Zgubił pendrive’a. Musi zapłacić ponad 200 000 zł

Formalne zgłoszenie incydentu

Firma Res-Gastro zgłosiła zgubienie pendrive'a do UODO, dostarczając pełną dokumentację: instrukcje dla pracowników, monitoring procedur, analizę ryzyka. Mimo to kara była nieunikniona. Nośnik zawierał niezaszyfrowane dane osobowe jednego pracownika oraz zaszyfrowane dane finansowe.

Choć firma miała procedury, coś poszło nie tak. Analiza ryzyka nie przewidywała zgubienia nośnika, co pokazało, że wszystkie procedury muszą realnie odzwierciedlać zagrożenia, a nie tylko istnieć na papierze.

Znaczenie efektywnych szkoleń

Pracownik tej firmy zgubił pendrive’a, na którym znajdowały się niezaszyfrowane pliki zawierające dane osobowe innego pracownika, a mianowicie imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia oraz dane dotyczące wysokości zarobków. Na pendrive’ie znajdowały się też zaszyfrowane pliki z danymi finansowymi - czytamy w specjalnym komunikacie UODO.

UODO zwrócił uwagę na brak skutecznych szkoleń z szyfrowania danych. Firma miała film instruktażowy, ale brakowało weryfikacji, czy pracownicy rzeczywiście przyswoili wiedzę. Sam link do filmu to za mało. Pracownicy muszą przejść przez praktyczne szkolenia, a ich wiedza musi być regularnie testowana. Pamiętaj, że odpowiedzialność za bezpieczeństwo danych spoczywa na firmie, a nie na indywidualnych pracownikach.

Monitoring i ocena procedur bezpieczeństwa

Pomimo zapewnień, że pendrive zgubił się na terenie zakładu, brakowało dowodów na potwierdzenie tego faktu. Firma nie monitorowała skuteczności swoich procedur, co zdaniem UODO jest kluczowe.

Procedury muszą być nie tylko opracowane, ale również regularnie przeglądane i testowane. Tylko wtedy można mieć pewność, że działają zgodnie z założeniami.