Przenośne pamięci danych i kara UODO
Przenośne pamięci danych i kara UODO – [Decyzja z dnia 09.05.2023 sygn. DKN.5131.44.2022] kolejny przykład zdarzenia zakwalifikowanego, jako naruszenie ochrony danych osobowych, w którym przenośne pamięci danych odgrywają kluczową rolę.
Zakazać używania Pendrive USB / Zewnętrznych dysków ...
Nie ulega wątpliwości, iż całkowite wykluczenie ryzyka związanego z wykorzystaniem przenośnych pamięci danych nie jest możliwe do zrealizowania, tam gdzie stosowanie takich urządzeń jest niezbędne i konieczne. Naturalnie zastosowanie rozwiązań technicznych uniemożliwiających posługiwanie się fizyczne tego rodzaju urządzeniami jest wyjściem z sytuacji, wyjściem które warto rozważyć i zarekomendować. Nie każdy jednak ADO zdecyduje się na tego typu rozwiązanie. Pozostaje mu zatem wprowadzenie określonych zasad korzystania z przenośnych pamięci danych. Zasad określających pewien minimalny poziom bezpieczeństwa dla przetwarzanych w ten sposób danych tj. z jednej strony wprowadzenie zakazu korzystania z prywatnych nośników, a z drugiej strony wyposażenie pracowników w stosowne urządzenia służbowe. Ponadto wprowadzenie rozwiązań gwarantujących zabezpieczenie przetwarzanych danych na wypadek zagubienia nośnika, czy jego kradzieży tj. szyfrowanie. Pamiętamy jednak, iż tego obowiązku nie należy przerzucać na użytkownika urządzenia. Należy także pamiętać o tym, iż działaniem, które obniża poziom ryzyka współwystępującego nierozerwalnie z przetwarzaniem danych z wykorzystaniem przenośnych pamięci danych, mogą być działania o charakterze szkoleniowym, skierowane do personelu.
Po pierwsze opracowaliśmy Ankietę sprawdzającą na podstawie której ADO będzie miał możliwość dokonania analizy stanu faktycznego. Analizy pod kątem tego, jak i czy wykorzystywane są w strukturach urządzenia przenośne w tym pamięci masowe zewnętrzne, pendrive itp. Następnie zebrane informacje pozwolą na dokonanie oceny ryzyka i dopasowanie adekwatnych zabezpieczeń. Ankietę można także wykorzystywać, jako narzędzie regularnego testowania zasobów. Po drugie opracowaliśmy Materiały szkoleniowe dla pracowników pozwalające na przekazanie im niezbędnych informacji, na temat ryzyk związanych z przetwarzaniem danych z wykorzystaniem przenośnych urządzeń, jak i zasad postępowania.
Ocena ryzyka ...
Jak czytamy w treści Uzasadnienia do Decyzji PUODO
cyt.:”(…)W przedmiotowej sprawie – wobec nieprzeprowadzenia przed wystąpieniem naruszenia ochrony danych osobowych analizy ryzyka dla operacji przetwarzania danych osobowych w związku z wykorzystywaniem przez pracowników Urzędu Miasta i Gminy W. sprzętu komputerowego umożliwiającego podłączenie przenośnych nośników danych (w szczególności pamięci USB), w tym prywatnych przenośnych nośników danych, która uwzględniałaby zagrożenia związane z nieuprawnionym skopiowaniem przez pracownika z komputera służbowego na ten rodzaj nośnika danych plików zawierających dane osobowe – Administrator nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, wbrew nie tylko obowiązkom wynikającym z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, ale także zasadzie rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.(…)”.
Szyfrowanie nośników ...
Jak czytamy w treści Uzasadnienia do Decyzji PUODO
cyt.:”(…)Wskazać przy tym ponownie należy, że w odniesieniu do przenośnych nośników pamięci wykorzystywanych przez pracowników Urzędu Miasta i Gminy W., z uwagi na zagrożenia z tym związane, w celu przeciwdziałania potencjalnym skutkom naruszenia i zapobieżenia utracie poufności danych osobowych znajdujących się na takim urządzeniu, administrator, stosownie do art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 1 i 2 rozporządzenia 2016/679, zobowiązany jest do stosowania skutecznych zabezpieczeń, które w przypadku np. skopiowania dokumentów z komputerów służbowych na przenośny nośnik danych uniemożliwią osobom nieupoważnionym dostęp do danych osobowych przetwarzanych przez Administratora. Jak powyżej wykazano, tego typu skutecznych zabezpieczeń Burmistrz przed wystąpieniem naruszenia nie wprowadził.(…)”.
Szkolenie ...
Jak czytamy w treści Uzasadnienia do Decyzji PUODO
cyt.:”(…)Jak wynika ze zgromadzonego materiału dowodowego, Administrator przeprowadził co prawda szkolenia obejmujące swoją tematyką zagadnienia związane z ochroną danych osobowych, jednakże nie jest w stanie wykazać, że osoba odpowiedzialna za naruszenie ochrony danych osobowych uczestniczyła w tych szkoleniach. Wobec tego należy podkreślić, że również w tym przypadku Administrator nie zrealizował zasady rozliczalności, gdyż nie jest w stanie udowodnić, że pracownik (którego działalnie doprowadziło do naruszenia) był właściwie przeszkolony w zakresie stosowania przepisów regulujących kwestię ochrony danych osobowych. Prawidłowo przeprowadzone szkolenia pozwalają osobom szkolonym na właściwe zrozumienie zasad przetwarzania danych osobowych określonych przez Administratora, a w konsekwencji przyczyniają się do ograniczenia ryzyka wystąpienia naruszeń w tym obszarze.Podnieść również należy, że przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi być realizowane w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem. (…) Co więcej, brak przeprowadzania szkoleń w opisany wyżej sposób oznacza, że ten środek bezpieczeństwa w praktyce nie obniża ryzyka wystąpienia naruszeń ochrony danych osobowych, co niewątpliwie przyczynia się do osłabienia poziomu ochrony danych osobowych i przesądza o konieczności uznania naruszenia przepisów rozporządzenia 2016/679 odnoszących do obowiązków administratora w zakresie bezpieczeństwa danych. Pamiętać również trzeba, że szkolenia nie zastąpią rozwiązań o charakterze technicznym.(…)”.
