240 tysięcy złotych za zgubienie pendrive'a - surowa kara za brak zgodności z RODO

W dzisiejszych czasach, ochrona danych osobowych jest niezwykle istotna, szczególnie w kontekście przepisów RODO (Rozporządzenie o Ochronie Danych Osobowych). W związku z tym każda firma, która przetwarza dane osobowe, musi przestrzegać określonych standardów bezpieczeństwa, aby chronić te dane przed nieautoryzowanym dostępem lub utratą.

Niestety, jak pokazuje przypadek firmy gastronomicznej Res-Gastro M. Gaweł Sp. k. z Kolbuszowej na Podkarpaciu, niewłaściwe zarządzanie danymi osobowymi może prowadzić do poważnych konsekwencji finansowych.

Zgubiony pendrive, i co dalej?

Pracownik firmy Res-Gastro zgubił pendrive’a zawierającego dane osobowe innego pracownika. Na nośniku znajdowały się zarówno niezaszyfrowane pliki z danymi takimi jak imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków, jak i zaszyfrowane pliki z danymi finansowymi.

Można by sądzić, że jest to konsekwencja braku jakiejkolwiek dbałości o dane osobowe. Sytuacja jednak nie była taka trywialna, gdyż ukarana firma posiadała dokumenty takie jak rejestr ryzyka czy też potwierdzenia przeprowadzania monitorowania procedur RODO.

To co mogło pójść nie tak?

Otóż, ponownie diabeł tkwi w szczegółach. Problemem okazały się zasady korzystania z zewnętrznych nośników danych, w tym ich szyfrowanie. Bo choć firma informowała pracowników, jak szyfrować pliki na filmie instruktażowym, to przerzucała tym samym  odpowiedzialność na pracowników, nie zapewniając odpowiednich środków organizacyjnych i technicznych, które mogłyby zabezpieczyć dane osobowe.

Prezes Urzędu Ochrony Danych Osobowych (UODO) ustalił, że sposób przetwarzania danych osobowych w tej firmie był niezgodny z przepisami RODO, co skutkowało nałożeniem kary w wysokości prawie 240 tys. zł.

Wdrożenie RODO - kluczowe aspekty

Przypadek firmy Res-Gastro pokazuje, jak ważne jest właściwe wdrożenie przepisów RODO, najlepiej z asystą osoby o odpowiednich kwalifikacjach, tj. Inspektora Ochrony Danych Osobowych, który dzięki posiadanej wiedzy może uchronić firmę przed dotkliwymi konsekwencjami pod postacią kar nakładanych przez UODO.

Poniżej przedstawiamy kilka kluczowych aspektów, które każda firma powinna wziąć pod uwagę:

1. Analiza ryzyka

Każda organizacja musi regularnie przeprowadzać analizę ryzyka związanego z przetwarzaniem danych osobowych. Należy brać pod uwagę różne scenariusze, w tym możliwość zgubienia nośników danych. Analiza ryzyka powinna być kompleksowa i uwzględniać wszystkie potencjalne zagrożenia.

2. Środki techniczne i organizacyjne

RODO wymaga, aby firmy wdrażały odpowiednie środki techniczne i organizacyjne, które zapewnią bezpieczeństwo przetwarzanych danych osobowych. W przypadku nośników zewnętrznych, takich jak pendrive’y, kluczowe jest stosowanie rozwiązań kryptograficznych do ochrony danych. Szyfrowanie plików powinno być standardem, a nie tylko zaleceniem.

3. Szkolenia pracowników

Szkolenie pracowników jest niezbędne, ale musi być prowadzone w sposób, który zapewni im rzeczywiste zrozumienie i umiejętność stosowania zasad ochrony danych osobowych. Filmy instruktażowe mogą być pomocne, ale nie mogą zastępować regularnych szkoleń i testów sprawdzających wiedzę i umiejętności pracowników.

4. Monitorowanie i testowanie środków bezpieczeństwa

Firmy powinny regularnie mierzyć, testować i oceniać skuteczność zastosowanych środków bezpieczeństwa. Tylko poprzez ciągłe monitorowanie i doskonalenie procedur można zapewnić odpowiedni poziom ochrony danych osobowych.

Podsumowanie

Przypadek firmy Res-Gastro jest ostrzeżeniem dla innych przedsiębiorstw, które przetwarzają dane osobowe, gdyż niewłaściwe zarządzanie danymi może prowadzić do poważnych konsekwencji finansowych oraz utraty zaufania klientów. Dlatego tak ważne jest, aby firmy dokładnie przestrzegały przepisów RODO, regularnie analizowały ryzyko i wdrażały odpowiednie środki techniczne oraz organizacyjne.