Dawno żadna kara PUODO nie wzbudziła takiego zainteresowania, jak 555 zł dla Chorągwi Stołecznej ZHP. Spotkałam się z komentarzami, że to przykład na to, że PUODO może nałożyć karę „za cokolwiek”. A wynikają one z uzasadnienia decyzji nakładającej karę (DKN.5131.9.2024): „jak zauważył Prezes UODO, analiza ryzyka i wprowadzone na jej podstawie środki nie były wystarczające. PUODO podkreślił, że rola administratora nie ogranicza się tylko do jednorazowego opracowania i wdrożenia środków organizacyjnych i technicznych mających zapewnić przetwarzanie danych osobowych zgodne z zasadami wyrażonymi w RODO. Zgubienie laptopa to zdarzenie losowe. A w takiej sytuacji kluczowe jest jednak to, czy administrator regularnie testował, mierzył i oceniał skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.”
Czy to oznacza, że teraz trzeba mieć analizę ryzyka na wszystko?
Czy jeśli dochodzi do naruszenia ochrony danych, a administrator nie przewidział ryzyka takiego zdarzenia, to automatycznie otrzyma karę?
Właśnie takie wnioski słyszę od tygodnia. Natomiast zupełnie się z nimi nie zgadzam. Patrzę na to zdarzenie obiektywnie: komunikacją miejską były przewożone dane osobowe dzieci w bardzo szerokim zakresie, które znajdowały się w laptopie. Zabezpieczeniem laptopa było (jakieś) hasło do systemu operacyjnego. Dysk laptopa nie był szyfrowany. Czy w tym wypadku istniał obowiązek zaszyfrowania dysku? Sięgając bezpośrednio do przepisów RODO, należy przyjąć za punkt wyjścia art. 24: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.” Przepis ten nie wskazuje wprost w jaki sposób zabezpieczyć laptopa, ale należy pamiętać, że szyfrowanie, jako sposób zabezpieczenia danych zostało wskazane w art. 32 ust. 1 lit. a RODO. Czyli jest to jedno z podstawowych i wprost wskazanych w przepisach zabezpieczeń.
Wracając do konkretnego przypadku zgubienia laptopa. Nie było obowiązku szyfrowania dysku. Jednakże w takim wypadku należało zapewnić szyfrowanie (zabezpieczenie hasłem) plików z danymi (kłania się art. 32 RODO). Prezes UODO zwrócił uwagę na brak analizy ryzyka w tym zakresie. Nie chodzi tu o konkretny przypadek zostawienia laptopa w metrze. Chodzi o to, w jaki sposób administrator dobrał zabezpieczenia do przetwarzania danych elektronicznych na laptopach. Szczególnie istotne jest to, że urządzenia były transportowane oraz wykorzystywane w różnych lokalizacjach. Czym uzasadnił brak zabezpieczenia dysku lub samych plików? Tak zupełnie szczerze – brak jakiegokolwiek zabezpieczenia tych danych (podkreślam danych dzieci), jest bardzo przykre. Tym bardziej, że szyfrowanie dysków laptopów staje się standardem i nie jest trudne (niektóre systemy operacyjne umożliwiają samodzielne zaszyfrowanie dysku, można też skorzystać z darmowego programu Vera Crypt). Do tego nie jest potrzebny „informatyk”.
Przykład zgubienia tego laptopa, to kolejny przykład na to, że wciąż ochrona danych osobowych w wielu podmiotach jest powierzchowna. Nikt nie myśli o konsekwencjach (czyli nie uwzględnia się ryzyka) swoich działań. Jako audytorka systemów ochrony danych, często jestem w szoku, jak bardzo powierzchowne jest podejście do bezpieczeństwa informacji. Takie systemy nazywam niedojrzałymi, bo organizacja nie rozumie jeszcze jak ważny jest cały proces zapewniania ochrony informacji.
Przesyłanie danych osobowych bez zabezpieczenia, przenoszenie nieszyfrowanych danych na dyskach zewnętrznych, praca zdalna na niewystarczająco zabezpieczonym laptopie to codzienność, z którą ludziom z branży bezpieczeństwa informacji przychodzi się mierzyć. Dlatego uważam, że kara nałożona przez Prezesa UODO, była potrzebna.
