Analiza ryzyka i działanie zgodnie z przyjętymi procedurami przeciwdziałają utracie danych

UODO nałożył administracyjną karę pieniężną w wysokości 8 tys. zł. na wójta gminy Dobrzyniewo Duże za niezapewnienie odpowiedniego bezpieczeństwa danych osobowych oraz brak wdrożenia odpowiednich środków technicznych i organizacyjnych.

Administrator zgłosił do UODO naruszenia ochrony danych osobowych. Naruszenie polegało na kradzieży służbowego komputera z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych, co skutkowało naruszeniem ich poufności. Do kradzieży doszło poza siedzibą administratora, gdyż użytkujący laptop pracownik przechowywał go poza zakładem pracy, w domu.

Zasady ustalone, wdrożenia brak

Co należy podkreślić, administrator opracował odpowiednie procedury i polityki dotyczące bezpieczeństwa przetwarzania danych osobowych oraz przeprowadził analizę ryzyka, w której odniósł się m.in. do zagrożenia w postaci kradzieży sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych.

Administrator miał świadomość ryzyk związanych z utratą sprzętu komputerowego wynoszonego poza jego organizację. Ryzyko to ocenił jako nieakceptowalne i określił, w ramach sposobu postępowania z ryzykiem, zabezpieczenia, jakie należy wdrożyć w celu jego ograniczenia. Wśród wymienionych zabezpieczeń mających obniżyć poziom ryzyka wskazano m.in. na szyfrowanie.

Jednak jak wykazało postępowanie skradziony komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła, a przyjęte w procedurach zabezpieczenia nie zostały zastosowane, przynajmniej na tym komputerze.

Analiza ryzyka powinna poprzedzać wdrożenie odpowiednich środków

Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”).

Zgodnie z RODO konkretyzacją zasady poufności stanowi wdrożenie odpowiednich środków organizacyjnych i technicznych. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Administrator w celu przeciwdziałania potencjalnym skutkom naruszenia i zapobieżenia utracie poufności danych osobowych może zastosować dodatkowe zabezpieczenia w postaci np. szyfrowania dysków twardych komputera, a ich określenie powinno nastąpić w wyniku przeprowadzonej analizy ryzyka, po prawidłowej identyfikacji zagrożeń dla danych osobowych przetwarzanych przy użyciu komputerów przenośnych użytkowanych poza organizacją administratora.

Zaniedbanie doprowadziło do nałożenia kary pieniężnej

W sprawie dotyczącej naruszenia w gminie Dobrzyniewo Duże administrator prowadził odpowiednią dokumentację od momentu rozpoczęcia stosowania RODO oraz dokonywał analizy ryzyka. Należy uznać, że miał on świadomość konieczności zastosowania odpowiednich środków organizacyjnych i technicznych zapewniających bezpieczeństwo przetwarzania danych osobowych przetwarzanych przy użyciu przenośnego sprzętu komputerowego.

Jednak dopiero po naruszeniu administrator podjął działania mające na celu uniknięcie podobnych zdarzeń w przyszłości poprzez szyfrowanie dysków twardych komputerów przenośnych. Zatem administrator dopiero po wystąpieniu naruszenia zastosował się do wyników własnej analizy ryzyka i określonego w niej sposobu postępowania z ryzykiem.

Administrator dopuścił się zaniedbania skutkującego wystąpieniem naruszenia dotyczącego poufności danych, tym samym nieumyślnie naruszył przepisy o ochronie danych osobowych. Przy nakładaniu administracyjnej kary pieniężnej uwzględniono również fakt, że skradziony komputer został odnaleziony, a przeprowadzona przez administratora analiza wykazała, że od dnia kradzieży system operacyjny komputera nie był uruchamiany.

Tym samym, pomimo że administrator utracił kontrolę nad danymi osobowymi, a nieuprawniona osoba uzyskała do nich bezprawny dostęp, nie było podstaw do uznania, że na dzień wydania przedmiotowej decyzji administracyjnej, osoby, których dane dotyczą poniosły jakąkolwiek szkodę na skutek tego naruszenia.