Firma Res-Gastro M. Gaweł Sp. k. zyskała dziś spory rozgłos na platformie X. Wszystko przez pendrive zawierający dane osobowe i finansowe jednego ze swoich pracowników, który został zgubiony przez innego pracownika. Urząd Ochrony Danych Osobowych wycenił ten „występek” na 240 tysięcy złotych.
Serwis Sekurak udostępnił dziś niewesołą historię z Kolbuszowej. Dotyczy ona firmy, która zajmuje się m.in. prowadzeniem kilku lokali McDonald’s. Jej pracownik zgubił pendrive, na którym znajdowały się niezaszyfrowane pliki zawierające bogaty zestaw danych osobowych: od imienia i nazwiska, przez adres, numer PESEL, aż po dane finansowe i kontaktowe. Co ciekawe, sami poinformowali oni UODO o tym incydencie. Niestety nie spotkało się to z łagodnym potraktowaniem. Kara RODO to około 240 tysięcy złotych.
Co ciekawe, ukarani nie byli firmą, która olewa przepisy. Pracownicy mieli dostęp do filmu instruktażowego pokazującego, w jaki sposób szyfrować pliki. Nikt nie brał jednak pod uwagę sytuacji, w której ktoś gubi nośnik z danymi. UODO twierdzi, że to firma ponosi odpowiedzialność za zabezpieczenie danych swoich pracowników. Jak informują, doszło do zaniechań w zakresie szkolenia personelu, braku odpowiedniej oceny ryzyka oraz zaniechania w regularnych testach bezpieczeństwa są istotnymi uchybieniami, które nie powinny mieć miejsca w dzisiejszym środowisku biznesowym, szczególnie w branży obsługującej tak wrażliwe dane jak finanse i dane osobowe.
Urząd Ochrony Danych Osobowych wskazał na kilka istotnych zaniedbań ze strony firmy. Po pierwsze, nie dokonano odpowiedniej oceny ryzyka dla danych, zakładając jedynie scenariusze kradzieży lub zniszczenia nośnika, pomijając możliwość jego zgubienia bez złych intencji. Po drugie, firma nie wykazała się odpowiednią troską o regularne mierzenie, testowanie i ocenę skuteczności zastosowanych środków bezpieczeństwa. Te uchybienia w podejściu do ochrony danych osobowych miały stanowić podstawę dla nałożenia tak wysokiej kary przez UODO.
Kary nakładane przez organy nadzoru, takie jak UODO, mają charakter korekcyjny i prewencyjny. W tym przypadku ma ona za zadanie nie tylko ukarać za popełnione błędy, ale także przekonać inne podmioty do bardziej rygorystycznego podejścia do ochrony danych osobowych. To, co spotkało firmę Res-Gastro M. Gaweł Sp. k. może stanowić ostrzeżenie dla innych podmiotów, aby bardziej skrupulatnie przestrzegały przepisów dotyczących ochrony danych. Ale czy kwota, jaką muszą zapłacić, nie jest, aby zbyt wysoka? Dajcie znać, co sądzicie o tej sytuacji.
źródło: Sekurak
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
