Do Urzędu Ochrony Danych Osobowych 20 września 2020 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Sąd Rejonowy Szczecin-Centrum w Szczecinie. Urząd stwierdził naruszenie przepisów RODO polegające na niewdrożeniu przez administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci.
Czytaj w LEX: Udział i rola inspektora ochrony danych w szacowaniu ryzyka oraz ocenie skutków dla ochrony danych osobowych >
Prywatne nośniki w służbowym sprzęcie
Podczas postępowania ustalono wieloletnie korzystanie na służbowym sprzęcie komputerowym z prywatnych nośników, niezabezpieczonych i niezweryfikowanych przez dział IT szczecińskiego sądu. Okazało się też, że administrator pomimo istniejących procedur dotyczących zakazu użytkowania prywatnych nośników danych nie prowadził nadzoru nad tym, czy pracownicy sądu stosowali się do wewnętrznych uregulowań.
Zobacz procedurę w LEX: Zapewnienie bezpieczeństwa przetwarzania danych osobowych >
UODO w toku postępowania stwierdził, że administrator nie wdrożył adekwatnych środków technicznych, np. blokady portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych. Urząd podkreśla, że administrator dopuszczający użytkowanie przenośnych nośników danych powinien zapewnić, aby były to nośniki służbowe zweryfikowane przez dział IT i zabezpieczane przed dostępem osób nieuprawnionych w przypadku ich zgubienia lub pozostawienia bez nadzoru.
Zobacz procedurę w LEX: Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych >
Czytaj także: Prof. Sibiga: RODO chroni niezależność inspektora ochrony danych>>
Nie zastosowano adekwatnych do zagrożeń środków bezpieczeństwa
UODO przypomina, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). I dodaje, że to administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.
Brak zastosowania adekwatnych do zagrożeń środków bezpieczeństwa w Sądzie spowodował naruszenie przez administratora przepisów RODO.
Zobacz procedurę w LEX: Nakładanie administracyjnych kar pieniężnych >
Wdrożenie i ciągła weryfikacja
UODO podkreśla, że wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno ono przybrać postać ciągłego procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Regularna ocena zastosowanych środków bezpieczeństwa pozwoliłaby administratorowi na weryfikację, czy wprowadzona procedura określająca zakaz użytkowania prywatnych nośników danych jest przestrzegana, a więc i skuteczna.
Według UODO, gdyby administrator zweryfikował sposób realizacji środka organizacyjnego w postaci zakazu użytkowania prywatnych nośników danych, to wówczas znacząco obniżyłby ryzyko wystąpienia naruszenia albo nawet doprowadziłby do całkowitego jego wyeliminowania.
Zdaniem Urzędu Ochrony Danych Osobowych, administrator przed wystąpieniem naruszenia był świadom zagrożenia, jakim było użytkowanie prywatnych, niezabezpieczonych i niezweryfikowanych nośników danych, o czym świadczyły wnioski z przeprowadzonych w sądzie audytów, przeprowadzona analiza ryzyka i wynikające z niej wnioski co do sposobu minimalizowania zidentyfikowanych zagrożeń, jak również podejmowane środki organizacyjne w postaci zakazu użytkowania prywatnych nośników danych określonych w regulaminie czy też nakazu użytkowania szyfrowanych nośników.
W związku z tym Urząd uznał za uzasadnione nałożenie administracyjnej kary pieniężnej. Treść decyzji>>
Zobacz procedurę w LEX: Wnoszenie skargi na decyzję Prezesa Urzędu Ochrony Danych Osobowych do sądu administracyjnego >