Podstawa prawna naruszenia

Art. 32, art. 24 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

Przyczyna naruszenia

Naruszenie wynikało z braku odpowiedniej kontroli dostępu do dokumentów zawierających dane osobowe w systemie Microsoft Teams. Dokumenty te były przechowywane w otwartych folderach, do których dostęp mieli wszyscy pracownicy, a w jednym przypadku także studenci.

Opis wydarzeń

1. Odkrycie naruszenia: Naruszenie zostało odkryte 14 lutego 2024 roku przez pracownika, który przeszukiwał otwarte foldery w Microsoft Teams.
2. Zakres naruszenia: Stwierdzono, że od 2018 roku w otwartych folderach przechowywano dziewięć dokumentów zawierających dane osobowe pracowników, studentów oraz ukraińskich uchodźców. Dokumenty te zawierały m.in. imiona, nazwiska, numery PESEL, adresy, informacje o zatrudnieniu i edukacji.
3. Działania naprawcze: Po odkryciu naruszenia, wszystkie otwarte foldery zostały zamknięte, a dostęp do nich ograniczony. Pracownicy zostali poinformowani o zasadach bezpiecznego przechowywania danych w Microsoft Teams.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Wdrożenie kontroli dostępu: Zaleca się wprowadzenie ścisłej kontroli dostępu do dokumentów zawierających dane osobowe, aby tylko uprawnione osoby miały do nich dostęp.
2. Logowanie aktywności: Należy wdrożyć system logowania aktywności, który umożliwi monitorowanie dostępu do dokumentów i wykrywanie nieautoryzowanych działań.
3. Szkolenia dla pracowników: Konieczne jest przeprowadzenie szkoleń dla pracowników w zakresie bezpiecznego przechowywania i przetwarzania danych osobowych.
4. Regularne audyty: Zaleca się regularne przeprowadzanie audytów bezpieczeństwa w celu wykrywania i eliminowania potencjalnych zagrożeń.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu