3 minute read
BEZPIEcZEŃSTWo DANYcH
from OSOZ Polska
by OSOZ Polska
Niezabezpieczony pendrive skutkuje karą UODO
W ramach cyklicznego informowania czytelników czasopisma OSOZ o kolejnych decyzjach wydawanych przez Prezesa UODO, niniejszy artykuł zostanie poświęcony analizie decyzji dotyczącej braku zastosowania odpowiednich zabezpieczeń nośników służących do gromadzenia danych osobowych.
Advertisement
KAROLINA SZUŚCIK, CISA Inspektor Ochrony Danych, KAMSOFT S.A.
Do prezesa UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych, którego nadawcą był prezes jednego z Sądów Rejonowych. Zgłoszenie zawierało informacje o naruszeniu ochrony danych osobowych czterystu osób podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym przez kuratora sądowego. Zakres danych podlegający naruszaniu to imiona i nazwiska, daty urodzenia, adresy zamieszkania lub pobytu, numery PESEL, serie i numery dowodów osobistych, numery telefonów, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia oraz wyroków skazujących. Incydent stanowiący przedmiot zgłoszenia polegał na zagubieniu przez kuratora sądowego nieszyfrowanej, przenośnej pamięci zewnętrznej typu pendrive. Z uwagi na zakres ujawnionych danych osobowych, naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dlatego też administrator, zgodnie z art. 34 RODO, opublikował na stronie internetowej Sądu Rejonowego komunikat o naruszeniu. W toku postępowania, administrator danych osobowych wykazał, iż wdrożył system ochrony danych w postaci zasad przetwarzania danych osobowych. Dokumentacja ta była na bieżąco aktualizowana i audytowana przez powołanego do tego celu inspektora ochrony danych.
Ponadto administrator zapewnił, że podejmował działania w postaci szkoleń z zakresu ochrony danych osobowych, jednakże, zgodnie z obowiązującymi u administratora dokumentami, obowiązek zabezpieczenia nośników spoczywał na użytkownikach nośników. UODO uznało, iż takie podejście jest niewłaściwe i skutkowało naruszeniem zasad poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonej przenośnej pamięci zewnętrznej. Co więcej, zobowiązał ich do wdrożenia zabezpieczeń tego narzędzia we własnym zakresie. Wnioski dla przedsiębiorców, w tym podmiotów wykonujących działalność leczniczą: – Omówiona wyżej decyzja potwierdza, że to administrator danych osobowych, a nie użytkownik odpowiada za wdrożenie środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa przetwarzanych danych osobowych; – Niewystarczające jest polecenie zabezpieczenia nośników pracownikom i pozostawienie im dowolności w wyborze zabezpieczeń odpowiednich do istniejących ryzyk; – Nie oznacza to, że w każdym przypadku Administrator sam powinien zabezpieczać nośniki zgodnie z przeprowadzoną analizą ryzyk, natomiast powi-
nośniki z danymi osobowymi trzeba chronić
Prezes Sądu Rejonowego nie zabezpieczył służbowych nośników z danymi, a jedynie polecił swoim pracownikom, by sami to robili. Tymczasem to on, jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych. Za brak takich rozwiązań organ nadzorczy nałożył na Prezesa Sądu administracyjną karę pieniężną w kwocie 10 tys. zł.
nien zlecić wykonanie określonych czynności wykwalifikowanemu pracownikowi lub zewnętrznemu podmiotowi; – Działania Administratora powinny zostać przez niego zaplanowane, kontrolowane i powinny wynikać z obowiązującej w organizacji dokumentacji ochrony danych osobowych; – UODO wskazuje, iż poza dokumentacją i wdrożeniem odpowiednich zabezpieczeń konieczne jest przeprowadzenie szkoleń z zakresu ochrony danych osobowych. Należy jednak pamiętać, że szkolenia są wyłącznie jednym z elementów poprawnie działającego systemu ochrony danych osobowych i na pewno wpływają na poziom bezpieczeństwa, lecz nie zastępują wdrożenia zabezpieczeń, gdyż wektorem ataku nie zawsze jest nieświadomy pracownik.
»Pracownicy mogą nie posiadać wiedzy jak należy zabezpieczać nośniki z danymi osobowymi.«
Wydawca: KAMSoFT S.A. 40–235 Katowice, ul 1 Maja 133 tel. +48 32 209-07-05 fax +48 32 209-07-15 e-mail: czasopismo@osoz.pl Zespół redakcyjny: Zygmunt Kamiński, Agnieszka golec, Aleksandra Kurowska, Katarzyna Płoskonka, Bożena Wojnarowicz-głuszek.
Współpracownicy: Anurag Agrawal, Jarosław Frąckowiak, Monika grabska, Marcin gruchała, Paweł Pasternak, Radosław Sierpiński, łukasz Stopa, Karolina Szuścik, Katarzyna Waligóra-Borek. PREnuMERAtA CZASoPISMA co miesiąc na łamach w oSoZ PolSKA prezentujemy starannie wyselekcjonowaną wiedzę m.in. z dziedziny nowoczesnych technologii w ochronie zdrowia i e-zdrowia. czytaj relacje z międzynarodowych wydarzeń, wywiady z ekspertami, autorskie raporty specjalne. cena rocznej prenumeraty: 180 zł (12 numerów).
Dołącz do społeczności e-zdrowia.
Zamówienia: redakcja@osoz.pl
Redaktor naczelny: Artur olesch
Jesteśmy partnerem European connected Health Alliance Skład i łamanie: Piotr chamera
Druk: INFoMAX, Katowice
Nakład: 1500 egzemplarzy
Przedruk, kopiowanie, skracanie, wykorzystanie tekstów (lub ich fragmentów) publikowanych w czasopiśmie oSoZ bez zgody wydawcy KAMSoFT S.A. jest zabronione.
Redakcja nie odpowiada za treść reklam, ogłoszeń i artykułów sponsorowanych.
Redakcja zastrzega sobie prawo do skracania zamieszczanych materiałów. Niezamówionych materiałów nie zwracamy. Pobierz aplikację oSoZNews i czytaj bezpłatnie mobilne wydania czasopisma.
