Blog

You are currently viewing Burmistrz Miasta i Gminy W. został ukarany karą w kwocie 10 tys. zł. Okazało się, że nie stosował odpowiednich środków organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych, do jakiego doszło na skutek nieuprawnionego kopiowania plików z danymi osobowymi. Mógłby temu zapobiec, przeprowadzając analizę ryzyka.

Burmistrz Miasta i Gminy W. został ukarany karą w kwocie 10 tys. zł. Okazało się, że nie stosował odpowiednich środków organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych, do jakiego doszło na skutek nieuprawnionego kopiowania plików z danymi osobowymi. Mógłby temu zapobiec, przeprowadzając analizę ryzyka.

  • Post author:
  • Post category:Blog

Co się wydarzyło?

Jak wynika z decyzji:

Dnia […] maja 2022 roku Pani K.B. jako Kierownik […] zgłosiła się do Inspektora Ochrony Danych z informacją, że prawdopodobnie doszło do naruszenia ochrony danych. W toku rozmowy wstępnej ustalono, że […] maja 2022 roku jeden z byłych pracowników Urzędu Miasta i Gminy W. przyniósł niezidentyfikowany pendrive z polecenia obecnego pracownika przebywającego na zwolnieniu lekarskim, Pani D. Z. Po zweryfikowaniu zawartości nośnika zauważono, że znajdują się na nim pliki zawierające wzory umów, umowy powierzenia przetwarzania danych osobowych, umowy użyczenia boisk, informacje o czynszach, dane niezbędne do dokonania naliczeń za energię elektryczną, wodę, ścieki i czynsze, pisma do mieszkańców mieszkań socjalnych i komunalnych, pisma o przyznanie lokalu i zestawienia lokali. Większość dokumentów stanowi jedynie wzory niezawierające danych osobowych. Dane zawarte w dokumentach to imiona i nazwiska, adresy, kwoty faktur i sporadycznie [w ilości do 10 osób] – numery PESEL oraz numery kont bankowych. Na nośniku pojawiają się dane osobowe około 250 osób fizycznych i firm. Dokładna liczba osób jest trudna do oszacowania z uwagi na fakt, iż wiele nazwisk znajdujących się w dokumentach jest powtarzanych, a na samym nośniku przeanalizowano ponad ok. 2100 plików.

Analiza ryzyka

Jak wskazuje organ w komunikacie administrator nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem. Tymczasem czynność ta jest kluczowa dla doboru odpowiednich środków technicznych i organizacyjnych. Ponadto powinna ona zostać udokumentowana oraz uzasadniona na podstawie stanu faktycznego, istniejącego w momencie jej przeprowadzania.

Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Zazwyczaj wykorzystuje się macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, przedstawiając poziomy ryzyka, dla których organizacja definiuje odpowiednie działania.

Aby analiza ryzyka została przeprowadzona w sposób właściwy, winny być zdefiniowane dla każdego z aktywów zagrożenia, mogące wystąpić w procesach przetwarzania danych. (…)

Podkreślić należy, że zarządzanie ryzykiem (przeprowadzenie analizy ryzyka i na tej podstawie wdrożenie odpowiednich zabezpieczeń) jest jednym z podstawowych elementów systemu ochrony danych osobowych i, jak wskazuje również powyżej przytoczony wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie, ma charakter ciągłego procesu. Winna więc następować okresowa weryfikacja zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, stosownie do wymogu przewidzianego w art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Administrator danych powinien zatem regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania.

Badanie prawdopodobieństwa

Jak wskazał organ badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.

Podejście oparte na ryzyku to proces

Jak wynika z decyzji zarządzanie ryzykiem ma charakter ciągłego procesu wymuszającego na administratorze danych nie tylko zapewnienie zgodności z przepisami rozporządzenia 2016/679 poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale także zapewnienie ciągłości monitorowania poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. 

Jak możemy pomóc?

Możemy zaoferować szkolenie dla personelu, przeprowadzić analizę ryzyka, pomóc wdrożyć odpowiednie zabezpieczenia, a także zaoferować stałe wsparcie! W przypadku wystąpienia naruszenia możemy pomóc przeanalizować zdarzenie, przygotować zawiadomienie do organu oraz informacji dla podmiotów danych.

Zachęcamy do zapoznania się z ofertą (kliknij tutaj po ofertę). Jeśli jesteś zdecydowany lub potrzebujesz szybko wsparcia to wystarczy się z nami skontaktować (kliknij tutaj)!

Tags: , , , , , , , , , ,