Burmistrz Miasta i Gminy zgłosił do UODO naruszenie ochrony danych osobowych polegające na wykonaniu przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik. Jak się okazało w urzędzie nie stosowano szyfrowania portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik.
W ocenie PUODO, biorąc pod uwagę zakres przetwarzanych przez Burmistrza danych osobowych zawartych w skopiowanych dokumentach, administrator ten był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych.
Czytaj więcej
Ograniczenie się przez administratora tylko do szkolenia dla pracowników, pomijając przy tym zast...
Analiza ryzyka jest kluczowa
- Administrator ma samodzielnie przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka - przypomina Urząd Ochrony Danych Osobowych.
Z przeprowadzonego postępowania organu nadzorczego wynika, że administrator nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem. A tymczasem czynność ta jest kluczowa dla doboru odpowiednich środków technicznych i organizacyjnych.