Aktualności

16/06/2023

PUODO: Analiza ryzyka jest podstawą dla prawidłowej ochrony danych osobowych

Po trwającym niemal rok postępowaniu w sprawie, Prezes Urzędu Ochrony Danych Osobowych nałożył w decyzji z 9 maja 2023 r. administracyjną karę pieniężną na Burmistrza jednej z gmin, w kwocie 10 tys. złotych. Decyzja ma niezwykle istotne znaczenie dla wszystkich administratorów danych, ponieważ zwraca uwagę na konieczność przeprowadzenia rzetelnej analizy ryzyka.

W maju 2022 r., pracownicy gminy, będącej administratorem danych osobowych z mocy ustawy, dokonali zgłoszenia naruszeń ochrony danych osobowych do Prezesa Urzędu – ujawniono, iż jeden z pracowników administracyjnych w sposób nieautoryzowany przenosił dane osobowe ze służbowego komputera na zewnętrzny nośnik (pendrive). Powyższe skutkowało powstaniem stanu zagrożenia bezpieczeństwa tychże danych. Prezes Urzędu stwierdził w toku postępowania, iż Burmistrz nie wprowadził w funkcjonowaniu gminnej administracji żadnej procedury szyfrowania portów, autoryzacji kopiowania, lub innych narzędzi, których stosowanie mogłoby zapobiec takim zdarzeniom.

Zgodnie z RODO, wprowadzenie rozwiązań bezpieczeństwa musi oczywiście uwzględniać charakter danej organizacji oraz same mechanizmy przetwarzania danych osobowych. Jak podkreśla jednak Prezes Urzędu, podstawą do ich zastosowania musi być szczegółowa analiza procesów przetwarzania oraz ocena ryzyka, które należy oszacować z należytą dokładnością. Analiza musi być udokumentowana oraz uzasadniona na podstawie stanu faktycznego, istniejącego w momencie jej przeprowadzania.

Burmistrz, podobnie jak każdy administrator danych, zobowiązany był do przeprowadzenia takiej analizy, ale tego nie uczynił – a w konsekwencji zaniechał wprowadzenia adekwatnych środków bezpieczeństwa. Administrator podniósł w postępowaniu kwestię przeprowadzenia szkolenia z zakresu ochrony danych osobowych dla upoważnionych pracowników. Zdaniem Prezesa Urzędu, szkolenie nie zastąpi jednak wprowadzenia dodatkowych środków technicznych. To właśnie ich brak spowodował, że upoważniony pracownik mógł złamać zasady obowiązujące u administratora. Dodatkowo, ten rodzaj naruszeń można było przewidzieć.

Należy pamiętać również o właściwej aktualizacji procedur i regularnej kontroli stosowania środków bezpieczeństwa przez pracowników. Tymczasem, podobnie jak u wielu administratorów danych, w rzeczonej gminie szkolenia przeprowadzono jedynie po wejściu w życie RODO, czyli niemal 5 lat temu. To zdecydowanie nie wystarczy do zapewnienia właściwej, zgodnej z przepisami ochrony – zwłaszcza u podmiotów przetwarzających dane osobowe na dużą skalę.

Decyzja PUODO ma istotne znaczenie dla wszystkich administratorów danych osobowych. Przeprowadzenie rzetelnej analizy ryzyka oraz wprowadzenie w życie jej wyników chroni nie tylko bezpieczeństwo danych osobowych, ale także interesy administratora, na którym spoczywa odpowiedzialność finansowa na ewentualne naruszenia prawa.