Aktualna pozycja: HomeBlog o prawie
Udostępnij przez LinkedIn Udostępnij przez Facebook Udostępnij przez Email

Kara dla lotniska Heathrow za naruszenie ochrony danych osobowych

ICO, brytyjski organ nadzorczy, nałożył na Heathrow Airport Limited karę w wysokości 120.000 funtów za naruszenia w obszarze ochrony danych osobowych. Kłopoty lotniska rozpoczęły się od zgubienia przez pracownika niezaszyfrowanego pendrive’a.

 

W ten sposób ujawniono nieuprawnionej osobie ponad tysiąc niezabezpieczonych plików. Jak podaje ICO (Information Commissioner’s Office), dane osobowe stanowiły tylko niewielki wycinek tych plików. Były to jednak częściowo tzw. dane wrażliwe, a ponadto zawartość pendrive’a została przekazana krajowej prasie.

 

Na skutek tego incydentu, urzędnicy ICO przeprowadzili kontrolę w spółce. Jej wyniki wskazały na niedociągnięcia w zakresie ochrony danych osobowych. Uwagę kontrolerów przykuł między innymi fakt, że przeszkolonych w tym zakresie było tylko 2% z 6.500 pracowników, a spółka nie wdrożyła odpowiednich środków w celu zabezpieczenia danych.

 

Podkreślić trzeba, że choć karę nałożono w tym miesiącu, to same naruszenia miały miejsce jeszcze przed rozpoczęciem stosowania RODO. Brytyjska ustawa o ochronie danych z 1998 r., na mocy której nakładano karę, przewidywała maksymalną karę w wysokości 500.000 funtów. RODO z kolei znacznie podwyższyło tę granicę i obecnie kara może wynieść nawet do 20.000.000 euro (około 17.500.000 funtów) lub 4% rocznego światowego obrotu przedsiębiorstwa, na które nakładana jest kara, przy czym zastosowanie ma kwota wyższa. RODO wprost wskazuje, że kary mają pełnić funkcję odstraszającą. Niewykluczone zatem, że gdyby ICO decydował o wysokości kary bazując na przepisach RODO, to byłaby ona jeszcze wyższa.

 

Z omawianej sprawy płynie nauka dla wszystkich podmiotów przetwarzających dane osobowe. Z powodu utraty jednego pendrive’a przeprowadzono kontrolę, która zakończyła się nałożeniem na administratora dotkliwej kary. W tym kontekście warto rozważyć wprowadzenie procedury udostępniania pracownikom nośników danych i odpowiedniego ich szyfrowania oraz ciągłego podnoszenia świadomości wśród osób mających dostęp do danych osobowych w organizacji. Warto również zwrócić uwagę na to, jakie zagadnienia budzą zainteresowanie organów nadzorczych w trakcie kontroli. Istotą ochrony danych nie jest całkowite wykluczenie wystąpienia incydentów (bo to niemożliwe), lecz zorganizowanie przetwarzania danych osobowych w taki sposób, aby zminimalizować ryzyko i skutki naruszenia praw i wolności osób fizycznych. Aby ten cel zrealizować, zalecane jest wdrożenie odpowiednich polityk i procedur oraz stosowanie odpowiednich środków technicznych i organizacyjnych, a także przeszkolenie pracowników.

 

Źródło: ico.org.uk

Fot. Free-Photos

ZOSTAW SWÓJ KOMENTARZ
© 2018 KSP Legal & Tax Advice. Wszelkie prawa zastrzeżone.

Zapisz się do newslettera
Przetwarzanie danych osobowych w KSP
zamknij chcę wiedzieć więcej
Ta strona używa technologii cookies (ciasteczek)
akceptuję Polityka prywatności