Umów się na spotkanie: +48 535 202 564
Umów się na spotkanie: +48 535 202 564
Autor: Soczko i Partnerzy — w kategorii Komunikaty IOD-y — 15 kwietnia 2023
Aktualizacja publikacji z dnia 18 maja 2021 r.
W grudniu 2019 roku Brytyjski organ nadzorczy ukarał firmę farmaceutyczną za nieodpowiednią ochronę danych osobowych szczególnej kategorii.
Firma London Pharmacy otrzymała karę w wysokości 275 tysięcy funtów za przechowywanie dokumentów z danymi osobowymi na tyłach swojej siedziby w niezamkniętych kontenerach.
Zbiór danych liczył około 500 tyś. dokumentów i zawierał takie dane jak: imiona i nazwiska, adresy zamieszkania, daty urodzenia oraz informacje o zdrowiu wraz z przepisanymi receptami.
Czynności kontrolne zostały rozpoczęte w wyniku zawiadomienia złożonego przez brytyjską agencję ds. leków i produktów zdrowotnych.
Jak widać właściwa ochrona danych nie tylko chroni przed ich wyciekiem, ale pozwala uniknąć ewentualnych kontroli zainicjowanych przez świadków łamania zasad bezpieczeństwa przechowywania danych, np. przez kontrolerów innej instytucji, tak jak to miało miejsce w w/w przypadku.
Co więcej właściwa dbałość o bezpieczeństwo fizyczne danych zmniejsza prawdopodobieństwo wystąpienia ataku oraz skuteczność jego przeprowadzenia, np. dane zawarte w wyrzuconych na śmieci (niezniszczonych) dokumentach papierowych, dotyczące korespondencji służbowej z dostawcą usług IT, mogą zostać wykorzystane do przeprowadzenia skutecznego ataku socjotechnicznego – atakujący może wcielić się w przedstawiciela dostawcy usług IT i zmanipulować osobę dla osiągnięcia własnych celów.
Poniżej kilka zasad, których przestrzeganie pozwoli zmniejszyć ryzyko wycieku danych:
W przypadku dłuższej nieobecności przy stanowisku pracy lub po jej zakończeniu, umieść wszystkie dokumenty i nośniki zawierające dane osobowe w bezpiecznym miejscu, np. zamykanej na klucz szafce. Dzięki temu uniemożliwisz dostęp do danych osobom nieuprawnionym.
Unikaj korzystania z komputera w miejscach, w których nie ma pewności, że obraz wyświetlany na ekranie nie zostanie podejrzany przez osobę nieupoważnioną lub nie będzie zarejestrowany przez kamery monitoringu.
Pracując nad dokumentami w miejscach publicznych (tj. kawiarnie, pociągi, autobusy, samoloty itp.) zachowaj poufność danych, tak aby osoby nieupoważnione nie miały do nich dostępu (w tym nie mogły ich przeczytać). Odwróć się co jakiś czas, by sprawdzić, czy ktoś nie patrzy w Twój monitor. W miarę możliwości korzystaj z filtrów prywatyzujących.
Opuszczając (nawet na chwilę) stanowisko pracy zablokuj lub wyłącz komputer. Zamykaj na klucz pomieszczenie, w którym nikt nie został i nie pozostawiaj w nim osoby nieuprawnionej bez opieki. Intruz może zainstalować do komputera (zwłaszcza stacjonarnego) niewielkie urządzenia szpiegujące, takie jak np. keylogger.
Zabezpiecz urządzenie przenośne (tj. laptop, telefon, tablet) przed kradzieżą. Nie zostawiaj ich w miejscach publicznych. W hotelach przechowuj je w sejfie, a w samochodach przewoź w bagażniku. Wysiadając ze środków komunikacji publicznej (zwłaszcza taksówek) zwracaj uwagę, czy nie zostawiłeś/aś w nim sprzętu.
W sytuacji, gdy w pamięci urządzenia znajdują się dane osobowe, upewnij się przed wyniesieniem go z pracy, że dysk twardy został zaszyfrowany.
AKTUALIZACJA
Decyzją z dnia 19 stycznia 2023 r. Prezes UODO nałożył administracyjną karę pieniężną w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie. Powodem ukarania było niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci.
We wrześniu 2020 r. administrator zawiadomił organ nadzorczy o naruszeniu ochrony danych osobowych polegającym na zgubieniu trzech nośników pamięci typu pendrive. Znajdowały się na nich projekty orzeczeń i uzasadnień, które zawierały dane osobowe z okresu od grudnia 2004 r. do sierpnia 2020 r.
W toku postępowania stwierdzono, że pracownicy sądu przez wiele lat korzystali na komputerach służbowych z prywatnych nośników danych. Były one niezabezpieczone i niezweryfikowane przez dział IT. W sądzie zgodnie z obowiązującymi procedurami zakazane było korzystanie z prywatnych nośników danych. Mimo to prezes sądu nie prowadził nadzoru umożliwiającego sprawdzenie czy pracownicy stosują się do uregulowań w tym zakresie. Ustalono, że administrator nie wdrożył środków uniemożliwiających stosowanie zakazanych praktyk (np. blokady portów USB, które uniemożliwiłyby korzystanie z prywatnych nośników).
Jak podkreśla UODO „Wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno ono przybrać postać ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia”. W omawianym stanie faktycznym regularny nadzór nad stosowaniem środków bezpieczeństwa pozwoliłby sprawdzić, czy pracownicy stosują się do obowiązujących procedur.