Czy za zgubienie pendrive’a możesz zapłacić karę? Tak i to niemałą! Na szczęście przedstawiamy alternatywę, dzięki której uniknąłbyś nałożenia kar.
Urząd Ochrony Danych Osobowych nałożył karę pieniężną w wysokości 240 tys. kary na firmę, w której pracownik zgubił pendrive. Na nośniku zapisane były dane osobowe. Firma mająca zapłacić karę prowadzi działalność o profilu gastronomicznym i znajduje się w Kolbuszowej (woj. podkarpackie). O zagubieniu nośnika danych Urząd poinformowała sama firma, a podczas postępowania współpracowała z Prezesem UODO, co wpłynęło istotnie na ostateczny, łagodny wymiar kary. O wysokości kary decyduje wypadkowa dużych obrotów firmy.
Kara za zgubienie pendrive’a, pomimo dbałości o procedury?
Jak motywuje nałożenie kary Urząd Ochrony Danych Osobowych – na zgubionym przez pracownika pendrivie znajdowały się niezaszyfrowane pliki, zawierające dane osobowe innego pracownika firmy: jego imię, nazwisko, adres, obywatelstwo, płeć, data urodzenia, nr PESEL, seria i numer paszportu, nr telefonu, adres e-mail. Ponadto na nośniku danych umieszczone były zdjęcia, dane o wysokości zarobków oraz zaszyfrowane pliki z danymi finansowymi.
Co ważne, ukarana firma prowadziła rejestr ryzyka i dowody na monitorowanie procedur RODO. Problemem okazały się nie błędy w procesie, lecz zasady korzystania z zewnętrznych nośników danych, w tym ich szyfrowanie. O tym w jaki sposób szyfrować pliki pracownicy firmy z Kolbuszowej byli informowani na podstawie filmu instruktażowego, a to przerzucało tym samym na nich odpowiedzialność za sposób przetwarzania danych. Jednocześnie wedle opinii prezesa UODO – firma źle oceniła ryzyko dla danych. Teoretycznie założono, że pendrive może zostać skradziony lub zniszczony, nie wzięto jednak pod uwagę tego, że pracownicy mogą po prostu zgubić nośnik, bez żadnych złych zamiarów.
Czy film instruktażowy wystarczy, aby przeszkolić pracowników?
Podczas działalności firmy i wystąpienia różnych zdarzeń nie wdrożone zostały przez firmę gastronomiczną żadne rozwiązania kryptograficzne, aby chronić dane osobowe, znajdujące się na zewnętrznych nośnikach. W komunikacie wydanym przez Urząd Ochrony Danych Osobowych podkreślono, że film przedstawiający tematykę: “jak szyfrować pliki na pendrive i jakiego programu do tego celu użyć” to zdecydowanie za mało, wobec wagi danych przetwarzanych na tego typu nośnikach. Dodatkowo omawiana firma nie spełniła obowiązku regularnego mierzenia, testów i oceny skuteczności zastosowanych środków bezpieczeństwa.
Jak zapobiegać nałożeniu kar za zgubienie pendriva?
Firma z Kolbuszowej mogłaby wyjść obronną ręką z opisanej sytuacji, gdyby dane wrażliwe przechowywała na szyfrowanym nośniku danych. W naszej ofercie posiadamy produkty DataLocker, które oprócz sprzętowej enkrypcji AES 256-bit XTS posiada szereg funkcji, które pozwoliłyby na zabezpieczenie lub zniszczenie danych ze zgubionego nośnika, bez konieczności odnajdywania go.