Jak poinformował w komunikacie UODO, kara mogła być dużo wyższa, jednak w trakcie postępowania wzięto pod uwagę to, że firma gastronomiczna sama poinformowała o zgubieniu przez jednego z jej pracowników pendrive’a z danymi osobowymi.
Co więcej, w czasie postępowania przedsiębiorstwo współpracowało z prezesem Urzędu, co również miało wpływ na wysokość orzeczonej kary.
Firma zapłaci 240 tys. zł kary. Wszystko przez zgubionego pendrive’a
Pracownik firmy gastronomicznej na Podkarpaciu zgubił pendrive’a z danymi osobowymi.
Na urządzenie wgrane były niezaszyfrowane pliki zawierające dane osobowe innego pracownika, w tym m.in jego imię i nazwisko, adres, obywatelstwo, płeć, datę urodzenia, numer PESEL, numer telefonu, adres e-mail, a nawet zdjęcia czy dane dotyczące wysokości zarobków. Na urządzeniu znajdowały się też zaszyfrowane pliki z danymi finansowymi przedsiębiorstwa.
Postępowanie wykazało problemy. Chodzi o bezpieczne przetwarzanie danych
Choć w toku postępowania firma wykazała, że posiadała dokumenty takie jak rejestr ryzyka czy potwierdzenia przeprowadzania monitorowania procedur RODO, to problematyczne okazało się prawidłowe korzystanie z zewnętrznych nośników danych. O tym, w jaki sposób zabezpieczać pliki, czyli np. je szyfrować, firma informowała pracowników na filmie instruktażowym, co przerzucało na nich odpowiedzialność za sposób przetwarzania danych.
Prezes UODO ustalił również, że firma źle oceniła ryzyko dla danych. Nie wzięto pod uwagę tego, że nośniki danych mogą zostać zgubione. Co więcej, nie wdrożono rozwiązań kryptograficznych dla ochrony danych osobowych na zewnętrznych nośnikach, a sam film instruktażowy nie wystarczył.
Właśnie z tych powodów prezes UODO nałożył na podkarpacką firmę gastronomiczną karę finansową w wysokości 238 345 zł.
