bg
Chcę wiedzieć o...
Strona główna
Artykuły
Kara za niezabezpieczenie nośników z danymi osobowymi

Kara za niezabezpieczenie nośników z danymi osobowymi

Dodano: 2021-08-16
Publikator: Urząd Ochrony Danych Osobowych

UODO nałożył na Prezesa Sądu Rejonowego karę pieniężną w wysokości 10 tys. zł za brak zabezpieczenia służbowych nośników z danymi osobowymi. Jako administrator danych, to on był odpowiedzialny za zapewnienie odpowiedniego bezpieczeństwa, a zamiast tego jedynie polecał swoim pracownikom, by sami wdrażali takie rozwiązania.

Prezes Sądu Rejonowego zgłosił zaginięcie nieszyfrowanej przenośnej pamięci typu pendrive. Nośnik razem z danymi 400 osób został zagubiony przez kuratora sądowego. Decyzja o nałożeniu kary związana jest z zakresem ujawnionych danych osobowych i ryzykiem naruszenia praw lub wolności osób fizycznych. Niezabezpieczony nośnik pamięci nadal nie został odnaleziony. Komunikat o naruszeniu został opublikowany na stronie internetowej Sądu Rejonowego w Zgierzu.

Administrator w składanych wyjaśnianiach wskazał, iż zapewnił szkolenia stacjonarne i e-learningowe dla pracowników Sądu (w tym kuratorów) z zakresu ochrony danych osobowych. Co więcej, wdrożył system zasad przetwarzania danych osobowych  na bieżąco aktualizowanej dokumentacji, która była audytowana inspektorem ochrony danych w siedzibie administratora.

Zgodnie z obowiązującymi u administratora dokumentami, odpowiedzialność za zabezpieczenie nośnika spoczywa na użytkownikach. Natomiast UODO twierdzi, że to podejście jest niewłaściwe. W toku postępowania okazało się, że administrator naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem tego może być możliwość dostępu do danych osobowych znajdujących się na pendrive przez osoby nieuprawnione. Organ nadzorczy dodaje, iż przeprowadzenie szkoleń pracowników w zakresie danych osobowych jest potrzebne, lecz nie można ich uznać za odpowiednie środki organizacyjne i nie mogą one zastąpić rozwiązań technicznych, których administrator nie zapewnił. Pracownicy mogą nie posiadać wiedzy jak należy zabezpieczać nośniki z danymi osobowymi. Zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z wymaganiami RODO jest administrator danych, a nie pracownik lub osoba wykonująca zadania służbowe.

UODO ustalił administracyjną karę pieniężną w wysokości 10 tys. zł, uwzględniając, jako okoliczność łagodzącą dobrą współpracę Prezesa Sądu z organem nadzorczym.

Artykuły powiązane

UODO: Numer PESEL nie powinien widnieć w certyfikacie podpisu elektronicznego

Prezes Urzędu Ochrony Danych Osobowych (UODO) zwrócił się do Ministra Cyfryzacji z wnioskiem o zmianę przepisów dotyc...

Blokada strony internetowej przez ABW bezpodstawna – NSA ostatecznie rozstrzyga

Naczelny Sąd Administracyjny (NSA) w wyroku z 26 września 2024 roku (sygn. akt II GSK 2046/23) uznał, że Agencja Bez...

Meta ukarana 91 mln euro za naruszenie RODO.

Irlandzki organ ochrony danych (DPC) nałożył na Metę karę w wysokości 91 milionów euro za naruszenie przepisów RODO zwią...