Kolejny zgubiony i niezaszyfrowany pendrive ...
Kolejny zgubiony i niezaszyfrowany pendrive – niestety jak czytamy w Komunikacie Powiatowej Stacji Sanitarno – Epidemiologicznej w Policach cyt.: „(…)doszło do incydentu, tj. znalezienia poza terenem Stacji pendrive m.in. z danymi pochodzącymi z Powiatowej Stacji Sanitarno – Epidemiologicznej w Policach, wskutek czego doszło do naruszenia bezpieczeństwa danych osobowych tam zapisanych. (…)”.
Niestety to już kolejny przypadek zagubionego pendrive ...
Niestety zgubiony pendrive, o czym czytamy w komunikacie Powiatowej Stacji Sanotarno – Epidemiologicznej w Policach, to kolejny przypadek zdarzenia, jakie odnosi się do przenośnych pamięci danych. Powagi sprawie dodaje jednak fakt, iż pomimo dwóch poprzedni analogicznych zdarzeń, administratorzy danych osobowych, wciąż nie dostrzegają skali konsekwencji związanych z materializacją ryzyka zagubienia pendrive, jako przenośnej i niezaszyfrowanej pamięci danych.
Naruszenie ochrony danych osobowych ...
Zgodnie z art. 4 pkt. 12 RODO cyt.: „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;”.
Decyzja UODO: DKN.5131.22.2021
cyt.: „(…)Prezes Sądu Rejonowego nie zabezpieczał służbowych nośników z danymi, a jedynie polecił swoim pracownikom, by sami to robili. Tymczasem to on, jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych. Za brak takich rozwiązań organ nadzorczy nałożył na Prezesa Sądu administracyjną karę pieniężną w kwocie 10 tys. zł. (…)”.
Decyzja UODO: DKN.5131.12.2020
cyt.: „Do Urzędu Ochrony Danych Osobowych 20 września 2020 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Sąd Rejonowy Szczecin-Centrum w Szczecinie. Do naruszenia doszło na skutek zagubienia trzech nośników danych typu pendrive: jednego służbowego – szyfrowanego oraz dwóch prywatnych – nieszyfrowanych. Na zagubionych nośnikach znajdowały się projekty orzeczeń i uzasadnień, zawierające dane osobowe (z okresu od grudnia 2004 r. do sierpnia 2020 r.). Organ w toku postępowania stwierdził, że administrator nie wdrożył adekwatnych środków technicznych, np. blokady portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych. Podkreślić należy, że administrator dopuszczający użytkowanie przenośnych nośników danych powinien zapewnić, aby były to nośniki służbowe zweryfikowane przez dział IT i zabezpieczane przed dostępem osób nieuprawnionych w przypadku ich zgubienia lub pozostawienia bez nadzoru”
Pracownik, który zgubił pendrive, stracił pracę ...
Jak czytamy w informacji prasowej, opublikowanej przez Kuriera Szczecińakiego dnia 15 listopada 2023r., cyt.: „(…)Pendrive z danymi wrażliwymi zgubił pracownik szczecińskiego powiatowego sanepidu. Już w nim nie pracuje.(…)„. Niestety wśród pracowników wciąż pokutuje przekonanie, że za ich działania albo zaniechania skutkujące powstaniem zdarzenia kwalifikowanego, jako naruszenie ochrony danych osobowych, konsekwencje w razie czego, poniesie administrator danych osobowych. Tak taka ewentualność jest możliwa, ale pracownicy zapominają o tym, że i oni personalnie mogą zostać pociągnięci do odpowiedzialności. Odpowiedzialności zróżnicowanej w zależności od stanu faktycznego, może to być odpowiedzialność dyscyplinarna, cywilna, nawet karna. Warto jest prowadzić kampanie edukacyjne wśród personelu, aby podnosić ich świadomość.
Zalecamy przeprowadzenie ankiety weryfikacyjnej ...
