Powiatowy Inspektor Sanitarny w Policach ma zapłacić 20 tysięcy złotych kary. Nałożył ją Prezes Urzędu Ochrony Danych Osobowych. To finał głośnej sprawy zgubienia prywatnego pendrive'a z danymi osób, którymi zajmowała się policka instytucja.
O sprawie tej pisaliśmy w 2023 roku. Informowaliśmy wówczas, że z polickiego sanepidu wyciekły dane wrażliwe ponad 350 osób. Z komunikatu (z 22 grudnia tego roku) UODO wynika, że pracownik sanepidu zgubił prywatny, niezaszyfrowany i niechroniony hasłem pendrive z danymi 4200 osób, w tym chorych na Covid, a więc danymi dotyczącymi zdrowia, zebranymi do 2021 r., a także danymi z 300 postępowań administracyjnych sanepidu. O tym zdarzeniu Urząd Ochrony Danych Osobowych został poinformowany przez policki Sanepid, który wydał też publiczny komunikat w tej sprawie.
Prezes UODO ocenił wypełnienie przez administratora spoczywających na nim obowiązków wynikających z przepisów RODO. Ustalił m.in., że administrator danych nie przeprowadzał prawidłowo analizy ryzyka i nie miał odrębnych regulacji dotyczących zarządzania zewnętrznymi nośnikami danych.
"Używanie ich było po prostu zakazane. Ryzyko, że pracownik jednak z takiego nośnika skorzysta, oszacowano jako niskie i niewymagające podejmowania działań. Założenie to nie było odpowiednio testowane" - informuje UODO.
Zdarzenie to Prezes UODO zidentyfikował jako naruszenie zasady integralności i poufności oraz zasady rozliczalności.
"Dopiero gdy sprawą zajął się Prezes UODO, administrator sprawdził zabezpieczenia i zablokował możliwość kopiowania danych na nośniki zewnętrzne" - podaje Urząd Ochrony Danych Osobowych.
UODO ocenił, że w tym przypadku administrator, który przetwarzał dane dotyczące zdrowia z całego powiatu, przeprowadzał analizę ryzyka w sposób nieprawidłowy – bo zbyt ogólnikowy. W efekcie nie mógł dobrać odpowiednich do ryzyka środków bezpieczeństwa, co doprowadziło do incydentu.
"Prawidłową analizę ryzyka administrator przeprowadził dopiero po zgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych" - stwierdza UODO.
Prezes UODO Mirosław Wróblewski ocenił, że stwierdzone w tej sprawie naruszenie przepisów RODO "ma znaczną wagę i poważny charakter, jako że stwarzało wysokie ryzyko negatywnych skutków dla osób, których dane dotyczą. Nie ma dowodów, iż z danymi osobowymi przetwarzanymi na niezabezpieczonym nośniku danych nie zapoznały się osoby postronne."
(sag)
