Naruszenie danych na jednej z uczelni wyższych i szybka reakcja UODO

Kilka dni temu dotarła do nas informacja na temat możliwego wycieku danych osobowych w związku z odformalizowanym sposobem funkcjonowania jednej z uczelni wyższych.

Konkretnie okazało się, że pracownik miał wykonywać swoje zadania służbowe na prywatnym laptopie, którego w dodatku zagubił. Znajdowały się tam dane kandydatów na studia.

Urząd Ochrony Danych Osobowych wszczął w tym kierunku postępowanie, zaś o jego wynikach dowiemy się zapewne niebawem…….

Co z tego wynika?
Otóż jako inspektorzy ochrony danych osobowych nierzadko jesteśmy świadkami ryzykowanych praktyk stosowanych przez mniej świadomych pracodawców, którzy nie widzą nic niewłaściwego w wykonywania przez swoich pracowników pracy z użyciem prywatnego sprzętu, najczęściej laptopa czy telefonu. A stąd już niestety tylko o krok od bardzo poważnych problemów.

Nigdy bowiem nie wiadomo, czy laptop pracownika posiada legalne oprogramowania, systemy antywirusowe, czy jest zahasłowany, czy dostęp do niego ma wyłącznie osoba wykonująca na nim pracę, czy może laptop ten jest pozostawiany przez pracownika w miejscach narażonych na kradzieże itp.
Sytuacji, które mogą potencjalnie narażać tak ryzykującego pracodawcę jest całe mnóstwo, co sprzyja licznym naruszeniom. Przypominamy ponadto, że to na administratorze danych ciążą szczególne obowiązki, aby postępować zgodnie z ogólnym rozporządzeniem, a w szczególności aby wdrożyć odpowiednie środki techniczne i organizacyjne.

Innym jeszcze aspektem jest to, że zarówno szkoły, jak i uczelnie wyższe niekoniecznie dostrzegają potrzebę systematycznego szkolenia i uświadamiania pracowników, jak również aktualizowania wdrożonych procedur i polityk bezpieczeństwa danych.

To samo odnosi się do zwłaszcza prywatnych firm, które „wdrażając RODO” w okresie wejścia w życie ogólnego rozporządzenia uznały, że mają już swoje procedury, przy czym nie wzięły pod uwagę faktu, że poszczególne regulacje wciąż jeszcze ewoluują, a ponadto zdarzają się przecież nowe potrzeby, jak choćby uregulowanie zasad wykonywania pracy zdalnej w tej szczególnej sytuacji, w jakiej od kilkunastu dni zaczęliśmy funkcjonować. I to właśnie wtedy może okazać się, że procedury, jakie zostały wdrożone w maju 2018 r. już dawno powinny zostać poddane przeglądowi i w razie potrzeby uaktualnione. Być może część z nich w ogólne straciła na znaczeniu, zaś innych potrzebnych w ogólne nie wdrożono.

Bardzo często podkreślamy naszym klientom, że „RODO musi żyć”. W tym wypadku nie wystarczy wyłącznie przelanie na papier najważniejszych regulacji. Istotne i zarazem bardzo pomocne są okresowe sprawozdania ze stanu systemu ochrony danych osobowych i powierzenie specjaliście niezbędnych do uzupełnienia regulacji.
W tym wypadku działanie na własną rękę może niestety przynieść znacznie więcej szkody niż pożytku. Zaś świadomość odnoszącą się do znaczenia ochrony danych osobowych i zapewnienia im właściwego bezpieczeństwa, uznajemy za kwestię priorytetową, stąd odpowiedzialni pracodawcy docenią rolę i znacznie organizowanych przez inspektorów ochrony danych osobowych szkoleń.