Zgubienie służbowego pendrive`a może słono kosztować. I choć dopuszcza się tego pracownik, odpowiada za to właściciel.

Nie wystarczy jedynie wydać polecenia. Jeśli nie przypilnujesz pracownika, możesz zapłacić wysoką karę. Chodzi o przepisy RODO, a konkretnie te, związane z koniecznością zabezpieczenia nośników danych. Przekonał się o tym prezes jednego z sądów, który musi zapłacić 10 tys. złotych.  

Kto powinien zabezpieczyć nośniki danych?

Zgodnie z RODO odpowiedzialność za ochronę danych ponosi ich administrator. Jeśli prowadzisz firmę, to Ty jesteś więc za to odpowiedzialny. Nie wystarczy, że powiesz pracownikom, by odpowiednio zabezpieczali nośniki z danymi klientów, czy dostawców.

Nawet jeśli wydasz takie polecenie na piśmie i zostanie ono podpisane, odpowiedzialność spada na Ciebie.

Prezes jednego z sądów rejonowych w województwie łódzkim, sam nie zabezpieczał służbowych nośników, na których znajdowały się dane. Polecił jednak pracownikom, by dokonali tego we własnym zakresie. Jak tłumaczy UODO – „Tymczasem to on, jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających odpowiednie bezpieczeństwo danych”.

CZYTAJ TAKŻE: Tego nie przewidziało nawet RODO – wyciek danych z Twojej firmy może nastąpić przez… samochód

W tej sytuacji UODO nałożyło na prezesa karę administracyjną w wysokości 10 tysięcy złotych.

Kara za zgubienie pendrive’a

Wszystko zaczęło się od zgłoszenia samego prezesa sądu, który zgodnie z przepisami poinformował organ nadzorczy o naruszeniu przepisów ochrony danych osobowych. Jeden z pracowników sądu, konkretnie kurator sądowy, zgubił niezaszyfrowanego pendrive’a, na którym zapisane były dane czterystu osób, które podlegają nadzorowi kuratorskiemu. Stosowny komunikat o naruszeniu znalazł się nawet na stronie internetowej sądu.

Niestety, nieszczęsny pendrive nie został dotąd znaleziony. To oznacza, że osoby nieuprawnione mogą mieć dostęp (choć nikt takiego faktu nie stwierdził) do danych osobowych, które zostały na nim zapisane.

Administrator danych zawsze jest winny?

Administrator danych wyjaśnił, że w kierowanej przez niego instytucji wdrożony jest system ochrony danych osobowych i są ustanowione odpowiednie zasady. Wszelka dokumentacja jest aktualizowana i podlega audytowi inspektora ochrony danych. Mało tego – administrator wyjaśnił, że pracownicy sądu przeszli szkolenia stacjonarne oraz e-learningowe. Wprowadzane były dyżury oraz kontrole prowadzone przez inspektora i… Według UODO to za mało. Odpowiedzialność za taki stan rzeczy nadal ciąży na administratorze. W tym przypadku prezesa sądu rejonowego.

Czy wystarczy zobowiązać pracownika do zabezpieczenia danych?

Zgodnie z dokumentami, które posiadał administrator, obowiązek zabezpieczenia nośników spoczywał na ich użytkownikach, czyli pracownikach przetwarzających i przechowujących dane. Tymczasem zdaniem UODO, „takie podejście nie jest właściwe”.

Jak wyjaśnia urząd w komunikacie do tej sprawy „Postępowanie wykazało, że administrator  naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem braku wprowadzenia odpowiednich środków organizacyjnych i technicznych, w przypadku zagubienia takiego nośnika przez kuratora sądowego, jest umożliwienie osobom nieuprawnionym dostępu do danych osobowych znajdujących się na nim”. Zatem tak, czy inaczej, winny całego zamieszania jest administrator.

UODO zwróciło uwagę m.in. na fakt, że w tej konkretnej sprawie, administrator nie wskazał pracownikom przykładowych zabezpieczeń, jakie mogą być zastosowane. Nie każdy z zatrudnionych musi mieć wiedzę w tym obszarze.

Konsekwencje zgubienia służbowego pendrive’a

W tym przypadku, kara 10 tys. złotych była i tak niska. UODO podaje, że przy jej wymierzaniu, wzięto pod uwagę okoliczność łagodzącą wynikającą z dobrej współpracy prezesa sądu z nadzorcą oraz działaniami, które docelowo miały złagodzić ewentualne negatywne skutki incydentu z pendrivem.