Szanowni Państwo!

Warto pamiętać o tym, że nieodłącznym elementem bezpiecznego przetwarzania danych osobowych w Waszej jednostce jest odpowiedzialne podejście Waszych pracowników do tego zagadnienia. Dlatego tak ważne jest zapewnienie im odpowiedniego poziomu wiedzy, uświadomienie spoczywającej na nich odpowiedzialności i zagrożeń związanych z nieostrożnym zachowaniem  w sferze ochrony danych osobowych. Porządnie skonstruowana i dobrze wdrożona polityka RODO, połączona z aktywną współpracą z inspektorem ochrony danych osobowych oraz systematyczne aktualizowanie wiedzy z tej dziedziny są kluczowymi działaniami prewencyjnymi. Tylko takie kompleksowe podejście do problemu, połączone z systematyczną edukacją personelu, mogą zapewnić skuteczną ochronę danych. Tymczasem zaniedbania w tej sferze występują powszechnie i mogą skutkować poważnymi konsekwencjami, czego dowodzą kolejne przypadki z Polski i Europy. Oto świeży artykuł z Gazety Prawnej, który streszcza sprawę wycieku danych przetwarzanych przez lotnisko Heathrow w Wielkiej Brytanii:

„Information Commisionner’s Office (ICO), brytyjski organ nadzoru zajmujący się m.in. kwestiami ochrony danych osobowych, po przeprowadzeniu postępowania wydał 3 października 2018 r. decyzję nakładającą na Heathrow Airport Limited (operatora lotniska Heathrow; dalej: HAL) karę pieniężną w wysokości 120 tys. funtów (równowartość 600 tys. zł).

Jeden z pracowników HAL bez zgody i wiedzy przełożonych, a także wbrew procedurom obowiązującym w firmie, zapisał na przenośnym dysku USB dane, do których miał dostęp w ramach wykonywania obowiązków. Niestety, wkrótce zgubił pendrive’a w drodze do pracy. Znalazca urządzenia przejrzał jego zawartość, a następnie przekazał je redakcji jednej z gazet, a ta 26 października 2017 r. poinformowała HAL o tym, że weszła w jego posiadanie.

Zgubiony nośnik zawierał 76 folderów i ponad 1000 plików i ani nie był zabezpieczony hasłem, ani nie był zaszyfrowany. Przy czym dane osobowe, w tym szczególne kategorie danych, stanowiły jedynie niewielką część informacji (ok. 1 proc.). Na urządzeniu znajdowały się m.in. film szkoleniowy, który zawierał dane 10 osób, w tym imiona, daty urodzin, numery paszportów, a także dane blisko 50 pracowników personelu ochrony lotniczej. Na nośniku znajdowały się również dane o przynależności niektórych osób do związków zawodowych.

W wyniku postępowania, które zostało wszczęte po otrzymaniu informacji o wycieku danych, ICO stwierdził, że HAL nie podjął kroków w celu zabezpieczenia przetwarzanych przez siebie danych osobowych w odpowiedni sposób, w chwili wystąpienia incydentu operator angielskiego lotniska nie miał też wystarczających środków organizacyjnych i technicznych ochrony danych, choć – co warto podkreślić – w momencie wystąpienia naruszenia w HAL obowiązywały wewnętrzne procedury. Nakazywały one pracownikom m.in. maksymalne ograniczenie używania przenośnych nośników danych, szczególną ostrożność w używaniu nośników przenośnych w celu minimalizacji ryzyka ich zgubienia, kradzieży etc., a także szyfrowanie danych wrażliwych zapisywanych na nośnikach przenośnych. Ponadto HAL umieściło w intranecie wytyczne dla pracowników dotyczące: używania przenośnych nośników do przechowywania danych służbowych, wskazujące m.in. na duże ryzyka związane z ich ewentualną utratą oraz na konieczność minimalizacji ich wykorzystywania, oraz bezpieczeństwa w środowisku sieciowym. W szczególności wskazano, że używanie przenośnych nośników danych jest dopuszczalne tylko wtedy, gdy nie ma żadnej alternatywy.” (źródło: https://prawo.gazetaprawna.pl/artykuly/1345671,kara-za-naruszenie-procedury-bezpieczenstwa-na-heathrow.html)

Jak pokazuje praktyka samo stworzenie procedur bez systematycznego sprawdzania czy są one przestrzegane  przez personel oraz bez stałego wsparcia pracowników w tym obszarze (t.j. wyjaśnianie wątpliwości, przypominanie podstawowych zasad ochrony danych, pomoc w wyborze odpowiednich procedur w skomplikowanych przypadkach, utrzymywanie dobrych warunków fizycznych do stosowania procedur, aktualizowanie rozwiązań stosowanych do ochrony zgodnie z kształtującą się praktyką) może okazać się nieskuteczne. Rzetelna i aktywna praca Inspektora z jednostką gwarantuje skuteczność systemu.

Zespół Inspektora Ochrony Danych Osobowych w poczuciu pełnej odpowiedzialności za bezpieczeństwo przetwarzania danych osobowych w Waszej jednostce, jest zawsze do Państwa dyspozycji .

Życzę dobrego i spokojnego dnia,

--

Milena Karaśkiewicz
Specjalista ds. administracyjnych Departamentu Ochrony Danych Osobowych/Zespół Inspektora Ochrony Danych Osobowych