Brak wdrożenia środków technicznych i organizacyjnych powodem nałożenia przez UODO administracyjnej kary pieniężnej.
Kara nałożona została na wójta gminy Dobrzyniewo Duże. ADO (Administrator Danych Osobowych) zgłosił naruszenie ochrony danych osobowych polegające na kradzieży służbowego laptopa. Na laptopie tym nie zastosowano odpowiednich zabezpieczeń a mimo to wyniesiono go poza siedzibę administratora.
Administrator wprowadził polityki bezpieczeństwa oraz procedury, przeprowadził analizę ryzyka, a nawet zidentyfikował i poddał ocenie ryzyko związane z kradzieżą komputera. Tak przynajmniej wynikało z wdrożonej Polityki. Dokumentacja pokazała, że miał świadomość ryzyka, które sam ocenił jako nieakceptowalne i wśród zabezpieczeń służących minimalizowaniu tego ryzyka wskazał m. in. szyfrowanie dysku twardego komputera. Skradziony komputer nie miał takiego zabezpieczenia, a chroniony był jedynie hasłem.
RODO wskazuje obowiązek zachowania poufności i integralności przetwarzanych danych. Ten aspekt został przewidziany w dokumentacji z zakresu ochrony danych i procedurach, ale nie miał odzwierciedlenia w rzeczywistości. Zgodnie z RODO art.24 „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.”
Pamiętajmy, że ochrona danych osobowych jako wycinek Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) w organizacji jest procesem ciągłego doskonalenia.
Wdrożenie ochrony danych w organizacji to nie tylko wytworzenie czy skopiowanie dokumentacji. Kolejnym etapem jest zawsze wdrożenie, następnie zweryfikowanie działania i wprowadzenie działań korygujących.
UODO uznał, że wójt Gminy Dobrzyniewo Duże prowadził odpowiednią dokumentację oraz dokonywał analizy ryzyka oraz miał świadomość konieczności stosowania odpowiednich środków technicznych i organizacyjnych w procesach przetwarzania. Dopiero jednak po wystąpieniu naruszenia podjął działania mające na celu uniknięcie podobnych sytuacji w przyszłości.
Jak wskazuje UODO, komputer został odnaleziony, a po przeprowadzonej analizie wykazano, że system operacyjny nie był uruchamiany od momentu kradzieży. Pragniemy w tym miejscu zaznaczyć, że jeśli dysk nie był szyfrowany, można z niego odczytać wszelkie dane bez większych trudności.
UODO wskazał, że nie ma podstaw, aby uznać, że osoby, których dane znajdowały się na twardym dysku tego komputera poniosły szkodę na skutek naruszenia danych.
W tym miejscu, jako podsumowanie artykułu, pragniemy zwrócić uwagę na stosowaną praktykę wdrażania RODO niskim kosztem – np. poprzez zakup gotowej dokumentacji bez dostosowania do potrzeb organizacji czy prawidłowego wdrożenia.