Zgłoszenie naruszenia ochrony danych osobowych wpłynęło do UODO we wrześniu 2020 r. Złożył je sam Sąd Rejonowy Szczecin-Centrum w Szczecinie. Do naruszenia doszło na skutek zagubienia trzech nośników danych typu pendrive: jednego służbowego – szyfrowanego oraz dwóch prywatnych – nieszyfrowanych. Na zagubionych nośnikach znajdowały się projekty orzeczeń i uzasadnień, zawierające dane osobowe (z okresu od grudnia 2004 r. do sierpnia 2020 r.).
Czytaj więcej
Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Fundacji Promocji Mediacji i Edukacji Prawnej Lex Nostra na decyzję UODO nakładającą administracyjną karę pieniężną za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomienie o incydencie osób, których dane dotyczą.
To nie był przypadek
Podczas postępowania w tej sprawie ustalono, że osoby zatrudnione w sądzie przez wiele lat korzystały na służbowym sprzęcie komputerowym z prywatnych nośników, niezabezpieczonych i niezweryfikowanych przez dział IT szczecińskiego sądu.
Okazało się też, że pomimo wprowadzenia w sądzie zakazu użytkowania prywatnych nośników danych, administrator nie kontrolował, czy pracownicy sądu stosowali się do wewnętrznych uregulowań.
UODO stwierdził, że administrator nie wdrożył adekwatnych środków technicznych, np. blokady portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych. Podkreślić należy, że administrator dopuszczający użytkowanie przenośnych nośników danych powinien zapewnić, aby były to nośniki służbowe zweryfikowane przez dział IT i zabezpieczane przed dostępem osób nieuprawnionych w przypadku ich zgubienia lub pozostawienia bez nadzoru.
- Należy pamiętać, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”) - przypomina Urząd Ochrony Danych Osobowych. - To administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności - podkreśla.
Zaniedbał nadzoru, więc zapłaci
Ale samo wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym - przypomina Urząd. Administrator musi w ramach ciągłego procesu dokonywać przeglądu i w razie potrzeby uaktualniać przyjęte wcześniej zabezpieczenia.
- Regularna
ocena zastosowanych środków bezpieczeństwa pozwoliłaby administratorowi
na weryfikację, czy wprowadzona procedura określająca zakaz użytkowania
prywatnych nośników danych jest przestrzegana, a więc i skuteczna. Wówczas znacząco spadłoby ryzyko wystąpienia naruszenia RODO, być może zostałoby nawet wyeliminowane - zauważa UODO.
Urząd stwierdził, że administrator danych w szczecińskim sądzie jeszcze przed wystąpieniem naruszenia był świadom zagrożenia, jakim było użytkowanie prywatnych, niezabezpieczonych i niezweryfikowanych nośników danych. Świadczyły o tym wnioski z przeprowadzonych w sądzie audytów, analiza ryzyka i wynikające z niej wnioski co do sposobu minimalizowania zidentyfikowanych zagrożeń. Dowodem był też wprowadzony zakaz użytkowania prywatnych nośników danych określonych w regulaminie i nakaz użytkowania szyfrowanych nośników.
W związku z tym organ uznał za uzasadnione nałożenie administracyjnej kary pieniężnej.