30.000 zł – na tyle wycenił Prezes UODO zgubienie trzech pendrive’ów, na których znajdowały się dane osobowe przetwarzane przez Sąd Rejonowy Szczecin-Centrum w Szczecinie. Zaniedbania Sądu w sferze zabezpieczeń technicznych i egzekwowania przyjętych procedur spowodowały utratę poufności danych, w tym najprawdopodobniej szczególnych kategorii danych osobowych, z postępowań sądowych prowadzonych w okresie kilkunastu lat.
Czego dotyczyło naruszenie?
Naruszenie polegało na niewdrożeniu przez Sąd Rejonowy Szczecin-Centrum w Szczecinie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci, które to środki zapobiegłyby utrwaleniu przez X Sądu Rejonowego Szczecin-Centrum w Szczecinie danych osobowych na dwóch prywatnych i niezabezpieczonych nośnikach danych i w konsekwencji pozwoliłyby uniknąć naruszenia ochrony danych osobowych, stanowiącego naruszenie poufności w wyniku zagubienia tych nośników.
Jaka została nałożona kara?
Prezes UODO nałożył administracyjną karę pieniężną w wysokości 30.000 zł.
Dlaczego została nałożona kara?
W skrócie, chodziło o zgubienie pendrive’ów, na których były zapisane dane osobowe zawarte w projektach orzeczeń i uzasadnień, a które nie powinny być w ogóle używane. Dokładniej rzecz ujmując, jeden z pendrive’ów był służbowy i zaszyfrowany, dwa następne stanowiły własność prywatną – te zaszyfrowane nie były.
Przyjęte procedury zabraniały wykorzystania prywatnych nośników danych, jednak administratorowi nie udało się tych zasad wyegzekwować. W decyzji podkreślono fakt, że niezbędne z punktu widzenia ochrony danych zabezpieczenia nie zostały wdrożone mimo prowadzonych audytów.
W wyniku powyższego ucierpiała poufność danych osobowych bliżej nieokreślonej liczby osób, ponieważ nie udało się jej ustalić w toku postępowania. Nie udało się również ustalić zakresu danych, które podlegają naruszeniu. Wiadomo, że na nośnikach zapisane były dane przetwarzane w okresie od grudnia 2004 r. do sierpnia 2020 r.
Wymierzając karę Prezes UODO wziął pod uwagę takie elementy jak:
- charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody – zdarzenie powoduje potencjalnie wysokie ryzyko z uwagi na dużą – i nieznaną – ilość danych osobowych nieokreślonej liczby osób, a ponadto dotyczy prowadzonych postępowań sądowych;
- umyślny lub nieumyślny charakter naruszenia – Prezes UODO uznał zdarzenie za nieumyślne, wynikające z niedbalstwa Sądu, który pominął zastosowanie technicznych środków zabezpieczeń i testowanie ich skuteczności;
- kategorie danych osobowych, których dotyczyło naruszenie – zakres danych, których dotyczyło naruszenie, jest niemożliwy do ustalenia. Wiadomo jednak, że obejmuje on dane ujęte w orzeczeniach i uzasadnieniach spraw sądowych z zakresu ubezpieczeń społecznych, w ramach których mogły być przetwarzane szczególne kategorie danych.
Okolicznościami łagodzącymi były:
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków – administrator współpracował z Prezesem UODO, również w celu usunięcia naruszenia i złagodzenia jego ewentualnych skutków.
Na decyzję Prezesa UODO nie miały wpływu:
- działania podjęte przez Sąd w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą – działania ograniczyły się do zawiadomienia osób o zdarzeniu, co jest obowiązkiem administratora;
- stopień odpowiedzialności Sądu z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 rozporządzenia 2016/679 – Prezes UODO nie uznał tych okoliczności za wpływające na ocenę zdarzenia;
- stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Sąd – Prezes UODO nie stwierdził wcześniejszych naruszeń dokonanych przez administratora;
- sposób w jaki organ nadzorczy dowiedział się o naruszeniu – zgłoszenie naruszenia stanowiło obowiązek administratora;
- przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 – organ nadzorczy nie zastosował wcześniej żadnych środków względem administratora;
- stosowanie kodeksów zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO – administrator nie wykorzystuje takich mechanizmów;
- osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty – administrator nie uzyskał korzyści, ani nie uniknął strat w wyniku zdarzenia.
Wnioski?
- Wprowadzone środki ochrony danych należy testować i monitorować, a w przypadku stwierdzenia niezgodności – np. w wyniku audytu – wdrażać niezbędne zalecenia.
- Sam zakaz korzystania z pendrive’ów lub innych nośników to za mało – dobrze jest wprowadzić dodatkowe zabezpieczenia, np. zablokować porty USB.
- Jeżeli mimo wszystko zdecydujesz się na korzystanie z przenośnych nośników danych, zadbaj o ich szyfrowanie.
Link do decyzji: https://www.uodo.gov.pl/decyzje/DKN.5131.12.2020