Kara za zgubiony pendrive
Kara za zgubiony pendrive. Dnia 13 lipca 2021r. Prezes Urzędu Ochrony Danych Osobowych wydał Decyzję w sprawie o sygn. akt.: DKN.5131.22.2021.
Na czym polegało zdarzenie
Jak czytamy w treści Decyzji PUODO z dnia 13 lipca 2021r.,
cyt.: „(…)Incydent stanowiący przedmiot zgłoszenia miał miejsce […] lutego 2020 r. i polegał na zagubieniu nieszyfrowanej przenośnej pamięci zewnętrznej typu pendrive przez kuratora sądowego. W rubryce 2A formularza zgłoszenia jako administrator danych wskazany został Sąd Rejonowy w Zgierzu.(…)”.
Jakie przepisy zostały naruszone
- art. 5 ust. 1 lit. f), RODO
- art. 24 ust. 1, RODO
- art. 25 ust. 1, RODO
- art. 32 ust. 1 lit. b) i d), RODO
- art. 32 ust. 2, RODO
art. 5 ust. 1 lit. f), RODO
cyt.: „(…)Art. 5 rozporządzenia 2016/679 wskazuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty wskazane prawem Unii lub prawem państwa członkowskiego oraz podmioty które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).(…)”.
art. 24 ust. 1, RODO
cyt.: „(…)Zgodnie z treścią art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Przepis art. 24 ust. 1 rozporządzenia 2016/679 określa podstawowe i główne obowiązki administratora, którego obciąża wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność przetwarzania z wymogami rozporządzenia 2016/679. Chodzi tu w szczególności o realizację zasad wskazanych w art. 5 ust. 1 rozporządzenia 2016/679.(…)”.
art. 25 ust. 1, RODO
cyt.: „(…)Zgodnie natomiast z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą (uwzględnianie ochrony danych w fazie projektowania).(…)”.
art. 32 ust. 1 lit. b) i d), RODO
cyt.: „(…)Stosownie do art. 32 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (lit. b) oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (lit. d).(…)”.
art. 32 ust. 2, RODO
cyt.: „(…)W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.(…)”.
Naruszenie przepisów polegało na
Jak czytamy w treści Decyzji PUODO z dnia 13 lipca 2021r., stwierdzono naruszenie przez Prezesa Sądu Rejonowego w Zgierzu ww. przepisów RODO polegające na
cyt.: „(…)niewdrożeniu przez Prezesa Sądu Rejonowego w Zgierzu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci zewnętrznych, zapewniających bezpieczeństwo zapisanych tam danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, co skutkowało utratą przenośnej pamięci zewnętrznej z danymi osobowymi, zapisanymi na niej w sposób niezabezpieczony(…)”.
Jaka jest wysokość kary administracyjnej
Kara za zgubiony pendrive wyniosłą 10.000,00 zł (słownie: dziesięć tysięcy złotych 00/100)
Kto zawiadomił PUODO o naruszeniu
Prezesa Sądu Rejonowego w Zgierzu
Jaka liczba podmiotów danych i jakie dane
Zdarzenie, jak wynika z informacji przekazanej do PUODO przez ADO dotyczyło 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym przez kuratora sądowego, w zakresie imion i nazwisk, dat urodzenia, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, danych dotyczących zarobków i/lub posiadanego majątku, serii i numerów dowodów osobistych, numerów telefonów, danych dotyczących zdrowia oraz danych dotyczących wyroków skazujących.
Poufność i integralność
cyt.: „(…)Przepisy art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, wraz z art. 24 ust. 1 ww. rozporządzenia, stanowią więc konkretyzację wskazanej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, zasady integralności i poufności.(…)”.
cyt.: „(…)Poufność danych to właściwość zapewniająca w szczególności, że dane nie zostaną udostępnione nieuprawnionym podmiotom, uzyskiwana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk. Wskazana zasada, jak wynika z ustalonego stanu faktycznego, została naruszona przez Prezesa Sądu poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie, co w następstwie zagubienia takiego nośnika przez kuratora sądowego skutkowało umożliwieniem osobom nieuprawnionym dostępu do danych osobowych przetwarzanych na tym nośniku. Jak bowiem ustalono, jedynym zabezpieczeniem zastosowanym przez kuratora było przechowywanie nośnika w zamykanej torbie służbowej.(…)”.
Testowanie zabezpieczeń
cyt.: „(…)Określenie istniejących lub stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.(…)”.
Szkolenie to czasem zbyt mało
cyt.: „(…)Przedstawiona w toku postępowania administracyjnego przez Administratora analiza ryzyka przeprowadzona przed wystąpieniem przedmiotowego naruszenia, przedstawia wynik na poziomie 6 dla zagrożenia „Zagubienie sprzętu, nośników”. Zgodnie z przedstawioną dokumentacją jest to średni poziom ryzyka, skutkujący koniecznością wdrożenia zabezpieczeń, celem jego obniżenia do poziomu niskiego (uznawanego za akceptowalny poziom), zaś jako reakcję na ryzyko przyjęto i zastosowano działania ograniczające to ryzyko wyłącznie w postaci „Szkolenia dla personelu dotyczącego potencjalnych zagrożeń”. Oczywiście szkolenie o tego typu tematyce jest konieczne i potrzebne, albowiem spowodować może chociażby zwiększenie świadomości personelu. Niemniej w odniesieniu do zakresu oraz charakteru danych osobowych przetwarzanych w tym przypadku przy użyciu tego typu urządzenia szkolenie nie jest środkiem organizacyjnym, który pozwoli na obniżenie do niskiego poziomu lub wyeliminowanie ryzyka zagubienia nośnika. Nie zastąpi również rozwiązań o charakterze technicznym, których nie przewidziano.(…)”.
Pracownik nie może zastąpić ADO
cyt.: „(…)Pracownik przede wszystkim nie może zastępować administratora danych w realizacji jego zadań wynikających z tych przepisów.(…)”.
Regularność testowania
cyt.: „(…)Ponadto zaznaczyć należy, iż prowadzenie „doraźnych sprawdzeń” nie wyczerpuje znamion regularności. W ocenie Prezesa Urzędu dokonywanie sprawdzeń doraźnie, bez przyjęcia procedury, która określa harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające(…)”.
cyt.: „(…)Testowanie, mierzenie i ocenianie skuteczności przyjętych środków bezpieczeństwa, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od np. zmian w organizacji i przebiegu procesów przetwarzania danych.(…)”.
Ankieta weryfikacyjna
Komunikat PUODO [dostępny dnia 13.08.2021r. godzina: 11:00]
Decyzja PUODO z dnia 13.07.2021r. [DKN.5131.22.2021] [dostępny dnia 13.08.2021r. godzina: 11:00]