Wyszukaj po identyfikatorze keyboard_arrow_down
Wyszukiwanie po identyfikatorze Zamknij close
ZAMKNIJ close
account_circle Jesteś zalogowany jako:
ZAMKNIJ close
Powiadomienia
keyboard_arrow_up keyboard_arrow_down znajdź
removeA addA insert_drive_fileWEksportuj printDrukuj assignment add Do schowka
comment

Artykuł

Data publikacji: 2023-08-02

Jak minimalizować ryzyko odpowiedzialności za naruszenie wymogów ochrony danych osobowych w podmiotach publicznych

W ostatnich miesiącach było głośno co najmniej o kilku decyzjach prezesa Urzędu Ochrony Danych Osobowych, w których nakładał on sankcje na podmioty sektora publicznego: burmistrzów i wójtów. Powodem było naruszenie przepisów RODO, a zarzuty dotyczyły m.in. braku skutecznych zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych oraz brak odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo. Lektura decyzji wskazuje, że urzędy mają w praktyce problem ze stosowaniem odpowiednich zabezpieczeń i z wdrożeniem w praktyce RODO. Jakie zatem najczęściej są powody nałożenia decyzji? Jakich błędów należy unikać? Przeanalizowaliśmy wybrane decyzje i rekomendujemy działania, które powinni podjąć administratorzy danych osobowych działający w ramach sektora publicznego, w tym m.in. burmistrzowie i wójtowie gmin.

 

Kilka tygodni temu na stronie internetowej Urzędu Ochrony Danych Osobowych opublikowano informację o nałożeniu kary w wysokości 30 tys. zł na jednego z burmistrzów za dobór nieskutecznych zabezpieczeń dla wykorzystywanego systemu informatycznego oraz za ich nieprzetestowanie (https://www.uodo.gov.pl/pl/138/2764). Sprawa związana była z wystąpieniem ataku ransomware (jest to rodzaj szkodliwego oprogramowania, powodującego utratę dostępności informacji, za przywrócenie której atakujący żąda od zaatakowanego okupu; definicja wskazana w Narodowym Standardzie Cyberbezpieczeństwa; NSC 7298 1.0/2021.09.01.). Jak wynika z komunikatu UODO, organ ten uznał, że faktyczną przyczyną wystąpienia ataku ransomware była m.in. niezaktualizowana baza wirusów. Co więcej, stwierdzono, że administrator przeprowadził w sposób nierzetelny analizę ryzyka (szczególnie w zakresie wykonywania kopii zapasowych), a także wdrożył niepełne środki techniczne i organizacyjne, które miały gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych (decyzja nr DKN.5131.56.2022 z 16 maja 2023 r.,

close POTRZEBUJESZ POMOCY?
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00