Czy jesteśmy naprawdę bezpieczni?
Ta kwestia staje się coraz bardziej paląca, gdy dowiadujemy się o coraz większej liczbie przypadków naruszenia bezpieczeństwa danych. Tym razem pod lupę UODO (Urząd Ochrony Danych Osobowych) trafił Rzecznik Dyscyplinarny jednej z izb adwokackich, któremu zarzucono brak odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych.
Oto kontekst:
Rzecznik Dyscyplinarny zgubił pendrive’a z danymi osobowymi, który nie był zaszyfrowany. Mimo istniejących procedur zabezpieczających tego typu nośniki, w praktyce ich przestrzeganie pozostawiało wiele do życzenia.
RODO (Regulamin Ogólny o Ochronie Danych Osobowych) jasno mówi: administrator danych musi zapewnić odpowiednie środki techniczne i organizacyjne dla właściwej ochrony danych. W tym konkretnym przypadku UODO uznał, że analiza ryzyka dla ochrony danych była nieprawidłowa, skupiając się na minimalizacji skutków w przypadku awarii nośnika, zaniedbując kwestię zabezpieczenia (zaszyfrowania) przed dostępem osób trzecich.
UODO podkreślił, że wprowadzenie regulacji wewnętrznych nie zwalnia administratora danych od obowiązku ich weryfikacji i ciągłego monitorowania skuteczności. Zasady są jedno, ale ich skuteczna realizacja to zupełnie inna historia.
Czytając o takich sytuacjach, nasuwa się pytanie: Czy instytucje, które powinny chronić nasze dane, faktycznie to robią? Czy wystarczające są wewnętrzne procedury, które w praktyce są ignorowane lub nieprzestrzegane?
W tym konkretnym przypadku, choć instytucja posiadała procedury dotyczące zabezpieczania zewnętrznych nośników danych i wysyłki, nie były one przestrzegane. Pendrive z danymi osobowymi został wysłany w zwykłej kopercie, bez odpowiedniego zabezpieczenia. To doprowadziło do sytuacji, w której dane mogły dostać się w niepowołane ręce.
UODO, zwracając uwagę na brak efektywności wdrażanych środków bezpieczeństwa, nałożył na Rzecznika Dyscyplinarnego karę w wysokości 23 tys. zł. Został również wyznaczony termin – pół roku na dostosowanie się do wymogów RODO.
Ta sytuacja jest przypomnieniem dla nas wszystkich, że bezpieczeństwo danych osobowych to nie tylko obowiązek prawny, ale przede wszystkim etyczny. To kwestia szacunku do prywatności i godności innych osób. Powinniśmy również pamiętać, że ochrona danych to nie jest jednorazowy akt, ale proces wymagający ciągłego monitoringu, weryfikacji i dostosowywania do zmieniających się warunków.
Zastanówmy się na koniec: Czy twoja organizacja jest przygotowana na prawdziwą ochronę danych? Czy posiadasz procedury, które są nie tylko na papierze, ale są też skutecznie wdrażane? Czy na pewno jesteś bezpieczny?
Zapraszamy do dyskusji.
