16 listopada 2022 r. na stronie Urzędu Ochrony Danych Osobowych pojawiła się informacja o nałożeniu przez Prezesa Urzędu administracyjnej kary pieniężnej za niezapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz brak wdrożenia odpowiednich środków technicznych i organizacyjnych.

Jak wskazuje organ, naruszenie polegało na kradzieży służbowego komputera z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych, co skutkowało naruszeniem ich poufności. Do kradzieży doszło poza siedzibą administratora, gdyż użytkujący laptop pracownik przechowywał go poza zakładem pracy, w domu. Wprawdzie w dokumentacji regulującej procedury bezpieczeństwa przetwarzanych przez Administratora danych osobowych wykazany został szereg zabezpieczeń danych (w tym zabezpieczenia kryptograficzne w postaci zaszyfrowanych dysków twardych), jednak w rzeczywistości zabezpieczenia te nie zostały wdrożone, a dostęp do danych przechowywanych na skradzionym sprzęcie ograniczony był jedynie hasłem użytkownika.

Opisywana sytuacja stanowi uwidocznienie faktu, że sprowadzanie RODO do kompletu zapisanej na serwerze i wydrukowanej dokumentacji, bez faktycznego wdrożenia zasad i procedur ochrony danych w bieżącej działalności Administratora i codziennej pracy osób upoważnionych do przetwarzania danych, prowadzić może do istotnych konsekwencji z punktu widzenia prywatności osób, których dane dotyczą, oraz w związku z ryzykiem poniesienia odpowiedzialności prawnej przez Administratora. Procedury i polityki dotyczące bezpieczeństwa przetwarzania danych osobowych nie mogą mieć zatem charakteru abstrakcyjnego, a stanowić powinny odzwierciedlenie faktycznie funkcjonującego i adekwatnego do zidentyfikowanych ryzyk systemu zabezpieczeń organizacyjnych i technicznych, mających na celu ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem (tj. poufność i integralność przetwarzanych danych).

W tym celu wskazujemy szereg obowiązkowych czynności, jakie każdy Administrator powinien wykonać w celu zachowania możliwie najwyższych standardów ochrony danych:

  • mapowanie przetwarzanych danych i identyfikacja ich rodzaju,
  • przeprowadzenie analizy ryzyka,
  • faktyczne wdrożenie zabezpieczeń organizacyjnych i technicznych w celu ograniczenia zidentyfikowanych ryzyk, z uwzględnieniem stopnia prawdopodobieństwa ich wystąpienia i wagi potencjalnego naruszenia,
  • okresowe przeglądy i aktualizowanie zastosowanych zabezpieczeń,
  • utworzenie polityki przetwarzania danych w związku z pracą zdalną oraz zastosowanie dodatkowych zabezpieczeń technicznych (jak np. szyfrowanie danych, VPN, praca w chmurze, dwustopniowa weryfikacja logowania, stosowanie bezpiecznych i różnych haseł do poszczególnych kont pracowników);
  • cykliczne szkolenia personelu dot. zasad i procedur przetwarzania danych.

Z pełną treścią opublikowanej decyzji PUODO można zapoznać się pod następującym adresem: https://www.uodo.gov.pl/decyzje/DKN.5131.8.2022