Kara dla lotniska Heathrow za naruszenie ochrony danych osobowych

ICO, brytyjski organ nadzorczy, nałożył na Heathrow Airport Limited karę w wysokości 120.000 funtów za naruszenia w obszarze ochrony danych osobowych. Kłopoty lotniska rozpoczęły się od zgubienia przez pracownika niezaszyfrowanego pendrive’a.

Aktualizacja: 25.10.2018 22:04 Publikacja: 25.10.2018 16:33

Kara dla lotniska Heathrow za naruszenie ochrony danych osobowych

Foto: Adobe Stock

W ten sposób ujawniono nieuprawnionej osobie ponad tysiąc niezabezpieczonych plików. Jak podaje ICO (Information Commissioner's Office), dane osobowe stanowiły tylko niewielki wycinek tych plików. Były to jednak częściowo tzw. dane wrażliwe, a ponadto zawartość pendrive'a została przekazana krajowej prasie.

Czytaj także: Kary w RODO: skutecznie, proporcjonalnie i odstraszająco 

Na skutek tego incydentu, urzędnicy ICO przeprowadzili kontrolę w spółce. Jej wyniki wskazały na niedociągnięcia w zakresie ochrony danych osobowych. Uwagę kontrolerów przykuł między innymi fakt, że przeszkolonych w tym zakresie było tylko 2% z 6.500 pracowników, a spółka nie wdrożyła odpowiednich środków w celu zabezpieczenia danych.

Podkreślić trzeba, że choć karę nałożono w tym miesiącu, to same naruszenia miały miejsce jeszcze przed rozpoczęciem stosowania RODO. Brytyjska ustawa o ochronie danych z 1998 r., na mocy której nakładano karę, przewidywała maksymalną karę w wysokości 500.000 funtów. RODO z kolei znacznie podwyższyło tę granicę i obecnie kara może wynieść nawet do 20.000.000 euro (około 17.500.000 funtów) lub 4% rocznego światowego obrotu przedsiębiorstwa, na które nakładana jest kara, przy czym zastosowanie ma kwota wyższa. RODO wprost wskazuje, że kary mają pełnić funkcję odstraszającą. Niewykluczone zatem, że gdyby ICO decydował o wysokości kary bazując na przepisach RODO, to byłaby ona jeszcze wyższa.

Z omawianej sprawy płynie nauka dla wszystkich podmiotów przetwarzających dane osobowe. Z powodu utraty jednego pendrive'a przeprowadzono kontrolę, która zakończyła się nałożeniem na administratora dotkliwej kary. W tym kontekście warto rozważyć wprowadzenie procedury udostępniania pracownikom nośników danych i odpowiedniego ich szyfrowania oraz ciągłego podnoszenia świadomości wśród osób mających dostęp do danych osobowych w organizacji. Warto również zwrócić uwagę na to, jakie zagadnienia budzą zainteresowanie organów nadzorczych w trakcie kontroli. Istotą ochrony danych nie jest całkowite wykluczenie wystąpienia incydentów (bo to niemożliwe), lecz zorganizowanie przetwarzania danych osobowych w taki sposób, aby zminimalizować ryzyko i skutki naruszenia praw i wolności osób fizycznych. Aby ten cel zrealizować, zalecane jest wdrożenie odpowiednich polityk i procedur oraz stosowanie odpowiednich środków technicznych i organizacyjnych, a także przeszkolenie pracowników.

Autor: Paweł Grzembka – prawnik w KSP Legal & Tax Advice

W ten sposób ujawniono nieuprawnionej osobie ponad tysiąc niezabezpieczonych plików. Jak podaje ICO (Information Commissioner's Office), dane osobowe stanowiły tylko niewielki wycinek tych plików. Były to jednak częściowo tzw. dane wrażliwe, a ponadto zawartość pendrive'a została przekazana krajowej prasie.

Czytaj także: Kary w RODO: skutecznie, proporcjonalnie i odstraszająco 

Pozostało 86% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Nieruchomości
Co można wybudować bez pozwolenia na własnej posesji? Garaż? A może oczko wodne?
Materiał Promocyjny
Naszą siłą jest różnorodność
Zawody prawnicze
Prokuratorzy zaniepokojeni poleceniem prokuratora krajowego ws. Andrija K.
Zawody prawnicze
Nieoczekiwana zmiana miejsc na podium rankingu kancelarii prawniczych
Prawo dla Ciebie
Trybunał: ustawa przyjęta bez Kamińskiego i Wąsika jest niezgodna z konstytucją
Akcje Specjalne
Dekarbonizacja gospodarki bez wodoru będzie bardzo trudna
Sądy i trybunały
Andrzej Duda powołał Mikołaja Pawlaka na sędziego
Materiał Promocyjny
Sztuczna inteligencja może być wykorzystywana w każdej branży