Zgubił pendrive’a. Musi zapłacić ponad 200 000 zł
W dobie cyfryzacji, zabezpieczenie danych osobowych staje się priorytetem dla każdej firmy. Nawet najmniejszy błąd, jak zgubienie pendrive'a, może prowadzić do surowych kar, jak pokazuje przypadek firmy Res-Gastro. Urząd Ochrony Danych Osobowych (UODO) nałożył na firmę karę 238 345 zł za zgubienie nośnika z danymi jednego pracownika.
Formalne zgłoszenie incydentu
Firma Res-Gastro zgłosiła zgubienie pendrive'a do UODO, dostarczając pełną dokumentację: instrukcje dla pracowników, monitoring procedur, analizę ryzyka. Mimo to kara była nieunikniona. Nośnik zawierał niezaszyfrowane dane osobowe jednego pracownika oraz zaszyfrowane dane finansowe.
Choć firma miała procedury, coś poszło nie tak. Analiza ryzyka nie przewidywała zgubienia nośnika, co pokazało, że wszystkie procedury muszą realnie odzwierciedlać zagrożenia, a nie tylko istnieć na papierze.
Zalałeś telefon? Lepiej nie wkładaj go do ryżuZnaczenie efektywnych szkoleń
Pracownik tej firmy zgubił pendrive’a, na którym znajdowały się niezaszyfrowane pliki zawierające dane osobowe innego pracownika, a mianowicie imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Na pendrive’ie znajdowały się też zaszyfrowane pliki z danymi finansowymi - czytamy w specjalnym komunikacie UODO.
UODO zwrócił uwagę na brak skutecznych szkoleń z szyfrowania danych. Firma miała film instruktażowy, ale brakowało weryfikacji, czy pracownicy rzeczywiście przyswoili wiedzę. Sam link do filmu to za mało. Pracownicy muszą przejść przez praktyczne szkolenia, a ich wiedza musi być regularnie testowana. Pamiętaj, że odpowiedzialność za bezpieczeństwo danych spoczywa na firmie, a nie na indywidualnych pracownikach.
Monitoring i ocena procedur bezpieczeństwa
Pomimo zapewnień, że pendrive zgubił się na terenie zakładu, brakowało dowodów na potwierdzenie tego faktu. Firma nie monitorowała skuteczności swoich procedur, co zdaniem UODO jest kluczowe.
Procedury muszą być nie tylko opracowane, ale również regularnie przeglądane i testowane. Tylko wtedy można mieć pewność, że działają zgodnie z założeniami.