Czy jako Administrator potrafisz dobrać właściwe zabezpieczenia techniczne i organizacyjne niezbędne do zapewnienia zgodności z RODO?

Dlaczego?

Naruszenie ochrony danych osobowych, będące przyczyną nałożonej kary, polegało na zgubieniu przez kuratora sądowego przenośnego nośnika informacji typu pendrive. Pendrive był służbowy, niezaszyfrowany i zawierał dane osobowe 400 osób podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym przez kuratora.

Na pendrive znajdowały się dane osobowe takie jak: imiona i nazwisko, data urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, dane dotyczące zarobków i/lub posiadanego majątku, seria i numer dowodu osobistego, numer telefonu, dane dotyczące zdrowia oraz dane dotyczące wyroków skazujących. Ze względu na powyższy zakres danych naruszenie stwarzało wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W związku z tym zostało zgłoszone organowi nadzorczemu, a także zakomunikowane na stronie internetowej administratora.

W toku postępowania UODO, administrator udokumentował, że:

• Ma wdrożony system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych.
• Dokumentacja jest na bieżąco aktualizowana i audytowana.
• Powołał Inspektora ochrony danych.
• Podejmował działania w postaci szkoleń stacjonarnych oraz elearningowych dla swoich pracowników z zakresu ochrony danych osobowych oraz zapisów wdrożonej dokumentacji.
• Wprowadził dyżury pełnione przez Inspektora ochrony danych w siedzibie administratora oraz dyżury on-line.
• Prowadzone są doraźne kontrole przez Inspektora ochrony danych.

W czym więc tkwił problem?

Administrator we wdrożonej dokumentacji z zakresu ochrony danych osobowych zawarł zapis, wedle którego to na użytkownikach nośników danych spoczywa obowiązek ich adekwatnego zabezpieczenia.

Nie wykazał on jednak, że poinformował pracowników, jakie są w jego ocenie adekwatne zabezpieczenia dla nośników danych i jak należy je wdrożyć. Błędnym założeniem jest nie tylko fakt, że pracownicy posiadają specjalistyczną wiedzę z zakresu kryptografii ale i że będą każdorazowo pamiętali o zaszyfrowaniu danych na nośniku.

Podstawową zasadą funkcjonującą w obszarze bezpieczeństwa informacji, jest zasada najsłabszego ogniwa.  Mówi ona o tym, że tak jak na wytrzymałość łańcucha wpływa najsłabszy pierścień, tak na system zarządzania bezpieczeństwem informacji wpływa jego najsłabsze zabezpieczenie. Nie od dziś wiadomo, że najsłabszym ogniwem w łańcuchu bezpieczeństwa informacji są ludzie/pracownicy, których przypadkowe błędy odpowiadają za ponad połowę wszystkich wycieków danych.

Pracownik powinien wiedzieć, sprzęt przenośny powinien zostać zaszyfrowany, jednak już realizacja tego procesu należy do obowiązków administratora, tak jak realizacja całego procesu wdrożenia odpowiednich środków technicznych i organizacyjnych, ich ocena oraz regularne testowanie i mierzenie.

Pamiętaj!

Scedowanie obowiązków nałożonych na Administratora przepisami RODO, w tym w szczególności wdrożenie odpowiednich środków technicznych i organizacyjnych, ich ocena oraz regularne testowanie i mierzenie na pracownika nie zapewniają nam zgodności z przepisami RODO. Należy przeprowadzić proces analizy ryzyka i na jej podstawie dobrać zabezpieczenia właściwych (skutecznych) dla danej sytuacji (celu, zakresu, sposobu przetwarzania danych).

Należy zachowywać zdrowy rozsądek i pamiętać, że istnieją podmioty zewnętrzne wysoce wyspecjalizowane w zagadnieniach dotyczących ochrony danych osobowych. Znają one rozwiązania dostępne na rynku w zakresie cyberbezpieczńęstwa i potrafią je dostosować do potrzeb klienta.

BLUE energy chętnie pomoże Państwu we wszystkich aspektach związanych z danymi osobowymi – usługa audytu wymagań RODO

Czytaj o karach UODO