Kara za niezabezpieczony pendrive z danymi osobowymi

Data publikacji: 13-08-2021

Prezes Urzędu Ochrony Danych Osobowych ukarał Prezesa Sądu Rejonowego (SR) w Zgierzu karą administracyjną w kwocie 10 tys. zł za niezabezpieczenie nośników danych.
Prezes SR nie zabezpieczał służbowych nośników z danymi, a jedynie polecił swoim pracownikom, by sami to robili. Tymczasem to on jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych – informuje UODO.

 
Jak doszło do ukarania Prezesa Sądu?
W lutym 2020 r. Prezes SR dokonał zgłoszenia naruszenia ochrony danych osobowych 400 osób podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym przez kuratora sądowego. Naruszenie dotyczyło następujących kategorii danych: imiona, nazwiska, daty urodzenia, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, dane dotyczące zarobków i/lub posiadanego majątku, serie i numery dowodów osobistych, numery telefonów, dane dotyczące zdrowia oraz dane dotyczących wyroków skazujących. Incydent polegał na zgubieniu nieszyfrowanej przenośnej pamięci zewnętrznej typu pendrive przez kuratora sądowego.
Z uwagi na wysokie ryzyko naruszenia praw lub wolności osób fizycznych Administrator opublikował na stronie internetowej SR w Zgierzu komunikat o naruszeniu, zaznaczając że „możliwe, że ktoś będzie próbował wykorzystać dane tam zapisane”. Poprosił również o „czujność, a w przypadku uzyskania informacji o ewentualnych próbach wykorzystania danych, którymi dysponował Sąd - o niezwłoczne zawiadomienie organów ścigania oraz kontakt z Sądem Rejonowym w Zgierzu”.


W toku postępowania UODO, Prezes SR wyjaśnił, że:

  • w Sądzie wdrożono system ochrony danych osobowych,
  • dokumentacja z zakresu ochrony danych osobowych jest na bieżąco aktualizowana i audytowana przez IOD,
  • prowadzone są szkolenia stacjonarne oraz e-learningowe dla pracowników
  • IOD prowadzi doraźne kontrole i audyty,
  • w Sądzie wprowadzono procedury korzystania z zewnętrznych nośników pamięci oraz zabezpieczenia danych osobowych przetwarzanych na nośnikach zewnętrznych poza swoją siedzibą, 
  • zagubiony nośnik pamięci został wydany kuratorowi przez Sąd, natomiast Regulamin ochrony danych dla Sądu zabrania korzystania z prywatnych nośników danych dla przetwarzania danych służbowych,
  • zgodnie z treścią Instrukcji Zarządzania Systemem Informatycznym obowiązek zabezpieczenia nośnika spoczywa na użytkowniku, który dokonał jego zabezpieczenia poprzez przechowywanie go w zamykanej torbie służbowej, natomiast po wystąpieniu przedmiotowego naruszenia została zaktualizowana procedura dotycząca wydawania nośników danych, poprzez wprowadzenie ewidencjonowania, szyfrowania i zabezpieczania nośników hasłem.

UODO jednak zauważa, że zgodnie z obowiązującymi u administratora dokumentami, obowiązek zabezpieczenia nośników spoczywa na użytkownikach. Zdaniem UODO takie podejście jest niewłaściwe. Postępowanie wykazało, że administrator  naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem braku wprowadzenia odpowiednich środków organizacyjnych i technicznych, w przypadku zagubienia takiego nośnika przez kuratora sądowego, jest umożliwienie osobom nieuprawnionym dostępu do danych osobowych znajdujących się na nim.


Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Prezesa Sądu z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
Co istotne, w stosunku do ww. liczby osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoba bądź osoby nieuprawnione mogą podjąć działania zmierzające do wykorzystania tych danych.


Pełna treść decyzji PUODO dostępna jest pod linkiem: https://www.uodo.gov.pl/decyzje/DKN.5131.22.2021


Nina Zacharska
Kancelaria Wyrzykowscy