statystyki

600 tys. zł kary za zgubionego pendrive’a

autor: Łukasz Rutkowski13.11.2018, 08:40; Aktualizacja: 13.11.2018, 08:52
Pendrive

W ocenie ICO HAL nie wdrożył, środka organizacyjnego w postaci zapewnienia odpowiedniego przeszkolenia personelu w zakresie ochrony danych.źródło: ShutterStock

Bezpośrednią przyczyną nałożenia sankcji nie było bynajmniej zgubienie nośnika z danymi osobowymi, ale brak odpowiednich środków organizacyjnych i technicznych, które pozwoliłyby skutecznie zabezpieczyć przed wyciekiem danych. Londyńskie lotnisko miało szczęście, że naruszenie przepisów miało miejsce, zanim weszło w życie RODO.

Information Commisionner’s Office (ICO), brytyjski organ nadzoru zajmujący się m.in. kwestiami ochrony danych osobowych, po przeprowadzeniu postępowania wydał 3 października br. decyzję nakładającą na Heathrow Airport Limited (operatora lotniska Heathrow; dalej: HAL) karę pieniężną w wysokości 120 tys. funtów (równowartość 600 tys. zł).

Sprawa, którą badało ICO, wiązała się z zagubionym pendrive’em. Jeden z niższych rangą pracowników HAL bez zgody i wiedzy przełożonych, a także wbrew procedurom obowiązującym w firmie, zapisał na przenośnym dysku USB dane, do których miał dostęp w ramach wykonywania obowiązków. Niestety, wkrótce zgubił pendrive’a w drodze do pracy. Znalazca urządzenia przejrzał jego zawartość, a następnie przekazał je redakcji jednej z gazet, a ta 26 października ub.r. poinformowała HAL o tym, że weszła w jego posiadanie. Nośnik został oddany HAL dzień później, przy czym wcześniej redakcja sporządziła kopię danych. Trzy dni później media poinformowały o zgubionym pendrive’ie i o wycieku danych z HAL. Już następnego dnia ICO zwrócił się do HAL o wyjaśnienia w tej sprawie. Zgubiony nośnik zawierał 76 folderów i ponad 1000 plików i ani nie był zabezpieczony hasłem, ani nie był zaszyfrowany. Przy czym dane osobowe, w tym szczególne kategorie danych, stanowiły jedynie niewielką część informacji (ok. 1 proc.). Na urządzeniu znajdowały się m.in. film szkoleniowy, który zawierał dane 10 osób, w tym imiona, daty urodzin, numery paszportów, a także dane blisko 50 pracowników personelu ochrony lotniczej. Na nośniku znajdowały się również dane o przynależności niektórych osób do związków zawodowych.

Za co ukarano lotnisko

W wyniku postępowania, które zostało wszczęte po otrzymaniu informacji o wycieku danych, ICO stwierdził, że HAL nie podjął kroków w celu zabezpieczenia przetwarzanych przez siebie danych osobowych w odpowiedni sposób, w chwili wystąpienia incydentu operator angielskiego lotniska nie miał też wystarczających środków organizacyjnych i technicznych ochrony danych, choć – co warto podkreślić – w momencie wystąpienia naruszenia w HAL obowiązywały wewnętrzne procedury. Nakazywały one pracownikom m.in. (i) maksymalne ograniczenie używania przenośnych nośników danych, (ii) szczególną ostrożność w używaniu nośników przenośnych w celu minimalizacji ryzyka ich zgubienia, kradzieży etc., a także (iii) szyfrowanie danych wrażliwych zapisywanych na nośnikach przenośnych. Ponadto HAL umieściło w intranecie wytyczne dla pracowników dotyczące: używania przenośnych nośników do przechowywania danych służbowych, wskazujące m.in. na duże ryzyka związane z ich ewentualną utratą oraz na konieczność minimalizacji ich wykorzystywania, oraz bezpieczeństwa w środowisku sieciowym. W szczególności wskazano, że używanie przenośnych nośników danych jest dopuszczalne tylko wtedy, gdy nie ma żadnej alternatywy.


Pozostało 68% tekstu

Prenumerata wydania cyfrowego

Dziennika Gazety Prawnej
7,90 zł
cena za dwa dostępy
na pierwszy miesiąc,
kolejny miesiąc tylko 79 zł
Oferta autoodnawialna
KUPUJĘ

Pojedyncze wydanie cyfrowe

Dziennika Gazety Prawnej
4,92 zł
Płać:
KUPUJĘ
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Kup licencję

Polecane

Reklama

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Galerie

Polecane