Prezes Urzędu Ochrony Danych Osobowych (PUODO) decyzją z dnia 29 kwietnia 2024 roku (DKN.5131.29.2023) nałożył na Res-Gastro M. Gaweł Sp. k. z siedzibą w Kolbuszowej karę w wysokości 238 345,00 zł stwierdzając naruszenie przez administratora przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO poprzez niezastosowanie:
odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym;
odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
W telegraficznym skrócie: w lipcu 2023 roku doszło do zagubienia przez pracownika administratora zewnętrznego nośnika danych (służbowego pendrive’a) zawierającego dane osobowe innego pracownika administratora. Jak się okazało na zagubionym nośniku znajdowały się niezaszyfrowane pliki z danymi osobowymi pracownika w zakresie jego imienia i nazwiska, adresu zamieszkania, obywatelstwa, płci, daty urodzenia, numeru PESEL, serii i numeru paszportu, numeru telefonu, adresu e-mail, zdjęcia (wizerunek) oraz dane dotyczące wysokości jego zarobków.
Jak wynika z treści decyzji PUODO, administrator posiadał wdrożoną instrukcję dotyczącą sposobu postępowania i zabezpieczania elektronicznych nośników danych w organizacji, a pracownik posiadał stosowne upoważnienie do przetwarzania danych osobowych i zgodę administratora na kopiowanie danych na pendrive.
Dlaczego w takim razie doszło do nałożenia kary?
Biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez administratora, zawarty w pliku znajdującym się na zagubionym nośniku, PUODO stwierdził, że w celu prawidłowego wywiązania się z obowiązków nałożonych przez RODO (przepisami art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1, art. 32 ust. 2), administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Sam charakter i rodzaj podjętych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. PUODO wskazał, iż błędne oszacowanie poziomu ryzyka uniemożliwia administratorowi zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia.
Efektem powyższego była utrata przez administratora kontroli nad danymi osobowymi pracownika, którego dane znajdowały się na zagubionym nośniku danych.
Jak zaznaczył PUODO w swojej decyzji, cyt. „Wskazać należy, że rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych. Zarządzanie ryzykiem ma charakter ciągłego procesu wymuszającego na administratorze danych nie tylko zapewnienie zgodności z przepisami rozporządzenia 2016/679 poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale także zapewnienie ciągłości monitorowania poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń.”
Zarzutem, który PUODO postawił administratorowi było nieuwzględnienie w dokonanej przez niego analizie ryzyka możliwości wystąpienia zdarzenia polegającego na zagubieniu pendrive’a przez pracownika, któremu został on powierzony. W związku z powyższym PUODO stwierdził, iż administrator w sposób nieadekwatny przeprowadził analizę ryzyka, nie uwzględniając tym samym wszystkich możliwych ryzyk związanych z użytkowaniem zewnętrznych nośników danych przez pracowników. Administrator zaniechał zatem przeprowadzenia analizy ryzyka dla sytuacji, która spowodowała wystąpienie przedmiotowego naruszenia ochrony danych osobowych, co w opinii PUODO należało uznać za niezgodne z przytoczonymi wyżej przepisami RODO.
Ponadto w trakcie ustalania stanu faktycznego PUODO stwierdził, że administrator przerzucił na swoich pracowników wdrożenie środków bezpieczeństwa w postaci szyfrowania zewnętrznych nośników danych, a sam nie podjął w tym zakresie żadnych działań mających na celu zastosowanie o odpowiednich środków technicznych dla zapewnienia ochrony tym danym.
Biorąc pod uwagę okoliczności opisanego naruszenia, widać jak ważne jest aby administrator przede wszystkim przeprowadzał rzetelną analizę ryzyka, w ramach której zidentyfikuje wszystkie możliwe zagrożenia. Co równie ważne, administrator powinien traktować zarządzanie ryzykiem jako proces o charakterze ciągłym, który stanowi jeden z podstawowych elementów systemu ochrony danych osobowych w organizacji.
Co jeszcze ciekawe i warte podkreślenie przy okazji tej sprawy, to fakt zastosowania przez PUODO przy wymierzaniu kary art. 83 ust. 2 lit. f RODO czyli uwzględnienia stopnia współpracy administratora z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Pokazuje to jak ważna jest odpowiednia i transparentna komunikacja z PUODO w przypadku naruszeń ochrony danych i że jej brak ma realny wpływ na wysokość nakładanych kar.
Krzysztof Winiarski – radca prawny
Comments