Prezes Sądu Rejonowego w Zgierzu z karą pieniężną w wysokości 10 tys. zł za niewdrożenie zabezpieczenia służbowych nośników z danymi. Co zrobić, aby uniknąć takich kar?
Na czym polegało naruszenie?
Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie, przez Prezesa Sądu Rejonowego w Zgierzu, przepisów art. 5 ust. 1 lit. f), art. 24 ust. 1 art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 rozporządzenia 2016/679, polegające na niewdrożeniu przez Prezesa Sądu Rejonowego w Zgierzu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci zewnętrznych, zapewniających bezpieczeństwo zapisanych tam danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, co skutkowało utratą przenośnej pamięci zewnętrznej z danymi osobowymi, zapisanymi na niej w sposób niezabezpieczony.
Jaką karę nałożył Prezes Urzędu Ochrony Danych Osobowych?
Prezes Urzędu Ochrony Danych Osobowych nałożył na Prezesa Sądu administracyjną karę pieniężną w wysokości 10 000 zł.
Dlaczego nałożono karę?
Naruszenie ochrony danych osobowych polegało na zagubieniu nieszyfrowanej przenośnej pamięci zewnętrznej typu pendrive przez kuratora sądowego. Z uwagi na zakres ujawnionych danych osobowych (imiona i nazwiska, daty urodzenia, adresy zamieszkania lub pobytu, numery PESEL, dane dot. zarobków i/lub posiadanego majątku, seria i numer dowodów osobistych, numery telefonów, dane dot. zdrowia oraz dane dot. wyroków skazujących), incydent ten spowodował wysokie ryzyko naruszenia praw lub wolności 400 (czterystu) osób podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym przez kuratora sądowego.
Zgodnie z obowiązującymi u administratora dokumentami, obowiązek zabezpieczenia nośników spoczywa na użytkownikach. Zdaniem UODO takie podejście jest niewłaściwe. Postępowanie wykazało, że administrator naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem braku wprowadzenia odpowiednich środków organizacyjnych i technicznych, w przypadku zagubienia takiego nośnika przez kuratora sądowego, jest umożliwienie osobom nieuprawnionym dostępu do danych osobowych znajdujących się na nim. Ponadto administrator pozostawił faktyczne zabezpieczanie nośnika jego użytkownikowi, nie wskazując żadnych przykładowych oraz adekwatnych zabezpieczeń, które pracownik może zastosować. To Prezes Sądu jako administrator danych przetwarzanych przez kuratorów sądowych, nie zaś pracownik lub osoba wykonująca zadania służbowe, jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO.
Prezes Urzędu Ochrony Danych Osobowych w wydanej decyzji administracyjnej wskazuje ponadto, że „(…) w stosunku do ww. liczby osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoba bądź osoby nieuprawnione mogą podjąć działania zmierzające do wykorzystania tych danych”.
Więcej: https://uodo.gov.pl/pl/138/2130
Czy można uniknąć takich kar?
W ocenie Prezesa Urzędu Ochrony Danych Osobowych administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Prezesa Sądu przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszania obowiązków Prezesa Sądu wynikających z przepisów o ochronie danych osobowych, zarówno przy przetwarzaniu danych przez samego Prezesa Sądu, jak i w stosunku do podmiotów działających na jego zlecenie.
Nasza rekomendacja:
W związku z tym nasi Inspektorzy Ochrony Danych rekomendują:
1. Wdrożenie procedur bezpieczeństwa w zakresie użytkowania służbowych nośników danych u Administratora oraz zgłaszania utraty nośników.
2. Zapewnienie personelowi cyklicznych szkoleń z zakresu ochrony danych osobowych, w tym również w zakresie procedur wdrożonych u administratora.
3. Regularne audyty ochrony danych osobowych w celu oceny ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Należy wziąć pod uwagę m.in. zachodzące procesy przetwarzania danych, posiadane aktywa (zasoby), podatności, zagrożenia, istniejące zabezpieczenia oraz zakres oraz charakter danych osobowych przetwarzanych przez administratora danych.
4. Regularne audyty w celu regularnej weryfikacji całego systemu ochrony danych osobowych. Warto określić harmonogram działań zapewniających testowanie, mierzenie i ocenianie skuteczności wdrożonych środków zarówno pod kątem ich adekwatności, jak i skuteczności.
5. Jeżeli używanie służbowych nośników danych jest konieczne w Twojej Organizacji:
a. zinwentaryzuj używane nośniki danych i prowadź ich ewidencję,
b. dobierz odpowiednie rozwiązania w zakresie ich zabezpieczenia np. szyfrowanie sprzętowe, szyfrowanie programowe poprzez wbudowaną funkcję Bitlocker w MS Windows lub szyfrowanie poprzez dedykowane, komercyjne oprogramowanie,
c.o granicz korzystanie z nośników innych niż nośniki autoryzowane przez IT np. poprzez wprowadzenie blokady portów USB i utworzenie tzw. białej listy urządzeń,
d. wyposażaj pracowników wyłącznie w służbowe, już zabezpieczone nośniki danych.
6. Jeżeli używanie służbowych nośników danych nie jest konieczne w Twojej Organizacji – nie pozwalaj na ich użytkowanie. Podejmij działania kontrolne i ograniczające ich użytkowanie. Jak widać, brak wdrożenia odpowiednich środków technicznych i organizacyjnych może okazać się kosztowny.
Zadbaj o bezpieczeństwo Twoich danych osobowych i skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa.
Autor: Monika Kowalik, Dyrektor Projektu, CompNet Sp. z o.o.