Niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych oraz brak regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków jednym z powodów nałożenia przez UODO administracyjnej kary pieniężnej w wysokości ponad 47 tys. zł.
UODO otrzymało od podmiotu trzeciego informację wskazującą na utratę dokumentacji prowadzonej w formie elektronicznej przez administratora. Dokumentacja zawierała m.in. dane osobowe pracowników, administratora oraz osób będących stronami umów cywilnoprawnych. W związku z tymi informacjami UODO wystosował do administratora kolejne pisma o udzielenie wyjaśnień.
Administrator nie zgłosił naruszenia ochrony danych osobowych do organu nadzorczego. W ocenie administratora zdarzenie nie stanowiło incydentu, mającego znamiona naruszenia ochrony danych osobowych w rozumieniu RODO.
Jak wskazuje UODO, biorąc pod uwagę zakres przetwarzanych danych osobowych oraz kategorie osób, administrator był zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewniłyby adekwatny poziom ochrony danych. Dobór właściwych środków powinien wynikać z przeprowadzonej analizy ryzyka, niestety w omawianym postępowaniu nic nie wskazywało na to, że administrator przeprowadził ją prawidłowo dla przetwarzanych w formie elektronicznej danych.
Administrator nie stosował także adekwatnych środków bezpieczeństwa, czego rezultatem było przełamanie zabezpieczeń systemu informatycznego i zaszyfrowanie danych osobowych. Działanie to nie zostało powstrzymane przez przyjęte mechanizmy bezpieczeństwa. Nie podjął on niezwłoczne działań zapewniających szybkie i skuteczne przywrócenie dostępu do danych osobowych.
Według UODO administrator, mimo sugestii Urzędu dotyczącej przeprowadzenia pogłębionej analizy zaistniałego zdarzenia, nadal nie dostrzegał w nim znamion naruszenia ochrony danych osobowych. Nie widział w nim także ryzyka dla praw i wolności osób, których dane dotyczą.
Źródło: uodo.gov.pl
0 Koment.