statystyki

600 tys. zł kary za zgubionego pendrive’a

autor: Łukasz Rutkowski13.11.2018, 08:40; Aktualizacja: 13.11.2018, 08:52
Pendrive

W ocenie ICO HAL nie wdrożył, środka organizacyjnego w postaci zapewnienia odpowiedniego przeszkolenia personelu w zakresie ochrony danych.źródło: ShutterStock

Bezpośrednią przyczyną nałożenia sankcji nie było bynajmniej zgubienie nośnika z danymi osobowymi, ale brak odpowiednich środków organizacyjnych i technicznych, które pozwoliłyby skutecznie zabezpieczyć przed wyciekiem danych. Londyńskie lotnisko miało szczęście, że naruszenie przepisów miało miejsce, zanim weszło w życie RODO.

Information Commisionner’s Office (ICO), brytyjski organ nadzoru zajmujący się m.in. kwestiami ochrony danych osobowych, po przeprowadzeniu postępowania wydał 3 października br. decyzję nakładającą na Heathrow Airport Limited (operatora lotniska Heathrow; dalej: HAL) karę pieniężną w wysokości 120 tys. funtów (równowartość 600 tys. zł).

Sprawa, którą badało ICO, wiązała się z zagubionym pendrive’em. Jeden z niższych rangą pracowników HAL bez zgody i wiedzy przełożonych, a także wbrew procedurom obowiązującym w firmie, zapisał na przenośnym dysku USB dane, do których miał dostęp w ramach wykonywania obowiązków. Niestety, wkrótce zgubił pendrive’a w drodze do pracy. Znalazca urządzenia przejrzał jego zawartość, a następnie przekazał je redakcji jednej z gazet, a ta 26 października ub.r. poinformowała HAL o tym, że weszła w jego posiadanie. Nośnik został oddany HAL dzień później, przy czym wcześniej redakcja sporządziła kopię danych. Trzy dni później media poinformowały o zgubionym pendrive’ie i o wycieku danych z HAL. Już następnego dnia ICO zwrócił się do HAL o wyjaśnienia w tej sprawie. Zgubiony nośnik zawierał 76 folderów i ponad 1000 plików i ani nie był zabezpieczony hasłem, ani nie był zaszyfrowany. Przy czym dane osobowe, w tym szczególne kategorie danych, stanowiły jedynie niewielką część informacji (ok. 1 proc.). Na urządzeniu znajdowały się m.in. film szkoleniowy, który zawierał dane 10 osób, w tym imiona, daty urodzin, numery paszportów, a także dane blisko 50 pracowników personelu ochrony lotniczej. Na nośniku znajdowały się również dane o przynależności niektórych osób do związków zawodowych.

Za co ukarano lotnisko

W wyniku postępowania, które zostało wszczęte po otrzymaniu informacji o wycieku danych, ICO stwierdził, że HAL nie podjął kroków w celu zabezpieczenia przetwarzanych przez siebie danych osobowych w odpowiedni sposób, w chwili wystąpienia incydentu operator angielskiego lotniska nie miał też wystarczających środków organizacyjnych i technicznych ochrony danych, choć – co warto podkreślić – w momencie wystąpienia naruszenia w HAL obowiązywały wewnętrzne procedury. Nakazywały one pracownikom m.in. (i) maksymalne ograniczenie używania przenośnych nośników danych, (ii) szczególną ostrożność w używaniu nośników przenośnych w celu minimalizacji ryzyka ich zgubienia, kradzieży etc., a także (iii) szyfrowanie danych wrażliwych zapisywanych na nośnikach przenośnych. Ponadto HAL umieściło w intranecie wytyczne dla pracowników dotyczące: używania przenośnych nośników do przechowywania danych służbowych, wskazujące m.in. na duże ryzyka związane z ich ewentualną utratą oraz na konieczność minimalizacji ich wykorzystywania, oraz bezpieczeństwa w środowisku sieciowym. W szczególności wskazano, że używanie przenośnych nośników danych jest dopuszczalne tylko wtedy, gdy nie ma żadnej alternatywy.


Pozostało jeszcze 68% treści

Czytaj wszystkie artykuły na gazetaprawna.pl oraz w e-wydaniu DGP
Zapłać 97,90 zł Kup abonamentna miesiąc
Mam kod promocyjny
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Kup licencję

Polecane

Reklama

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Galerie

Polecane