UODO nałożył na Prezesa Sądu Rejonowego karę pieniężną w wysokości 10 tys. zł za brak zabezpieczenia służbowych nośników z danymi osobowymi. Jako administrator danych, to on był odpowiedzialny za zapewnienie odpowiedniego bezpieczeństwa, a zamiast tego jedynie polecał swoim pracownikom, by sami wdrażali takie rozwiązania.
Prezes Sądu Rejonowego zgłosił zaginięcie nieszyfrowanej przenośnej pamięci typu pendrive. Nośnik razem z danymi 400 osób został zagubiony przez kuratora sądowego. Decyzja o nałożeniu kary związana jest z zakresem ujawnionych danych osobowych i ryzykiem naruszenia praw lub wolności osób fizycznych. Niezabezpieczony nośnik pamięci nadal nie został odnaleziony. Komunikat o naruszeniu został opublikowany na stronie internetowej Sądu Rejonowego w Zgierzu.
Administrator w składanych wyjaśnianiach wskazał, iż zapewnił szkolenia stacjonarne i e-learningowe dla pracowników Sądu (w tym kuratorów) z zakresu ochrony danych osobowych. Co więcej, wdrożył system zasad przetwarzania danych osobowych na bieżąco aktualizowanej dokumentacji, która była audytowana inspektorem ochrony danych w siedzibie administratora.
Zgodnie z obowiązującymi u administratora dokumentami, odpowiedzialność za zabezpieczenie nośnika spoczywa na użytkownikach. Natomiast UODO twierdzi, że to podejście jest niewłaściwe. W toku postępowania okazało się, że administrator naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem tego może być możliwość dostępu do danych osobowych znajdujących się na pendrive przez osoby nieuprawnione. Organ nadzorczy dodaje, iż przeprowadzenie szkoleń pracowników w zakresie danych osobowych jest potrzebne, lecz nie można ich uznać za odpowiednie środki organizacyjne i nie mogą one zastąpić rozwiązań technicznych, których administrator nie zapewnił. Pracownicy mogą nie posiadać wiedzy jak należy zabezpieczać nośniki z danymi osobowymi. Zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z wymaganiami RODO jest administrator danych, a nie pracownik lub osoba wykonująca zadania służbowe.
UODO ustalił administracyjną karę pieniężną w wysokości 10 tys. zł, uwzględniając, jako okoliczność łagodzącą dobrą współpracę Prezesa Sądu z organem nadzorczym.
