W kwietniu 2024 r. PUODO opublikował decyzję, w której nałożył karę pieniężną w wysokości prawie 240 tys. zł na podmiot gastronomiczny z Podkarpacia za zgubienie pendrive’a z danymi osobowymi. Pracownik firmy wyniósł bowiem na nośniku dane osobowe, które tylko w części zostały zaszyfrowane, a następnie zgubił pendirve.
W związku z tą decyzją pojawiły się opinie, że takie podejście jest zbyt surowe, bo to tylko pendrive, dane dotyczyły tylko jednej osoby, a część danych była zaszyfrowana. Można by jeszcze dodać, że branża gastronomiczna dopiero podnosi się po pandemii, więc nakładanie na nią kar jest niewłaściwe. Nagłówek na stronie PUODO „Prawie 240 tys. zł kary dla firmy, której pracownik zgubił pendrive z danymi osobowymi” również nie pomaga w zrozumieniu sprawy. Od razu widzimy te 240 tys. zł, a po
drugiej stronie jeden mały pendrive.
Instrukcja była, ale zabrakło procedury
Postępowanie przed PUODO wykazało, że administrator miał instrukcję korzystania z zewnętrznych nośników danych i udostępnił personelowi film instruktażowy o tym, jak zaszyfrować taki nośnik. Przeprowadzono również analizę ryzyka, która powinna być wykonana przez każdego administratora, aby określić, co złego może się stać z danymi oraz jak temu zapobiec. I na tym pozytywne informacje dla ukaranego przedsiębiorcy się kończyły, ponieważ:
- Administrator zadeklarował, że istniał generalny zakaz kopiowania danych na dyski zewnętrzne i ich wynoszenia poza siedzibę firmy.
- Zadeklarował, że wynoszenie danych na dyski zewnętrzne nie miało miejsca, bo nikt nie zgłosił się o pozwolenie na takie działanie.
PUODO wyciągnął wniosek, że administrator może i miał dokumenty w organizacji, ale procedur już na pewno nie, a przynajmniej nikt nie dbał o to, aby były one przestrzegane. To, oprócz samego faktu zgubienia pendrive’a z danymi, stanowiło główny zarzut wobec przedsiębiorcy.
Dokumenty to za mało
Można zatem mieć odpowiednie dokumenty i nic to nie będzie znaczyć. Dokument to instrukcja obsługi, a liczy się to, czy i jak z niej korzystamy, jak budujemy wzorce i czy przestrzegamy procedur. Dlatego często słyszane stwierdzenie „potrzebuję dokumentów RODO na wypadek kontroli”, to ślepa uliczka. Dokumenty są ważne, ale to nie rozwiązuje problemu, jeśli na ich podstawie nie zbudujesz odpowiednich praktyk w przedsiębiorstwie.
Można zatem mieć odpowiednie dokumenty, ale będzie to bez znaczenia. Dokument to instrukcja obsługi, a liczy się to, czy i jak z niej korzystamy, jak budujemy wzorce i czy przestrzegamy procedur. Dlatego często słyszane stwierdzenie „potrzebuję dokumentów RODO na wypadek kontroli”, to ślepa uliczka. Dokumenty są ważne, ale to nie rozwiązuje problemu, jeśli na ich podstawie nie zbudujesz odpowiednich praktyk w przedsiębiorstwie.
