Człowiek – najsłabsze ogniwo

  • 18.03.2020

  • Autor: Agnieszka Świerczyńska

  • Analizy

W tym artykule nie chodzi o koronawirusa. W każdym razie nie bezpośrednio.

Od paru dni większość pracowników biurowych korzysta z pracy zdalnej. Wzrosło zapotrzebowanie na e-usługi. Powszechna cyfryzacja stała się faktem.

Dynamicznie wzrasta ilość danych osobowych przetwarzanych w systemach, a przedsiębiorcy masowo korzystają z rozwiązaniach chmurowych. Ci, którzy na prawdę wdrożyli RODO w swoich organizacjach, duży nacisk położą na kwestie związane z bezpieczeństwem przetwarzania danych w chmurze, a przed podpisaniem umowy powierzenia, zweryfikują dostawcę tych rozwiązań.

W obecnym zamieszaniu może umknąć fakt, że dane w dalszym ciągu są przetwarzane także w postaci papierowej. Te osoby, które nie lubią czytać dokumentów w postaci elektronicznej, wydrukują je.

Należy zwrócić uwagę na stosowanie odpowiednich zabezpieczeń, tak aby nie doszło do naruszenia zasad przetwarzania danych, jak to miało miejsce na Islandii w Narodowym Centrum Medycyny Uzależnienia.

Narodowe Centrum Medycyny Uzależnień jest organizacją pozarządową, która prowadzi klinikę detoksykacji oraz cztery centra rehabilitacji ambulatoryjnej, a także ośrodek usług rodzinnych i ośrodek socjalny na Islandii.

Do naruszenia doszło, gdy były pracownik NCMU otrzymał pudełka zawierające jego rzeczy osobiste, które – odchodząc – zostawił. Okazało się jednak, że pudełka te zawierały również dane pacjentów, w tym dokumentację medyczną 252 byłych pacjentów oraz zapisy zawierające nazwiska około 3.000 osób, które uczestniczyły w rehabilitacji z powodu nadużywania alkoholu i substancji.

Po przeprowadzeniu dochodzenia islandzki organ nadzorczy stwierdził, że naruszenie było wynikiem braku wdrożenia odpowiednich zasad ochrony danych oraz odpowiednich środków technicznych i organizacyjnych w celu ochrony danych przez administratora. Brak odpowiednich środków ochrony danych osobowych stanowił naruszenie, między innymi, art. 5 ust. 1 lit. f oraz art. 32 RODO.

5 marca 2020 r. islandzki organ nadzoru podjął decyzję o nałożeniu grzywny administracyjnej w wysokości 3.000.000 ISK (20.643 EUR) na Narodowe Centrum Medycyny Uzależnienia.

Podsumowując, pamiętajmy, że były pracownik to osoba, która nie jest już upoważniona do przetwarzania danych osobowych i samo odebranie jej dostępów do zasobów sieciowych w organizacji nie wystarczy. Ważne jest również upewnienie się, że pracownik nie ma dostępu do dokumentacji papierowej zawierającej dane osobowe.

 

A wszystkim tym, którzy wpisują się w nurt powszechnej cyfryzacji i wypełniają swoje zadania z wykorzystaniem komunikacji elektronicznej, polecamy nasze e-learningowe szkolenie z zakresu ochrony danych osobowych. Przetwarzanie danych w wersji papierowej też w nim uwzględniliśmy.

 

Szczegóły w naszej zakładce SZKOLENIA : https://rodoradar.pl/szkolenia/e-learning-rodo-dla-pracownikow/

Agnieszka Świerczyńska

Autor

Agnieszka Świerczyńska

Ma doświadczenie w prowadzeniu szkoleń z zakresu ochrony danych osobowych, przeprowadzaniu audytów, sporządzaniu oraz weryfikacji umów. Bierze udział w procesie analizy ryzyka pod kątem naruszenia praw i wolności osób fizycznych oraz wdrażaniu RODO ze szczególnym uwzględnieniem podmiotów prowadzących działalność leczniczą.