Sanepid w Policach zgłosił w 2023 r., że pracownik zgubił prywatny, niezaszyfrowany i nie chroniony hasłem pendrive z danymi 4200 osób, w tym chorych na Covid, a więc danymi dotyczącymi zdrowia zebranymi do 2021 r., a także danymi z 300 postępowań administracyjnych Sanepidu.
Przedmiotowe zgłoszenie stało się dla Prezesa UODO impulsem do dokonania oceny realizacji przez administratora spoczywających na nim obowiązków wynikających z przepisów RODO. Prezes UODO przeprowadził postępowanie wyjaśniające i wszczął postępowanie administracyjne, w toku którego ustalił m.in., że administrator danych nie przeprowadzał prawidłowo analizy ryzyka i nie miał odrębnych regulacji dotyczących zarządzania zewnętrznymi nośnikami danych. Używanie ich było po prostu zakazane. Ryzyko, że pracownik jednak z takiego nośnika skorzysta, oszacowano jako niskie i niewymagające podejmowania działań. Założenie to nie było odpowiednio testowane.
Dopiero gdy sprawą zajął się Prezes UODO, administrator sprawdził zabezpieczenia i zablokował możliwość kopiowania danych na nośniki zewnętrzne.
W tej sprawie istotne jest to, że administrator, który przetwarzał dane dotyczące zdrowia z całego powiatu – przed naruszeniem ochrony danych osobowych przeprowadzał analizę ryzyka w sposób nieprawidłowy – bo zbyt ogólnikowy. W efekcie nie mógł dobrać odpowiednich do ryzyka środków bezpieczeństwa, co doprowadziło do incydentu.
Prawidłową analizę ryzyka administrator przeprowadził dopiero po zgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych. Ryzyko w obszarze przetwarzania danych osobowych na zewnętrznych nośnikach danych ocenione zostało na poziomie akceptowalnym – ale po uwzględnieniu zabezpieczeń polegających m.in. na blokadzie portów USB przed możliwością użycia prywatnych zewnętrznych nośników danych.
Prezes UODO Mirosław Wróblewski ocenił, że stwierdzone w niniejszej sprawie naruszenie przepisów RODO ma znaczną wagę i poważny charakter, jako że stwarzało wysokie ryzyko negatywnych skutków dla osób, których dane dotyczą. Nie ma dowodów, iż z danymi osobowymi przetwarzanymi na niezabezpieczonym nośniku danych nie zapoznały się osoby postronne.
Na niekorzyść administratora należy zaliczyć również długi czas trwania naruszenia przepisów RODO.
Administrator nie działał umyślnie, niemniej dopuścił się licznych zaniechań skutkujących znaczącym zwiększeniem ryzyka naruszenia poufności przetwarzanych danych, co świadczy o rażącym jego niedbalstwie i stanowi istotną okoliczność obciążającą.
Zdaniem organu nadzorczego okoliczności te świadczą o tym, że administrator mógł i powinien był przewidzieć, że przyjęte przez niego rozwiązania nie zapewniają odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych z użyciem prywatnych nośników danych przez pracowników, jednak wadliwie przeprowadzona analiza, pociągnęła za sobą dalsze nieprawidłowości. Wynikiem postępowania przed Prezesem UODO jest więc nie tylko poprawa sposobu ochrony danych u administratora, ale także kara finansowa.
0
0
0
0
0
0
