Prezes UODO udzielił upomnień prezesowi i dyrektorowi Sądu Rejonowego Lublin-Zachód. Kontrola ujawniła brak prawidłowej analizy ryzyka, zaniechania w testowaniu środków bezpieczeństwa oraz niepełną politykę ochrony danych. Sprawa rozpoczęła się po naruszeniu ochrony danych przy udostępnianiu informacji publicznej.
Kontrola przeprowadzona w Sądzie Rejonowym Lublin-Zachód przez Prezesa UODO ujawniła, że przez długi czas nie prowadzono analizy ryzyka przetwarzania danych osobowych. Gdy wreszcie ją wykonano, dokument nie spełniał wymogów RODO. Ustalono również, że sąd nie testował regularnie środków mających zapewnić bezpieczeństwo danych.
Takie zaniedbania stanowią naruszenie art. 32 rozporządzenia RODO, który nakłada obowiązek ciągłej oceny skuteczności zastosowanych zabezpieczeń – technicznych i organizacyjnych.
W wyniku kontroli stwierdzono, że wdrożone w sądzie polityki ochrony danych nie obejmowały pełnego zakresu działań instytucji. Brakowało zwłaszcza procedur dotyczących udzielania informacji publicznej i anonimizacji danych. Dopiero na krótko przed wydaniem decyzji przez Prezesa UODO opracowano aktualną politykę ochrony danych, dostosowaną do wymagań rozporządzenia.
Początkiem sprawy było zgłoszenie naruszenia ochrony danych osobowych. W odpowiedzi na wniosek o dostęp do informacji publicznej sąd przesłał plik arkusza kalkulacyjnego zawierający dane osobowe wykraczające poza zakres wniosku. Udostępniono m.in. numery PESEL, adresy, daty urodzenia oraz informacje o powołaniach sędziów.
To klasyczny przykład naruszenia poufności danych, wynikający z braku analizy ryzyka i niewłaściwej weryfikacji procedur.
Prezes UODO w swojej decyzji (sygn. DKN.5112.63.2024) uznał, że prezes i dyrektor sądu nie zapewnili zgodności operacji przetwarzania z RODO. Nakazano przeprowadzenie poprawnej analizy ryzyka przetwarzania danych oraz wdrożenie regularnego testowania i oceny środków bezpieczeństwa.
Z uwagi na podjęte działania naprawcze i wdrożenie polityki ochrony danych, UODO uznał, że wystarczającym środkiem sankcyjnym będzie udzielenie upomnień.
Decyzja ta przypomina, że analiza ryzyka przetwarzania danych nie jest formalnością, lecz fundamentem skutecznego systemu ochrony danych osobowych. To na niej opiera się dobór zabezpieczeń i ustalanie proporcjonalnych środków ochrony. Brak analizy lub jej niewłaściwe przeprowadzenie może stać się bezpośrednią przyczyną naruszeń oraz konsekwencji administracyjnych.
Przeczytaj więcej na temat analizy ryzyka:
Analiza ryzyka RODO zgodnie z wytycznymi ENISA
Analiza ryzyka w podmiocie leczniczym zgodnie z ustawą o KSC i normą ISO 27005
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
