Kara RODO za kradzież laptopa
Kara RODO za kradzież laptopa – Kilkakrotnie pisaliśmy już na łamach Proste to RODO o zdarzeniach, które polegały na utracie danych w następstwie kradzieży sprzętu komputerowego, starając się wzbudzać świadomość czytelników w zakresie konieczności podejmowania zdecydowanych działań, jeśli chodzi o zabezpieczenia takiego przenośnego sprzętu. „Kradzież laptopa ze szpitala” albo „Administrator nie może przerzucać swoich obowiązków na pracownika„, albo „Kara za zgubiony pendrive„. Niestety sytuacja znowu się powtórzyła … dnia 02 listopada 2021r. Prezes Urzędu Ochrony Danych Osobowych wydał Decyzję w sprawie o sygn. akt.: DKN.5131.8.2022 W sprawie wydany został także Komunikat, jakiego treść znajduje się na stronie internetowej Urzędu pt. „Analiza ryzyka i działanie zgodnie z przyjętymi procedurami przeciwdziałają utracie danych„.
Na czym polegało zdarzenie ...
Jak czytamy w treści Decyzji PUODO
cyt.: „(…)Naruszenie ochrony danych osobowych polegało na włamaniu do mieszkania pracownika i kradzieży laptopa, na którym znajdował się plik zawierający dane osobowe członków O. W konsekwencji ww. naruszenia ochrony danych osobowych doszło do utraty poufności danych osobowych ww. osób. Wójt Gminy określił skalę powstałego naruszenia, która wykazała, że na skradzionym komputerze znajdowało się 51 rekordów z danymi osobowymi w zakresie: imię i nazwisko, adres zamieszkania lub pobytu oraz numer ewidencyjny PESEL. Zgłoszone naruszenie zostało zarejestrowane pod sygnaturą.(…)”.
Jakie przepisy zostały naruszone
- art. 5 ust. 1 lit. f) RODO
- art. 5 ust. 2) RODO
- art. 24 ust. 1) RODO
- art. 25 ust. 1) RODO
- art. 32 ust. 1) RODO
- art. 32 ust. 2) RODO
Wniosek UODO o udzielenie informacji ...
Jak wynika z treści Decyzji PUDO DKN.5131.8.2022 organ nadzorczy zwrócił się do Wójta Gminy m.in. o udzielenie informacji:
- Czy skradziony komputer był prywatny czy służbowy?
- Jeśli skradziony komputer był prywatny, to czy procedury ADO dopuszczają używanie prywatnych komputerów do celów służbowych?
- W jaki sposób Administrator określa sposób zabezpieczenia komputerów i w jaki sposób i weryfikuje wdrożenie tych zabezpieczeń?
- Czy Administrator przeprowadził analizę ryzyka uwzględniającą zagrożenie w postaci kradzieży sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych?
- Czy w Urzędzie Gminy Dobrzyniewo Duże wdrożono instrukcję dotyczącą użytkowania, transportu oraz przechowywania komputerów przenośnych zawierających dane osobowe?
Ustalenia UODO ...
- Skradziony komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła.
- Administrator, pomimo prawidłowej identyfikacji w przeprowadzonej analizie ryzyka w 2021 r. zagrożeń dla danych osobowych przetwarzanych przy użyciu komputerów wynoszonych poza jego organizację, prawidłowego określenia poziomu ryzyka dla ww. danych oraz zdefiniowania sposobu postępowania z ryzykiem poprzez wskazanie zabezpieczeń, które należy zastosować dla obniżenia tego ryzyka, nie podjął żadnych działań, aby rzeczywiście to ryzyko wyeliminować lub ograniczyć do poziomu akceptowalnego.
- Zaszyfrowanie dysku twardego komputera nie wymaga nadmiernych sił i środków.
- Dopiero po naruszeniu Administrator podjął działania mające na celu uniknięcie podobnych zdarzeń w przyszłości poprzez szyfrowanie dysków twardych komputerów przenośnych będących jego własnością.
Przenośny sprzęt IT w firmie ...
Korzystanie z przenośnego sprzętu IT jest powiedzmy to sobie szczerze naszą codziennością. Korzystanie ze sprzętu prywatnego do celów służbowych również występuje w różnych dziedzinach, czy to w podmiotach medycznych, czy też placówkach oświatowych, jak również w firmach. Jak pokazuje doświadczenie winę za wystąpienia zdarzeń będących naruszeniem ochrony danych osobowych ponoszą nie tylko administratorzy, ale również i pracownicy, użytkownicy przenośnych urządzeń. Dlatego nie tylko warto, ale i należy przygotować podmiot medyczny, szkołę, czy firmę do takiego rodzaju przetwarzania danych, które zakłada korzystanie z przenośnego sprzętu a tym bardziej ze sprzętu prywatnego pracownika.