Een Poolse restaurantketen heeft een boete van 55.000 euro gekregen wegens een datalek door het verlies van een onversleutelde usb-stick. Het datalek deed zich vorig jaar voor, toen een medewerker een usb-stick met de onversleutelde gegevens van een andere medewerker verloor. Het ging om persoonlijke data, zoals naam, adresgegevens, geboortedatum, het Poolse equivalent van het burgerservicenummer, paspoortnummer, telefoonnummer, e-mailadres, pasfoto en salarisgegevens.

De restaurantketen verklaarde tegenover de Poolse privacytoezichthouder UODO dat het alle medewerkers had ingelicht om bestanden op usb-sticks te versleutelen en dat de datadrager in het restaurant was verloren. Volgens de UODO hield de restaurantketen in de uitgevoerde risicoanalyse alleen rekening met de mogelijkheid van diefstal, en niet met het verlies ervan. Volgens de toezichthouder heeft het bedrijf dan ook geen rekening gehouden met alle risico's die bij het gebruik van usb-sticks komen kijken.

Tevens had de restaurantketen onvoldoende passende beveiligingsmaatregelen genomen om gegevens te beveiligen. Het bedrijf had medewerkers wel geïnstrueerd om data op usb-sticks te versleutelen, maar had geen verdere maatregelen genomen, waardoor het volledig afhankelijk was van de naleving door medewerkers. Tevens bleek het bedrijf de risicoanalyse niet periodiek te herzien.

De Poolse privacytoezichthouder stelt dat er, mede gezien de gevoeligheid van de gelekte gegevens, sprake is van een ernstige overtreding. Toch werd er met het opleggen van de boete met verschillende zaken rekening gehouden. De toezichthouder had namelijk als startbedrag een boete van 2,4 miljoen euro genomen. Mede vanwege de financiële situatie van de restaurantketen werd dit verlaagd naar 120.000 euro. Dit werd uiteindelijk wegens verzachtende omstandigheden verlaagd naar 78.000 euro. Het hoofd van de UODO oordeelde dat ook dit bedrag disproportioneel was en verlaagde het naar 55.000 euro.