UODO: 10 tys. złotych kary dla administratora za brak rozwiązań zapewniających bezpieczeństwo danych

UODO: 10 tys. złotych kary dla administratora za brak rozwiązań zapewniających bezpieczeństwo danych
Źródło: UODO
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Prezes Sądu Rejonowego nie zabezpieczał służbowych nośników z danymi, a jedynie polecił swoim pracownikom, by sami to robili. Tymczasem to on, jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych. Za brak takich rozwiązań organ nadzorczy nałożył na Prezesa Sądu administracyjną karę pieniężną w kwocie 10 tys. zł.

Decyzja o nałożeniu kary związana jest ze zgłoszeniem przez Prezesa Sądu Rejonowego w Zgierzu naruszenia ochrony danych osobowych polegającego na zagubieniu nieszyfrowanej przenośnej pamięci typu pendrive przez kuratora sądowego. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym.

Z uwagi na zakres ujawnionych danych osobowych, wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dlatego też administrator opublikował na stronie internetowej Sądu Rejonowego w Zgierzu komunikat o naruszeniu.

Zaginiony i zarazem niezabezpieczony nośnik pamięci nie został do tej pory odnaleziony, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na nim.

Czytaj także: Ataki ransomware kosztują polskie firmy średnio 1,5 mln złotych

Szkolenie nie jest zabezpieczeniem

W toku postępowania UODO, administrator w składanych wyjaśnianiach wskazał, że wdrożył system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych. Dokumentacja ta jest na bieżąco aktualizowana i audytowana przez powołanego do tego celu inspektora ochrony danych.

Ponadto administrator zapewnił, że podejmował działania w postaci szkoleń stacjonarnych oraz e-learningowych dla pracowników Sądu (w tym kuratorów), dotyczące ochrony danych osobowych oraz zapisów wdrożonej dokumentacji, dyżurów pełnionych przez inspektora ochrony danych w siedzibie administratora, dyżurów on-line oraz doraźnych kontroli prowadzonych przez inspektora ochrony danych podczas dyżurów. Jednakże, zgodnie z obowiązującymi u administratora dokumentami, obowiązek zabezpieczenia nośników spoczywa na użytkownikach.

Zdaniem UODO takie podejście jest niewłaściwe.

Czytaj także: Bankowość i finanse | Złodzieje tożsamości nie próżnują!

Niezabezpieczony nośnik danych to naruszenie zasad

Postępowanie wykazało, że administrator  naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie.

(Szkolenia) nie powinny zastąpić także rozwiązań o charakterze technicznym, których administrator nie przewidział

Następstwem braku wprowadzenia odpowiednich środków organizacyjnych i technicznych, w przypadku zagubienia takiego nośnika przez kuratora sądowego, jest umożliwienie osobom nieuprawnionym dostępu do danych osobowych znajdujących się na nim.

Warto dodać, że przeprowadzanie szkoleń pracowników w zakresie ochrony danych osobowych jest konieczne i potrzebne, jednak nie można ich uznać za odpowiednie środki organizacyjne w tym konkretnym przypadku i nie powinny one zastąpić także rozwiązań o charakterze technicznym, których administrator nie przewidział.

Pracownicy mogą nie wiedzieć jak zabezpieczać nośniki

Ponadto w tej sprawie administrator pozostawił faktyczne zabezpieczanie nośnika jego użytkownikowi, nie wskazując żadnych przykładowych oraz adekwatnych zabezpieczeń, które pracownik może zastosować. Należy mieć na uwadze, że pracownicy, tak jak to miało miejsce w tym przypadku, mogą nie posiadać wiedzy jak należy zabezpieczać nośniki z danymi osobowymi.

To administrator danych, nie zaś pracownik lub osoba wykonująca zadania służbowe, jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych

Stosowane przez Prezesa Sądu działania nie mogą zatem zostać uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych.

Należy wskazać, że to administrator danych, nie zaś pracownik lub osoba wykonująca zadania służbowe, jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO.

Ustalając wysokość administracyjnej kary pieniężnej, UODO uwzględnił jako okoliczność łagodzącą dobrą współpracę Prezesa Sądu z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

Decyzja dostępna jest pod linkiem:

https://www.uodo.gov.pl/decyzje/DKN.5131.22.2021

Źródło: UODO