Prawnicy i sądy
Prezes sądu ukarany za niezabezpieczone nośniki z danymi osobowymi

Prezes sądu ukarany za niezabezpieczone nośniki z danymi osobowymi

Krzysztof Sobczak

Wymiar sprawiedliwości RODO

Aktualności

Data dodania: 13.08.2021

Źródło: iStock

Prezes Sądu Rejonowego w Zgierzu nie zabezpieczał służbowych nośników z danymi, a jedynie polecił swoim pracownikom, by sami to robili - stwierdził prezes Urzędu Ochrony Danych Osobowych. I przypomniał, że to prezes jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych.

Za brak takich rozwiązań organ nadzorczy nałożył na prezesa sądu administracyjną karę pieniężną w kwocie 10 tys. zł.

Zgubiony pendrive z danymi 400 osób

Jak poinformowano, decyzja o nałożeniu kary związana jest ze zgłoszeniem przez Prezesa Sądu Rejonowego w Zgierzu naruszenia ochrony danych osobowych polegającego na zagubieniu nieszyfrowanej przenośnej pamięci typu pendrive przez kuratora sądowego. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. Z uwagi na zakres ujawnionych danych osobowych, wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dlatego też administrator opublikował na stronie internetowej Sądu Rejonowego w Zgierzu komunikat o naruszeniu.

Zaginiony i zarazem niezabezpieczony nośnik pamięci nie został do tej pory odnaleziony, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na nim.

Zobacz procedurę w LEX: Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu >

Legalność pozyskiwania i przetwarzania danych osobowych w sferze publicznej. Aspekty praktyczne [PRZEDSPRZEDAŻ] ebook

Mariusz Jabłoński, Krzysztof Wygoda

Sprawdź

Był system, ale nie zadziałał

W toku postępowania UODO, administrator w składanych wyjaśnianiach wskazał, że wdrożył system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych. Dokumentacja ta jest na bieżąco aktualizowana i audytowana przez powołanego do tego celu inspektora ochrony danych. Ponadto administrator zapewnił, że podejmował działania w postaci szkoleń stacjonarnych oraz e-lerningowych dla pracowników Sądu (w tym kuratorów), dotyczące ochrony danych osobowych oraz zapisów wdrożonej dokumentacji, dyżurów pełnionych przez inspektora ochrony danych w siedzibie administratora, dyżurów on-line oraz doraźnych kontroli prowadzonych przez inspektora ochrony danych podczas dyżurów.

Zobacz procedurę w LEX: Zapewnienie bezpieczeństwa przetwarzania danych osobowych >

UODO jednak zauważa, że zgodnie z obowiązującymi u administratora dokumentami, obowiązek zabezpieczenia nośników spoczywa na użytkownikach. Zdaniem UODO takie podejście jest niewłaściwe. Postępowanie wykazało, że administrator naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem braku wprowadzenia odpowiednich środków organizacyjnych i technicznych, w przypadku zagubienia takiego nośnika przez kuratora sądowego, jest umożliwienie osobom nieuprawnionym dostępu do danych osobowych znajdujących się na nim.

Czytaj także: UODO: Kara dla firmy za brak dostępu do informacji>>

Szkolenia potrzebne, ale prawo wymaga więcej

UODO podkreśla, że przeprowadzanie szkoleń pracowników w zakresie ochrony danych osobowych jest konieczne i potrzebne, jednak nie można ich uznać za odpowiednie środki organizacyjne w tym konkretnym przypadku i nie powinny one zastąpić także rozwiązań o charakterze technicznym, których administrator nie przewidział. Ponadto w tej sprawie, administrator pozostawił faktyczne zabezpieczanie nośnika jego użytkownikowi, nie wskazując żadnych przykładowych oraz adekwatnych zabezpieczeń, które pracownik może zastosować. Należy mieć na uwadze, że pracownicy, tak jak to miało miejsce w tym przypadku, mogą nie posiadać wiedzy jak należy zabezpieczać nośniki z danymi osobowymi. Stosowane przez Prezesa Sądu działania nie mogą zatem zostać uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych.

UODO wskazuje, że to administrator danych, nie zaś pracownik lub osoba wykonująca zadania służbowe, jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO.

Czytaj w LEX: Obowiązki i rola administratora oraz podmiotu przetwarzającego >

Ustalając wysokość administracyjnej kary pieniężnej, UODO uwzględnił jako okoliczność łagodzącą dobrą współpracę Prezesa Sądu z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

Zobacz procedurę w LEX: Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych >

Decyzja dostępna jest pod linkiem: https://www.uodo.gov.pl/decyzje/DKN.5131.22.2021

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.

Wymiar sprawiedliwości RODO

Aktualności

Data dodania: 2021-08-13

Żeby widzieć komentarze musisz:

być zalogowanym do Facebooka
mieć zaakceptowaną politykę prywatności (pliki cookies)
korzystać z przeglądarki Chrome