Pracownik firmy gastronomicznej Res-Gastro M. Gaweł Sp. k. z Kolbuszowej na Podkarpaciu, zgubił pendrive’a z danymi osobowymi. Prezes UODO ustalił, że sposób przetwarzania danych osobowych w tej firmie był niezgodny z obowiązującymi przepisami RODO, ze względu na niepoprawnie przeprowadzoną analizę ryzyka, która nie przewidziała zagrożenia polegającego na zagubieniu nośnika danych i nałożył 240 tys. zł kary.
O zdarzeniu poinformowała sama firma, a w czasie postępowania współpracowała z Prezesem UODO, co miało istotny wpływ na ostateczny wymiar kary. Gdyby nie to, kara byłaby znacznie wyższa. Wysokość kary jest też m.in. wypadkową dużych obrotów firmy.
- Prezes UODO ustalił, że firma źle oceniła ryzyko dla danych. Założono, że nośniki danych mogą być skradzione albo zniszczone – nie wzięto jednak pod uwagę tego, że nośnik można po prostu zgubić bez złych intencji.
- Do tego, pomimo zakładania wystąpienia różnych zdarzeń, nie wdrożono rozwiązań kryptograficznych dla ochrony danych osobowych na zewnętrznych nośnikach. Film instruktażowy „w jaki sposób szyfrować pliki na pendrive oraz jakiego programu do tego celu użyć” to za mało wobec zakresu danych przetwarzanych na takich nośnikach.
- Kolejny problem polegał na tym, że firma nie dopełniła obowiązku regularnego mierzenia, testowania i oceniania skuteczności zastosowanych środków bezpieczeństwa.
Więcej przeczytasz tutaj:
Zarządzanie ryzykiem
Czy wiesz, kto ma dane klientów? Kontrola dostępu do danych w firmie
Zespół LexDigital
12.12.2025
Umów bezpłatną konsultację
Napisz, w czym możemy ci pomóc, a my skontaktujemy się z Tobą w ciągu 24 godzin.
Kontakt
