Urząd Ochrony Danych Osobowych nałożył na Sąd Rejonowy Szczecin-Centrum w Szczecinie karę pieniężną w wysokości 30 tys. zł za brak wdrożenia odpowiednich środków bezpieczeństwa przez administratora danych, które zapobiegłyby zagrożeniom wynikającym z przetwarzania danych przy użyciu przenośnych nośników danych.
POLECAMY: Wyrok bez podpisu sędziego jest z mocy prawa nieważny
We wrześniu 2020 r. Sąd Rejonowy Szczecin-Centrum w Szczecinie złożył do Urzędu Ochrony Danych Osobowych zgłoszenie naruszenia ochrony danych osobowych. Naruszenie to wynikało z zagubienia trzech nośników danych typu pendrive, w tym jednego służbowego z zastosowanym szyfrowaniem oraz dwóch prywatnych bez szyfrowania. Na zagubionych nośnikach znajdowały się projekty orzeczeń i uzasadnień, które zawierały dane osobowe z okresu od grudnia 2004 r. do sierpnia 2020 r.
Podczas postępowania w tej sprawie ustalono, że pracownicy zatrudnieni w szczecińskim sądzie przez wiele lat korzystali na służbowych komputerach z prywatnych nośników danych, które nie były zabezpieczone ani zweryfikowane przez dział IT. Ponadto, mimo wprowadzenia zakazu używania prywatnych nośników danych, administrator nie kontrolował, czy pracownicy sądu przestrzegają wewnętrznych uregulowań.
Urząd Ochrony Danych Osobowych stwierdził, że administrator danych nie zastosował adekwatnych środków technicznych, takich jak blokada portów USB, aby zapobiec korzystaniu z prywatnych nośników danych. Należy podkreślić, że administrator, który zezwala na używanie przenośnych nośników danych, powinien zapewnić, że są to nośniki służbowe, zweryfikowane przez dział IT i zabezpieczone przed dostępem osób nieuprawnionych w przypadku ich zgubienia lub pozostawienia bez nadzoru.
W swojej decyzji urząd podkreślił, że wdrożenie przez administratora odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych to jedynie początek procesu. Administrator musi regularnie przeglądać i uaktualniać wcześniej przyjęte zabezpieczenia, aby zapewnić skuteczną ochronę danych osobowych przed ewentualnymi zagrożeniami, takimi jak cyberatak czy awaria systemu informatycznego. Ciągły proces weryfikacji i ulepszania środków ochrony danych osobowych jest niezbędny w dzisiejszych czasach, gdy przetwarzanie i przechowywanie danych osobowych jest coraz bardziej złożone i wymaga coraz bardziej skomplikowanych rozwiązań technologicznych.
„Dokładna i regularna ocena zastosowanych środków bezpieczeństwa jest kluczowa dla zapewnienia ochrony danych osobowych i uniknięcia naruszeń RODO. Dzięki regularnym przeglądom administrator może weryfikować skuteczność przyjętych wcześniej zabezpieczeń oraz w razie potrzeby uaktualnić procedury i zwiększyć poziom bezpieczeństwa. Taka praktyka pozwala na minimalizację ryzyka wystąpienia naruszenia RODO i ochrania prywatność osób, których dane są przetwarzane” – zauważył UODO.
Jednakże, mimo świadomości zagrożenia, administrator nie wdrożył adekwatnych środków technicznych i organizacyjnych, które by zapobiegły naruszeniu ochrony danych osobowych. UODO zauważył, że administrator nie przeprowadzał regularnych przeglądów zabezpieczeń, które pozwoliłyby na weryfikację skuteczności wprowadzonych procedur i wdrożonych środków bezpieczeństwa. W konsekwencji, ryzyko wystąpienia naruszenia RODO nie zostało należycie zminimalizowane, co doprowadziło do zagubienia nośników danych zawierających dane osobowe.
W związku z tym Urząd uznał za uzasadnione nałożenie administracyjnej kary pieniężnej. Treść decyzji
