyniki wskazały na niedociągnięcia w zakresie ochrony danych osobowych. Uwagę kontrolerów przykuł między innymi fakt, że przeszkolonych w tym zakresie było tylko 2% z 6.500 pracowników, a spółka nie wdrożyła odpowiednich środków w celu zabezpieczenia danych.
Podkreślić trzeba, że choć karę nałożono w tym miesiącu, to same naruszenia miały miejsce jeszcze przed rozpoczęciem stosowania RODO. Brytyjska ustawa o ochronie danych z 1998 r., na mocy której nakładano karę, przewidywała maksymalną karę w wysokości 500.000 funtów. RODO z kolei znacznie podwyższyło tę granicę i obecnie kara może wynieść nawet do 20.000.000 euro (około 17.500.000 funtów) lub 4% rocznego światowego obrotu przedsiębiorstwa, na które nakładana jest kara, przy czym zastosowanie ma kwota wyższa. RODO wprost wskazuje, że kary mają pełnić funkcję odstraszającą. Niewykluczone zatem, że gdyby ICO decydował o wysokości kary bazując na przepisach RODO, to byłaby ona jeszcze wyższa.
Z omawianej sprawy płynie nauka dla wszystkich podmiotów przetwarzających dane osobowe. Z powodu utraty jednego pendrive'a przeprowadzono kontrolę, która zakończyła się nałożeniem na administratora dotkliwej kary. W tym kontekście warto rozważyć wprowadzenie procedury udostępniania pracownikom nośników danych i odpowiedniego ich szyfrowania oraz ciągłego podnoszenia świadomości wśród osób mających dostęp do danych osobowych w organizacji. Warto również zwrócić uwagę na to, jakie zagadnienia budzą zainteresowanie organów nadzorczych w trakcie kontroli. Istotą ochrony danych nie jest całkowite wykluczenie wystąpienia incydentów (bo to niemożliwe), lecz zorganizowanie przetwarzania danych osobowych w taki sposób, aby zminimalizować ryzyko i skutki naruszenia praw i wolności osób fizycznych. Aby ten cel zrealizować, zalecane jest wdrożenie odpowiednich polityk i procedur oraz stosowanie odpowiednich środków technicznych i organizacyjnych, a także przeszkolenie pracowników.
