Kara dla Prezesa Sądu Rejonowego za niewłaściwą organizację zabezpieczeń

Prezes Sądu Rejonowego w Zgierzu zgłosił naruszenie ochrony danych polegające na zagubieniu nieszyfrowanej przenośnej pamięci typu pendrive przez kuratora sądowego. Jak ustalono, na nośniku przechowywane były dane osobowe 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. Zakres danych osobowych objętych naruszeniem był znaczny, co wiązało się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator wypełnił więc obowiązek poinformowania podmiotów danych o naruszeniu, publikując stosowny komunikat na stronie WWW sądu.

W toku postępowania administrator wyjaśniał, że wdrożył system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych. Dokumentacja ta miała być na bieżąco aktualizowana i audytowana przez powołanego do tego celu inspektora ochrony danych. Administrator oświadczył również, że organizował szkolenia stacjonarne oraz e-learningowe dla pracowników Sądu (w tym kuratorów), dotyczące ochrony danych osobowych oraz zapisów wdrożonej dokumentacji, dyżurów pełnionych przez inspektora ochrony danych w siedzibie administratora, dyżurów on-line oraz doraźnych kontroli prowadzonych przez inspektora ochrony danych podczas dyżurów.

Prezes UODO wskazał jednak, że to administrator winien był zapewnić pracownikom zabezpieczenie nośników. Tak się nie stało, co w ocenie Prezesa UODO oznaczało, że doszło do naruszenia poufności i integralności danych osobowych polegającego na wydaniu do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie.

Same szkolenia pracowników w ocenie organu nadzorczego nie było wystarczające. Administrator powinien choćby wskazać przykładowe zabezpieczenia, które pracownik może zastosować na danym nośniku.