Sprawa dotyczyła zgubienia przez kuratora sądowego niezaszyfrowanego nośnika pamięci typu pendrive. Były na nim przechowywane dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. Prezes Urzędu Ochrony Danych Osobowych ukarał Prezesa Sądu Rejonowego w Zgierzu, który jego zdaniem nie dopełnił swoich obowiązków jako administrator danych. Ustalono bowiem, że administrator niewłaściwie wdrożył zabezpieczenia techniczne i organizacyjne. Otóż zgodnie z procedurami funkcjonującymi w sądzie w Zgierzu obowiązek zabezpieczenia służbowego nośnika zawierającego dane osobowe spoczywał na samych użytkownikach (pracownikach). Obowiązek ewidencjonowania i szyfrowania nośników został zaś wprowadzony dopiero po tym, jak kurator zgubił swój pendrive.
Jednorazowe szkolenie nie wystarczy
Wcześniej pracownicy zostali po prostu przeszkoleni w zakresie ochrony danych. Tymczasem, jak zauważył Prezes UODO, jednorazowe szkolenie nie wystarczy. Nie gwarantuje, że pracownik nie będzie przenosić danych na niezabezpieczonym nośniku. W tym przypadku pracownik chronił dane nosząc pendrive w zamykanej torbie.
Prezes UODO stwierdził naruszenie przepisów RODO i nałożył karę w wysokości 10 tys. zł, jednak Prezes Sądu Rejonowego w Zgierzu zaskarżył tę decyzję do Wojewódzkiego Sądu Administracyjnego, a następnie do Naczelnego Sądu Administracyjnego. W obu przypadkach sądy przyznały rację Prezesowi UODO.
Czytaj więcej
Ograniczenie się przez administratora tylko do szkolenia dla pracowników, pomijając przy tym zast...
Ochrona danych osobowych w przypadku zagubienia nośników
WSA w Warszawie w wyroku przypomniał, że administratorzy, przetwarzając dane osobowe, muszą doprowadzić do tego, by procesy przetwarzania danych były zgodne z RODO. W tym celu powinni wdrożyć organizacyjne i techniczne środki bezpieczeństwa. Tymczasem w przedmiotowej sprawie administrator ograniczył się do wydania niezabezpieczonych nośników pamięci oraz zobowiązania kuratorów sądowych do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. To nie wystarczyło, bo w przypadku zgubienia nośnika dostęp do danych mogły zyskać osoby nieuprawnione.
