Pracownik zaniepokojony faktem, że może ktoś zagląda do jego szafy, gdzie przechowuje wyroki sądowe umieszcza podgląd. Następnego dnia analizuje zapisy kamery i zauważa, że sprzątaczka po godzinach fotografuje dokumenty. Wybucha afera i tu zdziwiony pracownik zaczyna mieć postępowanie dyscyplinarne z tytułu niedopilnowania swoich obowiązków. No i oczywiście rodzi się pytanie kto odpowiadał za politykę kluczy do pomieszczenia.
W firmie jest biuro bezpieczeństwa i specjalista do spraw ochrony fizycznej, ale w swojej instrukcji zapisali, że to wyznaczona i przypisana do pomieszczenia osoba ponosi odpowiedzialność za politykę kluczy. Dyrektor biura bezpieczeństwa stwierdził, że specjalista od spraw ochrony jest jeden i nie jest w stanie analizować tylu zapisów w książce wydawania kluczy. Pracownik nie jest specjalistą w tej dziedzinie i nie bardzo poczuwał się do odpowiedzialności w tym zakresie i miał w pełni rację.
Przejrzymy się skąd takie uzasadnienie:
1. Po pierwsze, aby dokonać sprawdzenia nie potrzeba sprawdzać wszystkich 50 kluczy o tym mówi schemat Bernoulliego;
2. Pomieszczeń z danymi osobowymi było tylko 12 co stanowczo zmniejsza ilość pomieszczeń do sprawdzenia;
3. Zgodnie z artykułem 32 RODO za testowanie mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych odpowiada administrator i miał do tego wyspecjalizowaną komórkę bezpieczeństwa.
Pytanie brzmi w jaki sposób to udowodnić przed sądem?
1. Po pierwsze powołujemy się na artykuł 32 i obowiązek testowania i oceniania który spoczywa na administratorze;
2. po drugie na regulamin organizacyjny, gdzie za ochronę fizyczną odpowiada komórka bezpieczeństwa;
3. i na wyliczeniach schematu Bernoulliego.
Ze schematu Bernoulliego odczytujemy, że przy 3 sprawdzeniach i wszystkich pozytywnych wynikach nie mamy potrzeby sprawdzać aż 12 wypisanych kluczy. Następnie wskazujemy, że incydent miał miejsce z tego powodu, że inna komórka zawiaduje sprzątaniem a inna odpowiada za ochronę a my tylko za organizację pracy w pomieszczeniu. Nawet jeżeli posiadaliśmy informacje, że będzie sprzątane po godzinach to nie możemy podjąć prawidłowego wniosku, ponieważ nie wiemy, jak są sprzątane inne pokoje i jak ważne jest, aby były sprzątane w czasie pracy albo w sposób bezpieczny. Tą wiedzą dysponuje komórka bezpieczeństwa która ma pełny wgląd w takie dane. Dodatkowym atutem będzie fakt, że nie znamy treści analizy ryzyka, a jeżeli ją znamy i wykonywaliśmy ją albo zapoznali nas z nią to wykazujemy, że w analizie nie zgłaszano takiego zagrożenia. W przypadku otrzymania karę dyscyplinarnej odwołujemy się do sądu pracy i przedstawiamy powyższe argumenty. Nie należy przyjmować kary za taki incydent, jeżeli nie czujemy się w pełni winni, ponieważ kara dyscyplinarna może zniknąć po roku a odpowiedzialność tytułu RODO pozostaje przez 6 lat. Przyjmując karę narażamy się na odpowiedzialność z kodeksu cywilnego wobec osób których danych incydent dotyczył. Ponadto administrator ma 72 godziny na zgłoszenie, incydentu do UODO. Gdyby tego nie zgłosił to działa to też na naszą korzyść, którą należy wymienić w sądzie.
!!!!!!!!!Pamiętaj!!!!!!!!!!!!
idąc do sądu zatrudni prawnika, który zna dobrze RODO. Warto też skonsultować swoje strategie z inspektorem ochrony danych, których usługi są masowo dostępne w Internecie.
Sytuację omówiłem w filmie:
Jak się podobało daj „łapkę w górę” oraz za „Subskrybuj” kanał.
Brak komentarzy:
Prześlij komentarz