Decyzja Prezesa Urzędu Ochrony Danych Osobowych nr DKN.5131.9.2024 dotyczy naruszeń RODO przez pewien podmiot w zakresie ochrony danych osobowych, szczególnie w kontekście zarządzania ryzykiem i wdrażania odpowiednich środków bezpieczeństwa.
Główne ustalenia
1. Stwierdzone naruszenia
- Brak przeprowadzenia i aktualizacji analizy ryzyka zgodnie z wymogami art. 24 ust. 1 oraz art. 32 RODO, co doprowadziło do niewłaściwego zabezpieczenia danych osobowych.
- Niewdrożenie odpowiednich środków technicznych i organizacyjnych, które uwzględniałyby kontekst przetwarzania oraz możliwe ryzyka naruszenia praw osób fizycznych.
- Brak regularnego testowania skuteczności zastosowanych środków bezpieczeństwa.
2. Skutki naruszeń
- Naruszenie zasady poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2 RODO), co naraziło dane na ujawnienie osobom nieuprawnionym.
3. Nałożone sankcje
- Administracyjna kara pieniężna w wysokości 24 555 zł.
- Nakaz wdrożenia odpowiednich środków technicznych i organizacyjnych w celu regularnego oceniania skuteczności zabezpieczeń w ciągu 3 miesięcy od doręczenia decyzji.
Znaczenie analizy ryzyka
Decyzja podkreśla kluczową rolę analizy ryzyka w systemie ochrony danych osobowych. Analiza ta powinna być:
- Systematyczna: Uwzględniać zmieniające się okoliczności, nowe technologie i potencjalne zagrożenia.
- Dokumentowana: Pozwalać na wykazanie, że środki techniczne i organizacyjne są adekwatne do charakteru przetwarzania.
- Regularnie aktualizowana: Aby uwzględniać nowe ryzyka i potrzeby organizacji.
Decyzja Prezesa UODO jest kolejnym przypomnieniem, że brak kompleksowego podejścia do zarządzania ryzykiem może prowadzić do istotnych konsekwencji prawnych i finansowych.