Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Kara RODO za kradzież laptopa

Kara RODO za kradzież laptopa

Kara RODO za kradzież laptopa  – Kilkakrotnie pisaliśmy już na łamach Proste to RODO o zdarzeniach, które polegały na utracie danych w następstwie kradzieży sprzętu  komputerowego, starając się wzbudzać świadomość czytelników w zakresie konieczności podejmowania zdecydowanych działań, jeśli chodzi o zabezpieczenia takiego przenośnego sprzętu. „Kradzież laptopa ze szpitala” albo „Administrator nie może przerzucać swoich obowiązków na pracownika„, albo „Kara za zgubiony pendrive„. Niestety sytuacja znowu się powtórzyła … dnia 02 listopada 2021r. Prezes Urzędu Ochrony Danych Osobowych wydał Decyzję w sprawie o sygn. akt.: DKN.5131.8.2022 W sprawie wydany został także Komunikat, jakiego treść znajduje się na stronie internetowej Urzędu pt. „Analiza ryzyka i działanie zgodnie z przyjętymi procedurami przeciwdziałają utracie danych„.

Na czym polegało zdarzenie ...

Jak czytamy w treści Decyzji PUODO

cyt.: „(…)Naruszenie ochrony danych osobowych polegało na włamaniu do mieszkania pracownika i kradzieży laptopa, na którym znajdował się plik zawierający dane osobowe członków O. W konsekwencji ww. naruszenia ochrony danych osobowych doszło do utraty poufności danych osobowych ww. osób. Wójt Gminy określił skalę powstałego naruszenia, która wykazała, że na skradzionym komputerze znajdowało się 51 rekordów z danymi osobowymi w zakresie: imię i nazwisko, adres zamieszkania lub pobytu oraz numer ewidencyjny PESEL. Zgłoszone naruszenie zostało zarejestrowane pod sygnaturą.(…)”.

Jakie przepisy zostały naruszone

  • art. 5 ust. 1 lit. f) RODO
  • art. 5 ust. 2)  RODO
  • art. 24 ust. 1)  RODO
  • art. 25 ust. 1)  RODO
  • art. 32 ust. 1) RODO
  • art. 32 ust. 2) RODO

Wniosek UODO o udzielenie informacji ...

Jak wynika z treści Decyzji PUDO  DKN.5131.8.2022 organ nadzorczy zwrócił się do Wójta Gminy m.in. o udzielenie informacji:

  • Czy skradziony komputer był prywatny czy służbowy?
  • Jeśli skradziony komputer był prywatny, to czy procedury ADO dopuszczają używanie prywatnych komputerów do celów służbowych?
  • W jaki sposób Administrator określa sposób zabezpieczenia komputerów i w jaki sposób i weryfikuje wdrożenie tych zabezpieczeń?
  • Czy Administrator przeprowadził analizę ryzyka uwzględniającą zagrożenie w postaci kradzieży sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych?
  • Czy w Urzędzie Gminy Dobrzyniewo Duże wdrożono instrukcję  dotyczącą użytkowania, transportu oraz przechowywania komputerów przenośnych zawierających dane osobowe?

Ustalenia UODO ...

  • Skradziony komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła.
  • Administrator, pomimo prawidłowej identyfikacji w przeprowadzonej analizie ryzyka w 2021 r. zagrożeń dla danych osobowych przetwarzanych przy użyciu komputerów wynoszonych poza jego organizację, prawidłowego określenia poziomu ryzyka dla ww. danych oraz zdefiniowania sposobu postępowania z ryzykiem poprzez wskazanie zabezpieczeń, które należy zastosować dla obniżenia tego ryzyka, nie podjął żadnych działań, aby rzeczywiście to ryzyko wyeliminować lub ograniczyć do poziomu akceptowalnego.
  • Zaszyfrowanie dysku twardego komputera nie wymaga nadmiernych sił i środków.
  • Dopiero po naruszeniu Administrator podjął działania mające na celu uniknięcie podobnych zdarzeń w przyszłości poprzez szyfrowanie dysków twardych komputerów przenośnych będących jego własnością.

Przenośny sprzęt IT w firmie ...

Korzystanie z przenośnego sprzętu IT jest powiedzmy to sobie szczerze naszą codziennością. Korzystanie ze sprzętu prywatnego do celów służbowych również występuje w różnych dziedzinach, czy to w podmiotach medycznych, czy też placówkach oświatowych, jak również w firmach. Jak pokazuje doświadczenie winę za wystąpienia zdarzeń będących naruszeniem ochrony danych osobowych ponoszą nie tylko administratorzy, ale również i pracownicy, użytkownicy przenośnych urządzeń. Dlatego nie tylko warto, ale i należy przygotować podmiot medyczny, szkołę, czy firmę do takiego rodzaju przetwarzania danych, które zakłada korzystanie z przenośnego sprzętu a tym bardziej ze sprzętu prywatnego pracownika.