Przypomnijmy, że kara została nałożona w październiku ubiegłego roku. Prezes UODO stwierdził naruszenie przez Rzecznika Dyscyplinarnego Izby Adwokackiej w X. przepisów RODO. O co chodziło?
Zagubione dane ze sprawy rozwodowej
Rzecznik dyscyplinarny, jako administrator danych, poinformował UODO, że w maju 2021 r. obrońca adwokata obwinionego w postępowaniu dyscyplinarnym poinformował rzecznika dyscyplinarnego o otrzymaniu z jego kancelarii uszkodzonej przesyłki. Jak twierdził obrońca, wbrew treści otrzymanego pisma w przesyłce brakowało załącznika w postaci pendrive'a. Nośnik zawierał nagranie rozprawy rozwodowej z danymi osobowymi ośmiu osób — ich imionami, nazwiskami, szczegółami dotyczącymi życia rodzinnego, głosowych relacji stron oraz podejrzeń o niewierność małżeńską.
Odpowiadając na pytania Prezesa UODO, rzecznik-administrator przyznał, iż pendrive nie został zaszyfrowany. Okazało się także, że chociaż u administratora wprowadzono wewnętrzne regulacje ws. polityki bezpieczeństwa oraz ochrony danych, to w praktyce nie były one przestrzegane przez pracowników jego kancelarii. Nie chodzi tylko o brak szyfrowania danych, ale także zastosowanie do przesłania pendrive'a zszytej zszywkami plastikowej koszulki umieszczonej w zwykłej kopercie.
Czytaj więcej
23 tys. zł będzie musiał zapłacić Rzecznik Dyscyplinarny jednej z izb adwokackich za brak odpowiednich środków technicznych i organizacyjnych w cel...
PUODO: efekt niedbalstwa
Prezes UODO zarzucił rzecznikowi dyscyplinarnemu-administratorowi nieprawidłowe przeprowadzenie analizy ryzyka, co skutkowało brakiem adekwatnych środków bezpieczeństwa. Powodem było, zdaniem PUODO, zwykłe niedbalstwo.
Prezes organu nadzoru nałożył na administratora 23 580 zł kary pieniężnej i nakazał dostosowanie operacji przetwarzania do przepisów RODO. W decyzji zaznaczył, że do chwili wydania decyzji zaginiony pendrive nie został odnaleziony, więc w dalszym ciągu osoby nieuprawnione mogły mieć dostęp do danych osobowych znajdujących się na tym nośniku.
Rzecznik dyscyplinarny zaskarżył tę decyzję o karze do sądu administracyjnego.
Jak informuje Urząd Ochrony Danych Osobowych, wyrok zapadł 17 kwietnia 2024 r. Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę administratora (sygn. akt II SA/WA 1342/23). W podanych ustnie motywach rozstrzygnięcia WSA zwrócił uwagę na fakt, że w związku z pełnionymi przez Rzecznika Dyscyplinarnego Izby Adwokackiej zadaniami, staje się on administratorem danych osobowych przetwarzanych w ramach prowadzonych postępowań dyscyplinarnych. Tym samym Sąd wyraził aprobatę dla argumentacji Prezesa UODO zawartej w treści decyzji.
Obecnie UODO czeka na pisemne uzasadnienie wyroku WSA. Jest to orzeczenie nieprawomocne.
