Brak szyfrowania dysku komputera przenośnego pracowników był powodem nałożenia kary pieniężnej w wysokości 8 tys. zł. na wójta gminy Dobrzyniewo Duże. Urząd w decyzji z 2 listopada 2022 r. uznał, że nie wdrożono odpowiednich środków technicznych, które zapewniłyby odpowiednie bezpieczeństwo danych osobowych.
Kradzież służbowego laptopa, a dane osobowe
Kara związana była z incydentem bezpieczeństwa, do którego doszło w lutym tego roku – służbowy laptop, z którego korzystał pracownik został skradziony w trakcie włamania do mieszkania. Administrator złożył do urzędu zawiadomienie o incydencie, ale w korespondencji z UODO wskazał, że skradziony dysk nie został zaszyfrowany.
Co ciekawe administrator przeprowadził wcześniej i udokumentował analizę ryzyka dla organizacji, w której wskazano na konieczność wprowadzenia szyfrowania dysków laptopów. Znalazło to odzwierciedlenie także w odpowiednich politykach. Zawiodło jednak wdrożenie zasad – laptop był chroniony jedynie hasłem.
Kara pomimo braku naruszenia poufności danych
Warto zwrócić uwagę na fakt, że kara została wymierzona pomimo tego, że nie doszło do faktycznego naruszenia poufności danych. Administrator, w toku postępowania, wskazał, że analiza logów systemu wykazała, że od dnia kradzieży system operacyjny komputera nie był uruchamiany. Urząd wyszczególnił jednak okoliczności decydujące o nałożeniu kary pieniężnej oraz wpływające obciążająco na jej wysokość. Wziął pod uwagę min:
- Szeroki zakres danych, których dotyczyło naruszenie – organ ponownie stanął tutaj na stanowisku, że wyciek numeru PESEL wraz z imieniem, nazwiskiem oraz adresem osoby „wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem”. Podobne stanowisko zajmował min WSA w Warszawie
w wyroku z dnia 2 lipca 2022 roku. - Liczbę osób których naruszenie dotyczyło, którą określił jako „niemałą” – 51 osób.
- Charakter naruszenia – zaniedbanie, gdyż administrator wiedział, że nie zapewnia odpowiedniego poziomu ochrony a pomimo tego zwlekał z wdrożeniem odpowiedniego rozwiązania.
Na korzyść ukaranego podmiotu zadziałały natomiast działania podjęte w celu zminimalizowania szkody. Było to m.in.: szybkie zawiadomienie policji, wysoki stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, w tym stałą korespondencję, wynik z logów systemowych. Pozytywnym aspektem był również brak wcześniejszych naruszeń rozporządzenia 2016/679 przez Wójta Gminy. Także fakt istnienia analizy ryzyka został także uznany za czynnik łagodzący – art. 32 nie został w ocenie UODO „zupełnie zlekceważony”. Podobnie na ograniczenie wysokości kary wpłynęło podjęcie działań naprawczych w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia – wdrożenie szyfrowania dysków twardych komputerów przenośnych nastąpiło krótko po incydencie.
Z decyzji UODO wynika konkretny obowiązek związany z art. 32 w przypadku stosowania komputerów przenośnych do pracy zdalnej, jeżeli zawierają dane osobowe – stosowania szyfrowania dysku. Nie wystarcza jedynie stosowanie hasła dostępu, chociażby było to hasło silne. W oczywisty sposób wdrożenie środków technicznych i organizacyjnych dla ochrony danych nie może także polegać wyłączenie na ich opisaniu w odpowiednich dokumentach wewnętrznych organizacji, ale na ich faktycznym stosowaniu.
podsumowuje decyzję urzędu, Krzysztof Kazimierczak, Data Protection Specialist w RK RODO.
We wcześniejszych decyzjach Urząd odnosił się np. do kwestii zgubienia niezaszyfrowanej pamięci przenośnej (DKN.5131.22.2021), ale w tamtym wypadku dostęp nie był chroniony hasłem. W tym przypadku obowiązek w interpretacji Urzędu idzie dalej niż np. propozycje Europejskiej Rady Ochrony Danych, która za „zaszyfrowany” (encrypted) nośnik danych uznała taki, który jest zabezpieczony trudnym do odgadnięcia hasłem (patrz Wytyczne 1/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych, pkt 88-89) – dodaje ekspert.
