Przejdź do treści
Strona główna » Blog » Kara Prezesa UODO za zgubienie pendrive’ów

Kara Prezesa UODO za zgubienie pendrive’ów

30.000 zł – na tyle wycenił Prezes UODO zgubienie trzech pendrive’ów, na których znajdowały się dane osobowe przetwarzane przez Sąd Rejonowy Szczecin-Centrum w Szczecinie. Zaniedbania Sądu w sferze zabezpieczeń technicznych i egzekwowania przyjętych procedur spowodowały utratę poufności danych, w tym najprawdopodobniej szczególnych kategorii danych osobowych, z postępowań sądowych prowadzonych w okresie kilkunastu lat.

Czego dotyczyło naruszenie?

Naruszenie polegało na niewdrożeniu przez Sąd Rejonowy Szczecin-Centrum w Szczecinie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci, które to środki zapobiegłyby utrwaleniu przez X  Sądu Rejonowego Szczecin-Centrum w Szczecinie danych osobowych na dwóch prywatnych i niezabezpieczonych nośnikach danych i w konsekwencji pozwoliłyby uniknąć naruszenia ochrony danych osobowych, stanowiącego naruszenie poufności w wyniku zagubienia tych nośników.

Jaka została nałożona kara?

Prezes UODO nałożył administracyjną karę pieniężną w wysokości 30.000 zł.

Dlaczego została nałożona kara?

W skrócie, chodziło o zgubienie pendrive’ów, na których były zapisane dane osobowe zawarte w projektach orzeczeń i uzasadnień, a które nie powinny być w ogóle używane. Dokładniej rzecz ujmując, jeden z pendrive’ów był służbowy i zaszyfrowany, dwa następne stanowiły własność prywatną – te zaszyfrowane nie były.

Przyjęte procedury zabraniały wykorzystania prywatnych nośników danych, jednak administratorowi nie udało się tych zasad wyegzekwować. W decyzji podkreślono fakt, że niezbędne z punktu widzenia ochrony danych zabezpieczenia nie zostały wdrożone mimo prowadzonych audytów.

W wyniku powyższego ucierpiała poufność danych osobowych bliżej nieokreślonej liczby osób, ponieważ nie udało się jej ustalić w toku postępowania. Nie udało się również ustalić zakresu danych, które podlegają naruszeniu. Wiadomo, że na nośnikach zapisane były dane przetwarzane w okresie od grudnia 2004 r. do sierpnia 2020 r.

Wymierzając karę Prezes UODO wziął pod uwagę takie elementy jak:

  • charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody – zdarzenie powoduje potencjalnie wysokie ryzyko z uwagi na dużą – i nieznaną – ilość danych osobowych nieokreślonej liczby osób, a ponadto dotyczy prowadzonych postępowań sądowych;
  • umyślny lub nieumyślny charakter naruszenia – Prezes UODO uznał zdarzenie za nieumyślne, wynikające z niedbalstwa Sądu, który pominął zastosowanie technicznych środków zabezpieczeń i testowanie ich skuteczności;
  • kategorie danych osobowych, których dotyczyło naruszenie – zakres danych, których dotyczyło naruszenie, jest niemożliwy do ustalenia. Wiadomo jednak, że obejmuje on dane ujęte w orzeczeniach i uzasadnieniach spraw sądowych z zakresu ubezpieczeń społecznych, w ramach których mogły być przetwarzane szczególne kategorie danych.

Okolicznościami łagodzącymi były:

  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków – administrator współpracował z Prezesem UODO, również w celu usunięcia naruszenia i złagodzenia jego ewentualnych skutków.

Na decyzję Prezesa UODO nie miały wpływu:

  • działania podjęte przez Sąd w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą – działania ograniczyły się do zawiadomienia osób o zdarzeniu, co jest obowiązkiem administratora;
  • stopień odpowiedzialności Sądu z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 – Prezes UODO nie uznał tych okoliczności za wpływające na ocenę zdarzenia;
  • stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Sąd – Prezes UODO nie stwierdził wcześniejszych naruszeń dokonanych przez administratora;
  • sposób w jaki organ nadzorczy dowiedział się o naruszeniu – zgłoszenie naruszenia stanowiło obowiązek administratora;
  • przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 – organ nadzorczy nie zastosował wcześniej żadnych środków względem administratora;
  • stosowanie kodeksów zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO – administrator nie wykorzystuje takich mechanizmów;
  • osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty – administrator nie uzyskał korzyści, ani nie uniknął strat w wyniku zdarzenia.

Wnioski?

  • Wprowadzone środki ochrony danych należy testować i monitorować, a w przypadku stwierdzenia niezgodności – np. w wyniku audytu – wdrażać niezbędne zalecenia.
  • Sam zakaz korzystania z pendrive’ów lub innych nośników to za mało – dobrze jest wprowadzić dodatkowe zabezpieczenia, np. zablokować porty USB.
  • Jeżeli mimo wszystko zdecydujesz się na korzystanie z przenośnych nośników danych, zadbaj o ich szyfrowanie.

Link do decyzji: https://www.uodo.gov.pl/decyzje/DKN.5131.12.2020

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *