10 tys. zł kary dla burmistrza. Za RODO

Burmistrz Miasta i Gminy został ukarany przez Prezesa Urzędu Ochrony Danych Osobowych za to, że nie zapobiegł wyciekowi danych, do którego doszło wskutek wykonania przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik.

Publikacja: 15.06.2023 15:01

10 tys. zł kary dla burmistrza. Za RODO

Foto: Adobe Stock

dgk

Burmistrz Miasta i Gminy zgłosił do UODO naruszenie ochrony danych osobowych polegające na wykonaniu przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik. Jak się okazało  w urzędzie nie stosowano szyfrowania portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik.

 W ocenie PUODO, biorąc pod uwagę  zakres przetwarzanych przez Burmistrza danych osobowych zawartych w skopiowanych dokumentach,  administrator ten był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych. 

Czytaj więcej

Sąd: kurator zgubił dane osobowe, ale odpowiada prezes sądu

Analiza ryzyka jest kluczowa

-  Administrator ma samodzielnie przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka - przypomina Urząd Ochrony Danych Osobowych.

Z przeprowadzonego postępowania organu nadzorczego wynika, że  administrator nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem. A tymczasem czynność ta jest kluczowa dla doboru odpowiednich środków technicznych i organizacyjnych.

W przypadku gdy administrator przewidział możliwość użycia przenośnych nośników pamięci, przeprowadzenie prawidłowej analizy pozwoliłyby określić oraz wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa  danych.

Monitorowanie skuteczności zabezpieczeń

- Dostosowanie procesów przetwarzania danych osobowych w każdej organizacji nie może mieć charakteru epizodycznego. Ochrona danych osobowych jest procesem ciągłym i powinna być poddawana bieżącej aktualizacji, w zależności od zachodzących procesów. W przedmiotowej sprawie administrator nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń - przypomina UODO.

Administrator przeprowadził co prawda szkolenia obejmujące swoją tematyką zagadnienia związane z ochroną danych osobowych, jednak nie był w stanie wykazać, że osoba, która doprowadziła do naruszenia ochrony danych osobowych, uczestniczyła w tych szkoleniach.

Brak analizy ryzyka przed wystąpieniem naruszenia ochrony danych osobowych, spowodował, że administrator nie był w stanie wykazać, czy przyjęte rozwiązania rzeczywiście zapewniały odpowiednie bezpieczeństwo. Doszło do nieuprawnionego wykorzystywania przez pracownika przenośnego nośnika danych.

Mamy wpływ na rzeczywistość

Rada Legislacyjna
"Rzeczpospolitej"

ŚLEDŹ NAS
Matura i egzamin ósmoklasisty
Matura 2025: język polski. Odpowiedzi i arkusze CKE
Zawody prawnicze
Stowarzyszenia prawnicze chcą odwołania Adama Bodnara. Wnioskują do prezydenta
Prawo dla Ciebie
Operowana robotem da Vinci zmarła. Prawnicy tłumaczą, czym jest eksperyment medyczny
Prawo karne
Wyłudził od Romario miliony. Oszust z Biłgoraja wrócił do Polski
Matura i egzamin ósmoklasisty
Matura i egzamin ósmoklasisty 2025 z "Rzeczpospolitą" i WSiP
Materiał Promocyjny
Lenovo i Motorola dalej rosną na polskim rynku