Warto uczyć się na błędach innych – kolejna decyzja administracyjna UODO
UODO po przeprowadzeniu kontroli stwierdził naruszenie polegające na niezastosowaniu przez Burmistrza Miasta i Gminy W. odpowiednich środków organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, co skutkowało nieuprawnionym wykonaniem kopii danych osobowych z komputera służbowego na przenośny nośnik pamięci przez pracownika Urzędu Miasta i Gminy W.
W toku postępowania UODO badał m.in.:
1) czy w Urzędzie funkcjonuje procedura dotycząca użytkowania przenośnych nośników pamięci;
2) czy dane zostały zgrane przez pracownika na nośnik prywatny, czy służbowy;
3) czy administrator stosuje szyfrowanie portów lub inne narzędzia uniemożliwiające przenoszenie danych na nieautoryzowany nośnik pamięci;
4) czy administrator przeprowadzał szkolenia personelu w zakresie możliwości występowania tego typu naruszeń ochrony danych osobowych;
5) czy administrator przeprowadził analizę ryzyka dla procesu przetwarzania danych osobowych objętych przedmiotowym naruszeniem zarówno przed, jak i po jego wystąpieniu.
UODO nałożył na Burmistrza administracyjną karę pieniężną w kwocie 10 000 złotych.
W uzasadnieniu UODO stwierdza m.in., że:
1) Burmistrz przed wystąpieniem naruszenia nie wprowadził skutecznych zabezpieczeń, które w przypadku np. skopiowania dokumentów z komputerów służbowych na przenośny nośnik danych uniemożliwią osobom nieupoważnionym dostęp do danych osobowych przetwarzanych przez Administratora;
2) Burmistrz nie stosował zabezpieczenia portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik danych;
3) Burmistrz nie jest w stanie definitywnie stwierdzić, czy dane z komputera służbowego znajdującego się w jego siedzibie Urzędu zostały skopiowane na przenośny nośnik danych, który był jego własnością, czy też nośnik ten był własnością pracownika;
4) komputery służbowe znajdujące się w siedzibie Administratora nie były zabezpieczone przed możliwością skopiowania z nich danych na nieautoryzowany przenośny nośnik danych (będący w tym przypadku najprawdopodobniej własnością pracownika Urzędu), więc drugorzędne znaczenie miałoby wprowadzenie szyfrowania służbowych przenośnych nośników pamięci;
5) Administrator przeprowadził co prawda szkolenia obejmujące swoją tematyką zagadnienia związane z ochroną danych osobowych, jednakże nie jest w stanie wykazać, że osoba odpowiedzialna za naruszenie ochrony danych osobowych uczestniczyła w tych szkoleniach;
6) przed wystąpieniem naruszenia ochrony danych osobowych szkolenia z zakresu ochrony danych osobowych zostały przeprowadzone jedynie w 2018 r., pracownicy zatrudnieni w Urzędzie nie posiadali aktualizowanej wiedzy na temat ochrony danych osobowych, po drugie, Administrator nie posiadał wiedzy, czy pracownicy są właściwie przeszkoleni w omawianym zakresie i dysponują wiedzą pozwalającą im na przetwarzanie danych w sposób zapewniający ich odpowiednie bezpieczeństwo;
7) Burmistrz przed wystąpieniem naruszenia ochrony danych osobowych nie dokonał oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych (art. 5 ust. 1 lit. f) rozporządzenia 2016/679), wynikającego z zagrożeń związanych z dopuszczeniem używania przenośnych nośników danych przez pracowników Urzędu, w tym zagrożeń dotyczących nieuprawnionego wykonania kopii plików z komputera służbowego na ten rodzaj nośnika danych;
8) wobec nieprzeprowadzenia przed wystąpieniem naruszenia ochrony danych osobowych analizy ryzyka dla operacji przetwarzania danych osobowych w związku z wykorzystywaniem przez pracowników Urzędu sprzętu komputerowego umożliwiającego podłączenie przenośnych nośników danych (w szczególności pamięci USB), w tym prywatnych przenośnych nośników danych, która uwzględniałaby zagrożenia związane z nieuprawnionym skopiowaniem przez pracownika z komputera służbowego na ten rodzaj nośnika danych plików zawierających dane osobowe – Administrator nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, wbrew nie tylko obowiązkom wynikającym z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, ale także zasadzie rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679;
9) przeprowadzenie analizy ryzyka przed dopuszczeniem używania przenośnych nośników danych przez pracowników Urzędu, a następnie monitorowanie przyjętych procedur bezpieczeństwa zminimalizowałoby ryzyko wystąpienia przedmiotowego naruszenia i czyniłoby zadość obowiązkowi rozliczalności, który został nałożony na Administratora;
10) dopiero po stwierdzeniu naruszenia ochrony danych osobowych Burmistrz podjął adekwatne działania mające na celu uniknięcie naruszenia ochrony danych osobowych w przyszłości, którego możliwość wystąpienia związana jest z wykorzystywaniem przenośnych nośników danych;
11) po zdarzeniu Administrator przeprowadził analizę ryzyka uwzględniającą proces przetwarzania danych osobowych z wykorzystaniem m.in. przenośnych nośników pamięci, w której wskazano, zagrożenia. Przeprowadzona analiza stanowi dowód na fakt, iż Administrator właściwie rozpoznał konsekwencje braku odpowiednich zabezpieczeń procesu przetwarzania danych osobowych w sytuacji dopuszczenia używania przenośnych nośników pamięci.
Na wysokość kary wpływ miały w szczególności:
1) znaczna waga i poważny charakter – naruszenie stwarza wysokie ryzyko negatywnych skutków prawnych dla dokładnie nieustalonej, potencjalnie dużej liczby osób (Administrator wskazał, że naruszenia dotyczy ok. 250 osób), do których danych dostęp mogła mieć osoba bądź osoby nieuprawnione;
2) długi czas trwania naruszenia przepisów rozporządzenia 2016/679 – przyjąć należy, iż naruszenie rozpoczęło się w dniu 25 maja 2018 r., tj. w dniu rozpoczęcia stosowania rozporządzenia 2016/679, a zakończyło się (…) maja 2022 r. Co prawda do nieuprawnionego wykorzystania przenośnego nośnika pamięci przez pracownika Urzędu doszło (…) maja 2022 r., co wykazało brak zastosowania adekwatnych środków bezpieczeństwa, to jednak Administrator od dnia 25 maja 2018 r. był zobowiązany dostosować procesy przetwarzania danych do wymogów rozporządzenia 2016/679;
3) fakt, że osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową – mimo braku dowodów, aby osoby, do danych których dostęp uzyskała osoba lub osoby nieuprawnione, doznały szkody majątkowej;
4) nieumyślny charakter naruszenia – Burmistrz mógł przewidzieć, że przyjęte rozwiązania (brak zapewnienia odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych z wykorzystaniem przenośnych nośników danych, np. pamięci USB, w szczególności w sytuacji, gdy nośnik ten nie jest własnością Administratora) nie zapewnią odpowiedniego stopnia bezpieczeństwa danych osobowych, co będzie stanowiło naruszenie przepisów ochronie danych osobowych –tym samym Burmistrz nieumyślnie naruszył przepisy o ochronie danych osobowych;
5) zakres danych, który wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem – nazwiska i imiona, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr ewidencyjny PESEL, inne (informacje o rozliczeniach opłat za czynsze, wodę, ścieki, energię elektryczną, najem lokali);
6) dobra współpraca Administratora z organem nadzorczym podjęta i prowadzona w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.
Pełna treść decyzji UODO: https://www.uodo.gov.pl/decyzje/DKN.5131.44.2022