Prezes UODO odnosi się do analizy ryzyka i nakłada prawie 240 000 zł kary

Przyczyną nałożenia przez Prezesa UODO administracyjna kara pieniężna w wysokości 238 35 zł nie jest:

  1. zgubienie niezaszyfrowanego pendriv’a;
  2. dokonanie zgłoszenia naruszenia naruszenia ochrony danych osobowych;
  3. zawartość pednrive – znajdowały się tam dane 1 (słownie: jednego) pracownika;
  4. decyzja administratora, o stosowaniu przenośnych pamięci.

Powyższe zastrzeżenie jest istotne, abyśmy mogli merytorycznie odnieść się do opublikowanej decyzji administracyjnej.

Organ nadzorczy nałożył powyższą karę za naruszenie:

art. 5 ust. 1 lit. f):

przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

art. 5 ust. 2:

Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

art. 25 ust. 1:

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

art. 32 ust. 1 i 2:

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

W trakcie postępowani Administrator wskazał, że:

na zagubionym zewnętrznym nośniku danych (pendrive) znajdowały się niezaszyfrowane pliki z danymi osobowymi pracownika w zakresie imienia i nazwiska, adresu zamieszkania, obywatelstwa, płci, daty urodzenia, numeru PESEL, serii i numeru paszportu, numeru telefonu, adresu e-mail, zdjęcia (wizerunek) oraz dane dotyczące wysokości zarobków.

przedmiotowy pendrive został zagubiony nie w miejscu publicznym, lecz na terenie zakładu pracy, w części, do której dostęp mają wyłącznie pracownicy administratora, wynika z wyjaśnień pracownika, który dokonał naruszenia. Pracownik ten w dniu 20 lipca 2023 r. dokonał szczegółowych ustnych wyjaśnień zaistniałej sytuacji, które następnie potwierdził na piśmie w dniu 3 listopada 2023 r.”. Administrator do wystosowanego do organu nadzorczego pisma z dnia 7 listopada 2023 roku, jako załącznik dołączył kopię wyjaśnień pracownika z dnia 3 listopada 2023 roku, cyt. „(…) przedstawiających przebieg i okoliczności zagubienia pendrive’a”. Z kolei pismem z dnia 18 grudnia 2023 roku Administrator przedłożył Prezesowi UODO zaktualizowaną analizę ryzyka przeprowadzoną w dniu 1 sierpnia 2023 roku oraz wskazał, że cyt. (…) „w działalności wewnętrznej administratora obecnie nie stosuje się już pendrive’ów”.

Prezes UODO biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez Administratora, zawarty w pliku znajdującym się na zagubionym zewnętrznym nośniku danych (tj. pendrive), w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych osobowych.

Organ nadzorczy wskazał, że:

wśród wymienionych zagrożeń Administrator nie wskazał możliwości wystąpienia zdarzenia polegającego na zagubieniu zewnętrznego nośnika danych (tj. pendrive) przez pracownika, któremu został on powierzony.

administrator w sposób nieadekwatny przeprowadził ww. analizę, nie uwzględniając tym samym wszystkich możliwych ryzyk związanych z użytkowaniem zewnętrznych nośników danych przez pracowników. Administrator zaniechał zatem przeprowadzenia analizy ryzyka dla sytuacji, która spowodowała wystąpienie zgłoszonego Prezesowi UODO naruszenia ochrony danych osobowych, co należy uznać za niezgodne z przytoczonymi wyżej przepisami rozporządzenia 2016/679.

Administrator jednak, wbrew przeprowadzonej analizie ryzyka, nie wdrożył przyjętego środka technicznego, tj. nie wdrożył rozwiązań kryptograficznych dla ochrony danych osobowych przetwarzanych przy użyciu służbowych zewnętrznych nośników danych będących w dyspozycji jego pracowników.

Administrator w złożonych wyjaśnieniach poinformował organ nadzorczy, że cyt. „oprócz Instrukcji (…) przygotował odrębną instrukcję objaśniającą, w jaki sposób szyfrować pliki na pendrive oraz jakiego programu do tego celu użyć” i przekazał link, pod którym można zapoznać się z ww. instrukcją (sporządzoną w formie filmu instruktażowego). Przedmiotowy film instruktażowy wyjaśnia, w jaki sposób, za pomocą programu (…) zaszyfrować prezentowane w materiale pliki z danymi. Biorąc pod uwagę zastosowaną przez Administratora formę (film instruktażowy) przekazania pracownikom kluczowych wytycznych w zakresie należytego zabezpieczenia zewnętrznych nośników danych (pendrive) nie jest możliwe dokonanie jego rzetelnej oceny pod kątem skuteczności i realnie pozyskanej wiedzy i umiejętności pracowników w omawianym zakresie (brak następczych czynności sprawdzających zapoznanie się pracowników Administratora z materiałem).

Prezes UODO podniósł, iż:

opisywane testowanie, mierzenie i ocenianie musi dotyczyć nie tylko wprowadzonych środków o charakterze technicznym, ale również tych o charakterze organizacyjnym, a więc m.in. procedur określających zasady przetwarzania danych osobowych, w tym przy użyciu zewnętrznych nośników danych (pendrive).

W niniejszej sprawie administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia.

Administrator w dniu 21 lipca 2023 roku listem poleconym przekazał podmiotowi danych prawidłowe zawiadomienie o naruszeniu ochrony danych wraz ze wskazaniem,  w jaki sposób może zabezpieczyć swoje dane osobowe przed dalszym ich wykorzystaniem oraz dokonał wykupienia dla ww. osoby raportu BIK zawierającego szczegółową historię kredytową tego podmiotu, zgodnie z deklaracją Administratora wyrażoną w piśmie z dnia 11 października 2023 roku cyt. (…) „Gastro M. Gaweł Sp. k. wykupił, dla osoby, której dane dotyczą […] raport BIK, na dowód czego załączam potwierdzenie wysłania wniosku pocztą w dniu 10 sierpnia 2023 r. oraz potwierdzenie dokonania przelewu za raport BIK”.

Powyższe doprowadziło organ nadzorczy do:

nałożenia za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 administracyjną karę pieniężną w kwocie 238 345  zł (słownie: dwieście trzydzieści osiem tysięcy trzysta czterdzieści pięć złotych),

nakazania dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, w terminie 3 miesięcy od dnia doręczenia niniejszej decyzji.