Pendrive z danymi osobowymi bez odpowiednich zabezpieczeń

Sąd Rejonowy Szczecin-Centrum w Szczecinie w dniu 20 września 2020 r. zgłosił naruszenie ochrony danych do Prezesa UODO. Polegało ono na utracie dostępu do danych osobowych przechowywanych na trzech nośnikach typu pendrive. Znajdowały się one w projektach orzeczeń i uzasadnień z okresu od grudnia 2004 r. do sierpnia 2020 r. Nośniki te (dwa z nich były prywatne i nieszyfrowane) zostały zgubione.

Jak się okazało, pracownicy sądu przez wiele lat korzystali na służbowych komputerach z prywatnych nośników. Nie były one zabezpieczone i zweryfikowane przez dział IT sądu. Administrator wprowadził wprawdzie zakaz używania prywatnych nośników danych w celach służbowych, ale go nie egzekwował.

Z tego względu w trakcie postępowania Prezes UODO zarzucił niewdrożenie odpowiednich środków bezpieczeństwa danych. Wprawdzie bowiem administrator był świadomy zagrożenia wiążącego się z używaniem prywatnych, niezabezpieczonych i niezweryfikowanych nośników danych. Wynikało to choćby z przeprowadzonej analizy ryzyka. Mimo tego ADO nie wyciągnął z tego żadnych wniosków

Z drugiej strony należało zapewnić, aby nośniki danych były wyłącznie służbowe i zabezpieczone przed dostępem nieuprawnionych osób na wypadek ich zgubienia lub pozostawienia bez nadzoru. W ten sposób sąd mógłby zauważalnie zminimalizować ryzyko wystąpienia naruszenia albo nawet całkowicie je wyeliminować.

W konsekwencji stwierdzono naruszenie zasady integralności i poufności. Otóż dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo tych danych, w tym ochronę przed:

• niedozwolonym lub niezgodnym z prawem przetwarzaniem,

• przypadkową utratą, zniszczeniem lub uszkodzeniem,

• za pomocą odpowiednich środków technicznych lub organizacyjnych.

W związku z tym w ocenie Prezesa UODO nałożenie administracyjnej kary pieniężnej było uzasadnione.