Administrator zgłosił do Urzędu Ochrony Danych Osobowych naruszenie ochrony danych osobowych polegające na wykonaniu przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik. Jak się okazało administrator ten, do dnia wystąpienia naruszenia nie stosował szyfrowania portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik.
Administrator mógł zapobiec wyciekowi danych
W ocenie Urzędu, biorąc pod uwagę w szczególności zakres przetwarzanych przez burmistrza danych osobowych zawartych w skopiowanych dokumentach administrator ten był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych.
Zobacz też: Przegląd administracyjnych kar pieniężnych nałożonych przez Prezesa UODO >>
Wprowadzenie rozwiązań adekwatnych do wcześniej określonego poziomu ryzyka, powinno uwzględniać również charakter danej organizacji oraz wykorzystywane mechanizmy przetwarzania danych osobowych. UODO podkreśla, że administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.
Czytaj także: Rzecznik finansowy pyta instytucje finansowe o skutki wycieku danych>>
Analiza ryzyka kluczem
Z przeprowadzonego przez UODO postępowania wynika, że administrator nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem. Tymczasem czynność ta jest kluczowa dla doboru odpowiednich środków technicznych i organizacyjnych. Ponadto powinna ona zostać udokumentowana oraz uzasadniona na podstawie stanu faktycznego, istniejącego w momencie jej przeprowadzania.
Zobacz też: Analiza ryzyka dla ochrony danych - na przykładach >>
Jak stwierdził UODO, w przypadku gdy administrator przewidział możliwość użycia przenośnych nośników pamięci, przeprowadzenie prawidłowej analizy mogłoby wskazywać ewentualne ryzyka wynikające z ich niewłaściwego użycia np. skopiowania przez pracownika danych zapisanych na komputerze służbowym na przenośny nośnik informacji. Rezultaty przeprowadzonej analizy pozwoliłyby określić oraz wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa tych danych.
Szkolenie było, ale kto brał w nim udział?
UODO podkreśla, że stosowanie procesów przetwarzania danych osobowych w każdej organizacji nie może mieć charakteru epizodycznego. Ochrona danych osobowych jest procesem ciągłym i powinna być poddawana bieżącej aktualizacji, w zależności od zachodzących procesów. W przedmiotowej sprawie administrator nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń.
Administrator przeprowadził co prawda szkolenia obejmujące swoją tematyką zagadnienia związane z ochroną danych osobowych, jednak nie był w stanie wykazać, że osoba, która doprowadziła do naruszenia ochrony danych osobowych uczestniczyła w tych szkoleniach.
- Wdrożenie odpowiednich środków technicznych i organizacyjnych, a także wprowadzenie działań zmierzających do optymalnego zabezpieczenia i konfiguracji wykorzystywanych zasobów, narzędzi i urządzeń powinno być regularnie testowane, mierzone i oceniane co do skuteczności zastosowanych rozwiązań - stwierdza UODO w komentarzu do decyzji.
Zdaniem Urzędu, nieprzeprowadzenie przez administratora analizy ryzyka przed wystąpieniem naruszenia ochrony danych osobowych, spowodowało, że nie był on w stanie wykazać, czy przyjęte rozwiązania rzeczywiście zapewniały odpowiednie bezpieczeństwo. Konsekwencją tego było nieuprawnione wykorzystywanie przez pracownika przenośnego nośnika danych.