Kara od UODO dla gminy Dobrzyniewo Duże. Były procedurki, ale nie było ich wdrożenia w rzeczywistości ;-)

Co się wydarzyło?

Naruszenie polegało na kradzieży służbowego komputera z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych, co skutkowało naruszeniem ich poufności. Do kradzieży doszło poza siedzibą administratora, gdyż użytkujący laptop pracownik przechowywał go poza zakładem pracy, w domu.

Jak można się spodziewać komputer nie miał wdrożonego szyfrowania dysku (FDE), a wtedy nawet i bardzo złożone hasło do Windowsa nie pomoże – będzie można w prosty sposób wykraść dane z komputera. I rzeczywiście – w dość obfitym komentarzu od UODO czytamy:

Co należy podkreślić, administrator opracował odpowiednie procedury i polityki dotyczące bezpieczeństwa przetwarzania danych osobowych oraz przeprowadził analizę ryzyka, w której odniósł się m.in. do zagrożenia w postaci kradzieży sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych.

Administrator miał świadomość ryzyk związanych z utratą sprzętu komputerowego wynoszonego poza jego organizację. Ryzyko to ocenił jako nieakceptowalne i określił, w ramach sposobu postępowania z ryzykiem, zabezpieczenia, jakie należy wdrożyć w celu jego ograniczenia. Wśród wymienionych zabezpieczeń mających obniżyć poziom ryzyka wskazano m.in. na szyfrowanie.

Jednak jak wykazało postępowanie skradziony komputer był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła, a przyjęte w procedurach zabezpieczenia nie zostały zastosowane, przynajmniej na tym komputerze

TLDR z pewnym przymrużeniem oka – kupiliśmy gotowe procedury pod UODO. Ale jak tam rzeczywiste bezpieczeństwo techniczne? Oj tam, oj tam… ;-)

No właśnie, osoby zainteresowane stronami technicznymi RODO, zapraszamy na nasze szkolenie: RODO okiem hackera, praktyczne szkolenie z ochrony danych osobowych (nie zabraknie pokazów na żywo, przykładów wycieków czy innych ciekawych naruszeń RODO).

~ms