Duński organ ochrony danych (Datatilsynet) nałożył grzywnę w wysokości 6700 euro na gminę Lolland
16/08/2022
Gmina Lolland została ukarana grzywną za niewdrożenie podstawowych środków bezpieczeństwa w postaci zastosowania kodów dostępu na urządzeniach mobilnych gminy.
Duński Urząd Ochrony Danych dowiedział się o sytuacji z zawiadomienia od gminy Lolland w grudniu 2020 r., kiedy pracownikowi gminy skradziono telefon służbowy.
Za pośrednictwem telefonu pracownik uzyskiwał dostęp do swojego służbowego konta e-mail , które zawierało informacje o nazwiskach kilku obywateli, numerach ubezpieczenia społecznego, zdrowiu i nadużyciach.
Telefon nie był chroniony hasłem i w związku z tym możliwy był dostęp do informacji, które były w telefonie. Gmina stwierdziła, że przez wiele lat pracownicy mieli możliwość usunięcia obowiązkowych haseł dostępu, dzięki czemu telefony mogły być używane bez użycia hasła. Gmina natychmiast podjęła działania naprawcze w postaci nowych środków ostrożności i zmian w technicznej konfiguracji rozdawanych telefonów.
Brak środków technicznych
Duński Urząd Ochrony Danych stwierdza, że przetwarzanie danych osobowych przez gminę Lolland nie było zgodne z przepisami dotyczącymi odpowiedniego bezpieczeństwa.
W ocenie duńskiego organu ochrony danych osobowych administrator danych musi zakładać, że nie wszyscy pracownicy przez cały czas przestrzegają wewnętrznych wytycznych, że urządzenia mobilne muszą być zawsze chronione hasłem. Naprawdę skuteczna ochrona jest więc uzależniona od tego, aby takie hasło nie zostało ominięte, np. poprzez usunięcie hasła.
Również w ocenie duńskiego organu ochrony danych skradzione urządzenia mobilne są w większym stopniu niż dotychczas badane pod kątem danych osobowych.
Biorąc pod uwagę zagrożenia dla obywateli związane z przetwarzaniem danych osobowych przez gminę Lolland, duński organ ochrony danych jest zdania, że nieuzasadnione jest to, że gmina nie zabezpieczyła swoich urządzeń mobilnych hasłem, którego pracownicy nie mogli sami wyłączyć.