Ochrona danych osobowych. Burmistrz z karą pieniężną

Tylko poprawna analiza pomaga dopasować środki i procedury do oszacowanego ryzyka

Administrator zgłosił do UODO naruszenie ochrony danych osobowych polegające na wykonaniu przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik. Jak się okazało administrator ten, do dnia wystąpienia naruszenia nie stosował szyfrowania portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik.

W ocenie urzędu, biorąc pod uwagę w szczególności zakres przetwarzanych przez burmistrza danych osobowych zawartych w skopiowanych dokumentach  administrator ten był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych. 

Wprowadzenie rozwiązań adekwatnych do wcześniej określonego poziomu ryzyka, powinno uwzględniać również charakter danej organizacji oraz wykorzystywane mechanizmy przetwarzania danych osobowych. Administrator samodzielnie ma zatem przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

Analiza ryzyka kluczem

Z przeprowadzonego postępowania organu nadzorczego wynika, że  administrator nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem. Tymczasem czynność ta jest kluczowa dla doboru odpowiednich środków technicznych i organizacyjnych. Ponadto powinna ona zostać udokumentowana oraz uzasadniona na podstawie stanu faktycznego, istniejącego w momencie jej przeprowadzania.

W przypadku gdy administrator przewidział możliwość użycia przenośnych nośników pamięci, przeprowadzenie prawidłowej analizy mogłoby wskazywać ewentualne ryzyka wynikające z ich niewłaściwego użycia np. skopiowania przez pracownika danych zapisanych na komputerze służbowym na przenośny nośnik informacji. Rezultaty przeprowadzonej analizy pozwoliłyby określić oraz wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa tych danych.

Monitorowanie skuteczności zabezpieczeń

Dostosowanie procesów przetwarzania danych osobowych w każdej organizacji nie może mieć charakteru epizodycznego. Ochrona danych osobowych jest procesem ciągłym i powinna być poddawana bieżącej aktualizacji, w zależności od zachodzących procesów. W przedmiotowej sprawie administrator nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń.

Administrator przeprowadził co prawda szkolenia obejmujące swoją tematyką zagadnienia związane z ochroną danych osobowych, jednak nie był w stanie wykazać, że osoba, która doprowadziła do naruszenia ochrony danych osobowych uczestniczyła w tych szkoleniach.

Wdrożenie odpowiednich środków technicznych i organizacyjnych, a także wprowadzenie działań zmierzających do optymalnego zabezpieczenia i konfiguracji wykorzystywanych zasobów, narzędzi i urządzeń powinno być regularnie testowane, mierzone i oceniane co do skuteczności zastosowanych rozwiązań.

W stanie faktycznym nieprzeprowadzenie przez administratora analizy ryzyka przed wystąpieniem naruszenia ochrony danych osobowych, spowodowało, że nie był on w stanie wykazać, czy przyjęte rozwiązania rzeczywiście zapewniały odpowiednie bezpieczeństwo. Konsekwencją tego było nieuprawnione wykorzystywanie przez pracownika przenośnego nośnika danych.