Obowiązek informacyjny rodo

KOMPAS FORSAFE 2020/10

Kraj:

Polska

Data wydania decyzji:

08.09.2020 r.

Podmiot kontrolowany:

Szkoła Główna Gospodarstwa Wiejskiego w Warszawie

Wysokość kary (EUR):

11.200

Podstawa prawna naruszenia

Art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych w Szkole Głównej Gospodarstwa Wiejskiego (SGGW) w Warszawie było spowodowane kradzieżą prywatnego laptopa pracownika, który przechowywał na nim dane osobowe kandydatów na studia. Pracownik ten, pełniący funkcję sekretarza Uczelnianej Komisji Rekrutacyjnej, importował dane z systemu rekrutacyjnego na swój prywatny komputer, co było niezgodne z wewnętrznymi procedurami i przepisami o ochronie danych osobowych.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: SGGW zgłosiło naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych (UODO).
  2. Kontrola: Przeprowadzono kontrolę, podczas której stwierdzono, że pracownik SGGW przechowywał dane osobowe kandydatów na studia na prywatnym laptopie, który został skradziony.
  3. Zakres naruszenia: Naruszenie dotyczyło danych osobowych kandydatów na studia z ostatnich 5 lat, obejmujących 81 624 rekordy.
  4. Brak kontroli: Ustalono, że SGGW nie miało wiedzy o tym, że pracownik przechowuje dane na prywatnym komputerze, a operacje eksportu danych nie były rejestrowane w systemie rekrutacyjnym.
  5. Działania naprawcze: Po naruszeniu SGGW podjęło szereg działań naprawczych, w tym zmiany w systemie rekrutacyjnym, ograniczenie dostępu do danych oraz wdrożenie nowych procedur bezpieczeństwa.
  6. Wysokość kary: 50.000 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie środków technicznych i organizacyjnych: Regularne przeglądanie i aktualizowanie środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych.
  2. Monitorowanie i audyty: Przeprowadzanie regularnych audytów i monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz wewnętrznych procedur.
  3. Ograniczenie dostępu do danych: Ograniczenie dostępu do danych osobowych do niezbędnego minimum.
  4. Rejestrowanie eksportu danych: Weryfikacja programów i aplikacji w zakresie rejestrowania eksportu danych oraz zakresu eksportowanych danych.
  5. Wdrożenie polityki ochrony danych: Wdrożenie kompleksowej polityki ochrony danych osobowych, uwzględniającej wszystkie wymagania RODO, w tym m.in.: procedurę dotyczącą wykorzystywania sprzętu prywatnego do celów służbowych, procedurę retencji danych, procedurę zgłaszania naruszeń bezpieczeństwa danych osobowych, metodologię analizy ryzyka.
  6. Rejestr czynności przetwarzania: Prowadzenie rejestru czynności przetwarzania danych osobowych zgodnie z wytycznymi art. 30 ust. 1 Rozporządzenia.
  7. Analiza ryzyka: Wykonywanie analizy ryzyka dla procesów przetwarzania danych osobowych, uwzględniając termin jej wykonania, informacje o osobie wykonującej analizę ryzyka, termin zatwierdzenia oraz osobę zatwierdzającą analizę ryzyka.
  8. Szkolenia pracowników: Przeprowadzanie regularnych szkoleń dla pracowników w zakresie ochrony danych osobowych oraz weryfikacja ich wiedzy.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO