Nowa kara pieniężna nałożona przez PUODO
Na stronie Prezesa Urzędu Ochrony Danych Osobowych („PUODO”) pojawiła się informacja o nałożeniu nowej kary pieniężnej za naruszenie przepisów o ochronie danych osobowych. Karę w wysokości 30 tysięcy złotych nałożono na Sąd Rejonowy w Szczecinie. Postępowanie toczyło się w związku ze zgubieniem przez pracownika sądu trzech pendrive’ów, na których znajdowały się projekty orzeczeń i uzasadnień z okresu od 2004 – 2020 r. Jeden z nośników pamięci był służbowym sprzętem, zaszyfrowanym. Dwa pozostałe pendrive były prywatnymi, niezaszyfrowanymi urządzeniami pracownika sądu. Wobec stwierdzenia naruszenia, Sąd Rejonowy zgłosił je do PUODO. Postępowanie PUODO wszczęte z urzędu w wyniku naruszenia skoncentrowało się na kwestii korzystania z prywatnych pendrive.
Zapraszamy do lektury felietonu, którego autorem jest nasz ekspert z praktyki ochrany danych osobowych radca prawny Ewa Kuczyńska.
W Sądzie obowiązywał zakaz korzystania z prywatnych nośników danych do celów służbowych, a pracownikom wydawano służbowe, szyfrowane urządzenia. Prowadzone były też audyty, zarówno wewnętrzne jak i zewnętrzne. Jednak mimo otrzymywanych zaleceń poaudytowych, Sąd Rejonowy w Szczecinie nie wdrożył programu blokującego porty USB, czy też umożliwiającego skorzystanie jedynie z uprzednio zaakceptowanych urządzeń. Dopiero po zaistnieniu naruszenia wprowadzono blokadę nośników innych, niż autoryzowane przez dział IT Sądu.
PUODO uznał, że zabezpieczenia stosowane przez Sąd przed naruszeniem były niewystarczające, a Sąd nie sprawdził, czy są skuteczne. Dodatkowo mimo, że Sąd dysponował programem umożliwiającym blokadę portów USB, zdecydowano na jego uruchomienie dopiero po 11 miesiącach od zakupu, a po 2 miesiącach od naruszenia. W ocenie PUODO pomimo świadomości ryzyka wiążącego się z korzystaniem z prywatnych urządzeń (które to ryzyko zostało zidentyfikowane w analizie ryzyka i zaleceniach poaudytowych), nie wdrożono odpowiednich środków technicznych mających chronić dane. W związku z powyższym PUODO zdecydował o nałożeniu na Sąd kary pieniężnej.
Z decyzji PUODO wynika, że wprowadzenie jedynie formalnych, organizacyjnych zabezpieczeń jest niewystarczające. Istotna jest weryfikacja sposobu ich realizacji i skuteczności. Nie można też bagatelizować zaleceń poaudytowych – świadomość istnienia ryzyka i brak reakcji na nie może bowiem zostać potraktowane surowiej w przypadku ewentualnej kontroli prowadzonej przez Urząd.
Pełna treść decyzji dostępna jest na stronie internetowej PUODO pod linkiem TUTAJ.
Materiał prasowy: radca prawny Ewa Kuczyńska.
fot. Ewa Kuczyńska
Kancelaria Prawna GFP_Legal Wrocław
#RODO #PUODO #OchronaDanychOsobowych #DaneOsobowe #GDPR