Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Procedura użytkowania zewnętrznych nośników danych

Procedura użytkowania zewnętrznych nośników danych

Procedura użytkowania zewnętrznych nośników danych. Kolejna już decyzja Prezesa UODO nakładajaca administracyjną karę pieniężną na administratora w związku z faktem niezachowania przez niego adekwatnych do ryzyk związanych z użytkowaniem przenośnych pamięci danych – środków organizacyjnych i technicznych – szyfrowanie i testowanie zabezpieczeń. Kolejny przypadek, kiedy mamy do czynienia z naruszeniem ochrony danych osobwoych polegającym na przypadkowym zagubieniu utraceniu nośnika danych (Pendrive) z zapisanymi na nim informacjami, stanowiącymi dane osobowe, które nie zostały w całości zaszyfrowane. 

Fragmenty Decyzji PUODO / DKN.5131.29.2023

cyt,: „(…)W ustalonym stanie faktycznym należy zatem przyjąć, że Administrator przerzucił na swoich pracowników wdrożenie środków bezpieczeństwa w postaci szyfrowania zewnętrznych nośników danych (pendrive), a sam nie podjął w tym zakresie żadnych działań mających na celu zastosowanie odpowiednich środków technicznych dla zapewnienia ochrony tym danym(…)”.

cyt.: „(…)Nie można bowiem uznać, że wprowadzenie w wewnętrznym dokumencie Administratora obowiązku szyfrowania zewnętrznych nośników danych (pendrive) oraz przekazanie pracownikom używającym tych nośników linku do filmu z instrukcją ich szyfrowania stanowi o prawidłowej realizacji tych obowiązków, skoro finalnie i tak obowiązek zastosowania tego konkretnego środka bezpieczeństwa o charakterze technicznym spoczywał na pracowniku. W tym kontekście wskazać należy na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 lutego 2022 roku, sygn. akt II SA/Wa 3309/21, w uzasadnieniu którego podkreślono, że „Pracownik nie może bowiem zastępować administratora danych w realizacji jego zadań wynikających z tych przepisów. Ponadto, pracownik może nie posiadać w tym zakresie odpowiedniej wiedzy, zignorować konieczność zabezpieczenia nośnika (tak jak miało to miejsce w niniejszym przypadku) […] lub wdrożyć zabezpieczenie nieadekwatne do zakresu i charakteru danych oraz ryzyk występujących w tym procesie przetwarzania danych. Trafne są wnioski organu, iż tak zorganizowany proces określania i wdrażania zabezpieczeń przetwarzanych danych osobowych, skutkuje wręcz pozbawieniem administratora danych podstawowych informacji niezbędnych do przeprowadzenia w sposób właściwy analizy ryzyka i na tej podstawie zbudowania skutecznego systemu ochrony danych, niezbędnego do ciągłego zapewniania poufności danych, zgodnie z wymogiem wynikającym w szczególności z art. 32 ust. 1 lit. b rozporządzenia 2016/679. Nie będzie on bowiem miał wiedzy co do tego, jakie zabezpieczenia w jego organizacji istnieją, na ile i w przypadku jakich zagrożeń będą skuteczne, a także zostaje pozbawiony informacji oraz możliwości zareagowania na wdrożenie zabezpieczenia nieadekwatnego do zagrożeń”.(…)”.

Zakres danych zapisanych na zagubionym nośniku ...

cyt,: „(…)Dane osobowe, znajdujące się na zagubionym zewnętrznym nośniku danych (pendrive), tj. imię i nazwisko, adres zamieszkania, obywatelstwo, płeć, data urodzenia, miejsce urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mailowy, wizerunek (zdjęcie) oraz dane dotyczące zarobków nie obejmują danych podlegających szczególnej ochronie na gruncie art. 9 ust. 1 oraz art. 10 rozporządzenia 2016/679. Numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę urodzenia oraz podlegający również, jako krajowy numer identyfikacyjnym, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.(…)”.

Wysokość kary, skłania do refleksji oraz przekonuje do działania ...

cyt,: „(…)W niniejszej sprawie administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie administracyjna kara pieniężna w wysokości 238 345 zł (słownie: dwieście trzydzieści osiem tysięcy trzysta czterdzieści pięć) nałożona na Administratora łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego..(…)”.

Obowiązkowe testowanie i ocenianie obowiązujących procedur ...

cyt,: „(…)Należy zatem wskazać, że opisywane testowanie, mierzenie i ocenianie musi dotyczyć nie tylko wprowadzonych środków o charakterze technicznym, ale również tych o charakterze organizacyjnym, a więc m.in. procedur określających zasady przetwarzania danych osobowych, w tym przy użyciu zewnętrznych nośników danych (pendrive). Działanie w tym zakresie polega przede wszystkim na ich przeglądzie pod kątem skuteczności, na co składa się nie tylko sprawdzanie, czy określona procedura jest stosowana przez pracowników, ale także na zbadaniu, czy wdrożone środki bezpieczeństwa przyczyniają się w sposób realny do obniżenia ryzyka.(…)”.

cyt,: „(…)W związku z powyższym należy uznać, że procedura związana z użytkowaniem zewnętrznych nośników danych (pendrive) wskazana w „Instrukcji (…)” w żaden sposób nie była egzekwowana przez Administratora, gdyż przedmiotowe naruszenie ochrony danych osobowych polegało na zagubieniu przez pracownika zewnętrznego nośnika danych (pendrive), na którym znajdowały się pliki z niezaszyfrowanymi danymi osobowymi pracownika oraz zaszyfrowane dane finansowe..(…)”.

Ryzyk jest o wiele więcej ...

Warto zastanowić się nad tym, czy aby personel w organizacji ma wystarczającą wiedzę na temat tego, jak należy postępować w przypadku, nie tylko zgubienia przenośnego nośnika danych, ale też w przypadku znalezienia takiego, czy też otrzymania w przesyłce jako prezent. Czy pracownicy mają świadomość zagrożeń, jakie niesie za sobą użytkowanie potencjalnie niegroźnie wyglądającego kabla do ładowania telefonu, jaki znaleźli w firmie, który pożyczyli od przypadkowej osoby, albo czym może grozić włożenie do portu USB urządzenia nieznanego pochodzenia.

Materiały źródłowe

Procedura użytkowania zewnętrznych nośników danych