Administrator jest odpowiedzialny za zabezpieczenie nośników z danymi osobowymi – kolejna kara UODO

W ramach cyklicznego informowania Państwa o kolejnych decyzjach wydawanych przez Prezesa Urzędu Ochrony Danych Osobowych, dziś analizujemy okoliczności i wnioski wynikające z wydanej  13 lipca decyzji, dotyczącej braku zabezpieczenia nośników z danymi osobowymi.

Decyzja UODO

Do Prezesa UODO wpłynęło od prezesa jednego z Sądów Rejonowych, zgłoszenie incydentu ochrony danych osobowych, polegającego na zagubieniu nieszyfrowanej przenośnej pamięci typu pendrive przez kuratora sądowego. W konsekwencji, osoba nieuprawniona mogła otrzymać dostęp do szerokiego katalogu danych osobowych około 400 osób, co spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W toku postępowania okazało się, że Prezes Sądu Rejonowego (administrator danych) nie zabezpieczał służbowych nośników z danymi – w sądzie nie funkcjonowały systemowe rozwiązania, wprowadzone w tym zakresie przez administratora danych. Obowiązek zabezpieczenia nośników prezes sądu zlecił osobom, które tymi nośnikami dysponowały – pracownicy takie działania mieli podejmować we własnym zakresie.

Wnioski dla przedsiębiorców

Najnowsza decyzja potwierdza, że to administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych.

Już samo wydanie niezabezpieczonego nośnika danych osobowych może zostać potraktowane jako naruszenie zasady poufności oraz integralności danych osobowych, a co za tym idzie – może wiązać się z konsekwencjami dla administratora.

Oczywiście w praktyce administrator zleca wykonanie określonych czynności – w tym przypadku – wdrożenie zabezpieczeń nośników danych, wewnętrznie – określonej grupie pracowników lub zewnętrznemu podmiotowi. Delegowanie tych zadań powinno być jednak adresowane do wyspecjalizowanej jednostki – wewnętrznego działu IT lub zewnętrznego dostawcy, świadczącego tego typu usługi. Działania administratora powinny być usystematyzowane, a proces zabezpieczeń danych zaplanowany i kontrolowany przez niego. W przypadku, którego dotyczy decyzja i nałożona kara, administrator pozostawił pełną dowolność swoim pracownikom korzystającym z nośników.

Zachowanie kontroli i usystematyzowanie procesu powinno także wynikać z obowiązującej w organizacji dokumentacji ochrony danych osobowych.

Urząd podkreślił również, że przeprowadzanie szkoleń pracowników w zakresie ochrony danych osobowych jest konieczne,W konsekwencji, choć szkolenia z zasad przetwarzania danych wyraźnie mogą wpłynąć na ich bezpieczeństwo, nie mogą być wyłącznymi środkami świadczącymi o ochronie danych osobowych. W szczególności nie zastępują kompleksowych, systemowych rozwiązań, do wprowadzenia których zobowiązany jest administrator.

Jednocześnie zwracamy uwagę, że co prawda wydana decyzja i nałożona kara w tym przypadku odnoszą się konkretnie do systemu zabezpieczania nośników danych, jednak wytyczne dotyczące zasad wdrażania środków bezpieczeństwa mają uniwersalny charakter i mogą mieć zastosowanie do wszelkich rozwiązań stosowanych u administratora. W każdym przypadku pozostawianie dowolności w zabezpieczania procesów i brak ustrukturyzowanego działania zaplanowanego przez administratora może wiązać się z ryzykami naruszeń bezpieczeństwa danych osobowych, jak również z kwestionowaniem takich praktyk przez organ nadzorczy.

***

Jeżeli chcą Państwo zweryfikować, czy wdrożone w organizacji środki organizacyjne (regulaminy, polityki, szkolenia etc.) oraz techniczne odpowiadają obowiązkom wynikającym z RODO oraz wytycznym UODO – zapraszamy do kontaktu z naszymi doradcami.

Ludmiła Łuczak
Manager | Radca prawny
ludmila.luczak@olesinski.com

Katarzyna Wężyk
Associate | Dział prawny
katarzyna.wezyk@olesinski.com