Kara 20 000 zł za pendrive. Czego uczy decyzja Prezesa UODO?

Stan faktyczny: klasyczny błąd o poważnych skutkach

Do naruszenia doszło w wyniku zagubienia prywatnego pendrive’a byłego pracownika, na którym znajdowały się:

• dane ponad 4200 osób,
• dane szczególnej kategorii (art. 9 RODO), w tym dane dotyczące zdrowia i COVID-19,
• dane dzieci,
• dane identyfikacyjne (PESEL, dokumenty tożsamości, adresy, telefony).

Nośnik:

• był prywatny,
• nie był szyfrowany,
• nie był zabezpieczony hasłem.

Kluczowe jest jednak to, że organ nie został ukarany za sam incydent, lecz za wieloletnie systemowe zaniedbania, które do niego doprowadziły.

Co dokładnie naruszył administrator?

Prezes UODO stwierdził naruszenie:

• art. 24 ust. 1 RODO – brak skutecznego systemu ochrony danych,
• art. 25 ust. 1 RODO – brak privacy by design i by default,
• art. 32 ust. 1 i 2 RODO – brak adekwatnych środków bezpieczeństwa,
• art. 5 ust. 1 lit. f RODO – naruszenie poufności i integralności,
• art. 5 ust. 2 RODO – naruszenie zasady rozliczalności.

Co istotne: organ prowadził analizy ryzyka, ale były one wadliwe.

Analiza ryzyka – główny „grzech pierworodny”

Decyzja bardzo wyraźnie pokazuje, że:

Źle przeprowadzona analiza ryzyka = brak analizy ryzyka

UODO zakwestionował m.in.:

Brak identyfikacji realnych zagrożeń

nie zidentyfikowano ryzyka:

• kopiowania danych przez pracowników,
• używania prywatnych nośników danych,
• zagubienia prywatnych pendrive’ów.

Schematyczność

• te same zagrożenia i zabezpieczenia przypisane do różnych czynności przetwarzania,
• brak indywidualnej oceny procesów.

Dowolną metodykę

• punktacja ryzyka (RPN) bez jasno określonych kryteriów,
• brak możliwości wykazania, dlaczego dane ryzyko uznano za „akceptowalne”.

Oderwanie analizy od rzeczywistości organizacyjnej

• analizy zakładały, że dane są przetwarzane wyłącznie na sprzęcie służbowym,
• w praktyce pracownicy korzystali z prywatnych nośników.

Prezes UODO wprost wskazał, że brak identyfikacji konkretnego zagrożenia uniemożliwia dobór adekwatnych środków bezpieczeństwa.

Procedura to za mało – potrzebna kontrola i testowanie

Administrator argumentował, że:

• istniały procedury,
• obowiązywał zakaz używania prywatnych nośników,
• prowadzono kontrole.

UODO uznał to za niewystarczające, ponieważ:

• nie sprawdzano faktycznie, czy pracownicy używają prywatnych pendrive’ów,
• kontrole miały charakter deklaratywny,
• brak było regularnego testowania skuteczności środków (art. 32 ust. 1 lit. d RODO),
• brak dokumentacji potwierdzającej realny nadzór.

Sam zakaz w procedurze nie zwalnia administratora z obowiązku kontroli jego przestrzegania.

Odpowiedzialność administratora mimo winy pracownika

Jednym z kluczowych fragmentów decyzji jest wyraźne odrzucenie argumentu:

„to był prywatny pendrive pracownika, wbrew procedurom”.

Prezes UODO, powołując się na orzecznictwo WSA, wskazał jednoznacznie:

• administrator odpowiada za system, a nie za intencje pracownika,
• procedura bez analizy ryzyka i mechanizmów kontroli nie realizuje art. 32 RODO,
• brak zabezpieczeń technicznych (np. blokady USB) jest błędem administratora.

Dlaczego kara, skoro incydent zgłoszono i wdrożono poprawki?

UODO docenił działania naprawcze (blokada USB, nowe procedury), ale:

• naruszenie trwało ponad 6 lat,
• dotyczyło danych szczególnie wrażliwych,
• ryzyko było wysokie,
• doszło do realnej utraty poufności.

Dlatego kara 20 000 zł została uznana za:

• proporcjonalną,
• odstraszającą,
• konieczną.

Co ważne: to 50% obniżenie kary wyjściowej – właśnie dzięki działaniom naprawczym.

Kluczowe wnioski praktyczne (dla każdego administratora)

1. Analiza ryzyka musi:

• identyfikować konkretne zagrożenia,
• odnosić się do realnych zachowań ludzi,
• być udokumentowana i logiczna.

2. Procedury ≠ bezpieczeństwo

bez kontroli, testów i egzekwowania są fikcją.

3. Prywatne nośniki danych to wysokie ryzyko

brak blokad technicznych = brak zgodności z art. 32 RODO.

4. Odpowiada administrator, nie pracownik

nawet jeśli pracownik działał „wbrew zasadom”.

5. Dane zdrowotne i dane dzieci = najwyższy standard ochrony

tu margines błędu jest minimalny.

Podsumowanie

Decyzja DKN.5131.3.2024 to nie jest „sprawa o pendrive’a”. To wyrok nad iluzorycznym compliance.

RODO wymaga:

• myślenia ryzykiem,
• testowania zabezpieczeń,
• kontroli ludzi i technologii,
• zdolności wykazania, że system naprawdę działa.

Brak tych elementów – nawet przez lata – prędzej czy później kończy się sankcją.

Źródło: decyzja Prezesa UODO DKN.5131.3.2024, strona UODO (uodo.gov.pl)