Niewystarczające zabezpieczenie danych przetwarzanych na komputerach przenośnych

Decyzja Prezesa Urzędu Ochrony Danych Osobowych nr DKN.5131.9.2024 dotyczy naruszeń RODO przez pewien podmiot w zakresie ochrony danych osobowych, szczególnie w kontekście zarządzania ryzykiem i wdrażania odpowiednich środków bezpieczeństwa.

Główne ustalenia

1. Stwierdzone naruszenia

• Brak przeprowadzenia i aktualizacji analizy ryzyka zgodnie z wymogami art. 24 ust. 1 oraz art. 32 RODO, co doprowadziło do niewłaściwego zabezpieczenia danych osobowych.
• Niewdrożenie odpowiednich środków technicznych i organizacyjnych, które uwzględniałyby kontekst przetwarzania oraz możliwe ryzyka naruszenia praw osób fizycznych.
• Brak regularnego testowania skuteczności zastosowanych środków bezpieczeństwa.

2. Skutki naruszeń

• Naruszenie zasady poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2 RODO), co naraziło dane na ujawnienie osobom nieuprawnionym.

3. Nałożone sankcje

• Administracyjna kara pieniężna w wysokości 24 555 zł.
• Nakaz wdrożenia odpowiednich środków technicznych i organizacyjnych w celu regularnego oceniania skuteczności zabezpieczeń w ciągu 3 miesięcy od doręczenia decyzji.

Znaczenie analizy ryzyka

Decyzja podkreśla kluczową rolę analizy ryzyka w systemie ochrony danych osobowych. Analiza ta powinna być:

• Systematyczna: Uwzględniać zmieniające się okoliczności, nowe technologie i potencjalne zagrożenia.
• Dokumentowana: Pozwalać na wykazanie, że środki techniczne i organizacyjne są adekwatne do charakteru przetwarzania.
• Regularnie aktualizowana: Aby uwzględniać nowe ryzyka i potrzeby organizacji.

Decyzja Prezesa UODO jest kolejnym przypomnieniem, że brak kompleksowego podejścia do zarządzania ryzykiem może prowadzić do istotnych konsekwencji prawnych i finansowych​.