dr Szymon Goździk, radca prawny, specjalista ds. ochrony danych osobowych, Casum.pl
Organ nałożył karę w wysokości niemal 240 tys. zł na przedsiębiorcę z branży gastronomicznej, którego pracownik zgubił pendrive’a z danymi osobowymi. Na tym nośniku znajdowały się takie informacje jak imię i nazwisko, adres, obywatelstwo, płeć, data urodzenia, numer PESEL, seria i numer paszportu, numer telefonu, adres e-mail, zdjęcia czy dane o zarobkach.
Biorąc pod uwagę wysokość nałożonej kary, moglibyśmy się spodziewać, że na utraconym nośniku znalazły się dane wielu osób albo że ukarany przedsiębiorca nie zgłosił tego naruszenia organowi, wbrew obowiązkowi wynikającemu z RODO. Nic bardziej mylnego. Dane dotyczyły zaledwie jednego pracownika, a ukarany przedsiębiorca zgłosił naruszenie i współpracował z PUODO. Między innymi z tych powodów warto przyjrzeć się bliżej motywom, które skłoniły organ do nałożenia tak wysokiej kary.
Przedsiębiorca podczas postępowania wykazał, że posiadał dokumenty wynikające z wdrożenia RODO, takie jak analiza ryzyka. Nie uwzględniała ona jednak scenariusza przypadkowego zgubienia nośnika danych. Był to więc pierwszy czynnik, który zdecydował o nałożeniu kary. Obowiązek regularnego przeprowadzania udokumentowanej analizy ryzyka nakłada RODO. Polega on na przewidywaniu skutków zdarzeń, które mogą wpłynąć negatywnie na ochronę danych. Na tej podstawie należy dobrać odpowiednią ochronę, zgodnie z zasadą, że im większe ryzyko, tym lepsze zabezpieczenia. Ich wybór powinien więc następować w ramach ustrukturyzowanego procesu i wspólnej metodyki, a nie być wynikiem spontanicznych decyzji.
Przedsiębiorca co prawda rozesłał swoim pracownikom film instruktażowy dotyczący szyfrowania nośników danych, jednak wg organu okazało się to niewystarczające wobec zakresu danych umieszczanych na takich nośnikach. Jak zauważył PUODO, takie rozwiązanie przerzucało na pracowników odpowiedzialność za ochronę danych, natomiast RODO obowiązki w tym zakresie nakłada na administratora danych, którym w tym wypadku był ukarany przedsiębiorca. Na marginesie warto wskazać, że omawiany obowiązek nie spoczywa również na inspektorze ochrony danych.
W związku z tym, że zgubiony pendrive nie był odpowiednio zabezpieczony, organ uznał, że nadzór nad zabezpieczeniem danych osobowych był nieskuteczny. Ukarany przedsiębiorca uchybił obowiązkowi regularnego mierzenia, testowania i oceniania skuteczności stosowanych zabezpieczeń. Ostatnim z czynników, który wpłynął na wysokość kary, była świetna sytuacja finansowa ukaranego przedsiębiorcy. Kary nakładane na podstawie RODO powinny być przecież dolegliwe.
Powyższe jasno pokazuje, że ochrona danych osobowych w MŚP to spore wyzwanie. Nie może ona polegać na jednorazowym wdrożeniu RODO. Ochrona danych osobowych to proces, który trwa tak długo, jak prowadzona działalność. Należy w nią zaangażować całe przedsiębiorstwo, a w razie trudności warto korzystać z pomocy ekspertów, w szczególności informatyków oraz prawników wyspecjalizowanych w tej dziedzinie.