(+48) 12 350 60 88 [email protected]

20 000 zł kary za zgubienie prywatnego pendrive’a zawierającego służbowe dane przez byłego pracownika.

Kary UODO, Obowiązki Administratora Danych, Porady, RODO

W styczniu 2024 r. Prezes UODO nałożył na Państwowego Powiatowego Inspektora Sanitarnego w M. karę 20 000 zł. Powód? Wieloletnie braki w analizie ryzyka, brak nadzoru nad zewnętrznymi nośnikami danych oraz brak realnej kontroli nad tym, jak pracownicy przetwarzają dane osobowe poza systemami administratora.

Warto przyjrzeć się tej decyzji, bo to jedna z najbardziej praktycznych lekcji, jakie administratorzy danych mogą dostać „za cudze pieniądze”.

Co się wydarzyło?

Były pracownik sanepidu zgubił prywatny pendrive, na którym przez lata przechowywał dane osobowe wykorzystywane w pracy. Nośnik był:

  • prywatny,

  • niezabezpieczony,

  • nieszyfrowany.

Na pendrive znajdowały się dane ponad 4200 osób, w tym:

  • pacjentów (również dzieci),

  • osób zakażonych COVID,

  • osób z otoczenia chorych,

  • uczestników postępowań administracyjnych.

Zakres danych obejmował m.in. imiona, nazwiska, adresy, PESEL, numery dokumentów, informacje o stanie zdrowia, telefony i adresy e-mail.

To klasyczny przykład naruszenia poufności – ale przede wszystkim dowód na to, że organizacja nie panowała nad ryzykiem związanym z kopiowaniem danych poza swoje systemy.

Dlaczego UODO nałożył karę? Najważniejsze uchybienia

1. Wadliwa analiza ryzyka

UODO wykazał, że administrator:

  • wskazywał ogólne, nierozróżnialne zagrożenia,

  • nie identyfikował scenariuszy związanych z nieuprawnionym kopiowaniem danych,

  • w ogóle nie uwzględnił ryzyka korzystania z prywatnych nośników USB,

  • stosował metody ocen „z sufitu”, bez kryteriów punktacji,

  • traktował różne czynności przetwarzania jako jednakowe.

Wniosek: administrator nie przewidział oczywistego zagrożenia – wynoszenia danych na prywatnych pendrive’ach.

2. Brak odpowiednich środków technicznych

Przed incydentem nie funkcjonowały:

  • blokady portów USB dla prywatnych urządzeń,

  • kontrola nad tym, jakie nośniki można podłączać,

  • wymóg szyfrowania nośników,

  • rejestry wydanych służbowych pendrive’ów,

  • procedury wykrywania i przeciwdziałania kopiowaniu danych poza system.

Innymi słowy – pracownik technicznie mógł skopiować dane, więc to zrobił.

3. Brak realnego testowania i kontroli

Administrator wprawdzie przeprowadzał kontrole, ale były one:

  • ogólne,

  • formalne,

  • nieudokumentowane,

  • nieweryfikujące faktycznych zachowań pracowników.

UODO podkreślił: testowanie i ocenianie środków bezpieczeństwa musi być realne, udokumentowane i oparte na faktach – nie na deklaracjach.

4. Naruszenie zasad RODO

UODO uznał, że administrator złamał:

  • art. 5 ust. 1 lit. f (poufność danych),

  • art. 5 ust. 2 (rozliczalność),

  • art. 24 (środki techniczne i organizacyjne),

  • art. 25 ust. 1 (privacy by design),

  • art. 32 ust. 1–2 (bezpieczeństwo przetwarzania).

I chociaż art. 24 nie jest sankcjonowany bezpośrednio, to naruszenia art. 25, 32 oraz zasad z art. 5 dają podstawę do nałożenia kary.

Wysokość kary: dlaczego 20 000 zł?

Dla jednostek sektora publicznego maksymalna kwota wynosi 100 000 zł (art. 102 uodo).
UODO początkowo wyliczył, że adekwatna kara to 40 000 zł, ale obniżył ją do 20 000 zł, ponieważ:

  • po incydencie administrator wdrożył blokadę portów USB,

  • wprowadził nowe procedury bezpieczeństwa,

  • poprawił analizę ryzyka.

Nadal jednak jest to kara znacząca i pokazująca, że UODO nie ma litości dla braku kontroli nad nośnikami zewnętrznymi.

Co administratorzy danych powinni zrobić, żeby uniknąć takiej sytuacji?

Oto praktyczna checklista, którą warto wdrożyć od razu, nie „kiedyś”:

1. Zakazać korzystania z prywatnych nośników danych

Zero dyskusji. Zero wyjątków. Prywatne pendrive’y to prosta droga do wycieku.

2. Wprowadzić blokadę USB w systemach

Technicznie uniemożliwić:

  • podłączanie nieszyfrowanych nośników,

  • podłączanie prywatnych pendrive’ów,

  • kopiowanie danych poza dedykowane środowiska.

3. Wymagać szyfrowania na każdym nośniku

Każdy pendrive dopuszczony do użytku:

  • musi być szyfrowany,

  • musi być autoryzowany przez dział IT.

4. Zrobić „prawdziwą” analizę ryzyka

Czyli taką, która:

  • identyfikuje realne scenariusze zagrożeń,

  • wskazuje podatności organizacji,

  • dobiera adekwatne środki bezpieczeństwa,

  • jest udokumentowana i aktualna.

5. Regularnie testować i dokumentować skuteczność środków

Nie wystarczy „sprawdziłem, działa”.

To musi być:

  • cykliczne,

  • udokumentowane,

  • mierzalne,

  • oparte na dowodach (logi, raporty, protokoły).

6. Wprowadzić jasne procedury dotyczące nośników USB

Dobra procedura powinna regulować:

  • wydawanie nośników,

  • użytkowanie,

  • szyfrowanie,

  • zwrot,

  • rejestrowanie,

  • zakazy i obowiązki pracowników,

  • sankcje za naruszenia.

7. Edukować pracowników

Brutalna prawda: pracownicy są najsłabszym ogniwem.
Bez edukacji i kontroli – najlepsza procedura jest martwa.

8. Wdrożyć zasadę „minimum konieczne”

Pracownik nie powinien być w stanie:

  • pobrać danych, których nie potrzebuje,

  • skopiować danych hurtowo,

  • ominąć zabezpieczeń systemu.

9. Monitorować incydenty i reagować natychmiast

Rejestr incydentów + procedury reagowania = dowód na rozliczalność.

10. Utrzymywać aktualną dokumentację zgodną z praktyką

Dokumentacja musi:

  • odzwierciedlać rzeczywiste procesy,

  • być zrozumiała dla pracowników,

  • być aktualizowana po każdej zmianie systemu lub procesu.

Podsumowanie

Ta decyzja UODO to gotowy materiał szkoleniowy. Pokazuje, że:

  • brak kontroli nad nośnikami USB to poważne zagrożenie,

  • analiza ryzyka „na kolanie” nie chroni przed karą,

  • procedury papierowe nie wystarczą — liczą się faktyczne działania,

  • administrator musi być w stanie udowodnić, że zabezpieczenia są adekwatne.

W erze pracy hybrydowej i łatwego przenoszenia informacji w kieszeni – kontrola nad nośnikami zewnętrznymi staje się jednym z kluczowych elementów bezpieczeństwa danych.