Stan faktyczny

Do Urzędu Ochrony Danych Osobowych w lutym 2020 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych podpisane przez Prezesa Sądu informujące o naruszeniu ochrony danych osobowych 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym przez kuratora sądowego. Incydent stanowiący przedmiot zgłoszenia polegał na zagubieniu nieszyfrowanej przenośnej pamięci zewnętrznej typu pendrive przez kuratora sądowego.

Z uwagi na zakres ujawnionych danych osobowych wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Prezes Sądu poinformował, że opublikował na stronie internetowej Sądu Rejonowego w Zgierzu, komunikat o naruszeniu, wskazując, że „możliwe, że ktoś będzie próbował wykorzystać dane tam zapisane”. Poprosił również o „czujność, a w przypadku uzyskania informacji o ewentualnych próbach wykorzystania danych, którymi dysponował Sąd – o niezwłoczne zawiadomienie organów ścigania oraz kontakt z Sądem Rejonowym w Zgierzu”.

Prezes UODO wystąpił o prawidłowe powiadomienie osób fizycznych, albowiem komunikat skierowany do osób, których dane dotyczą, nie spełniał warunków określonych w RODO. Zwrócił się także o złożenie dodatkowych wyjaśnień, między innymi:

  1. czy i w jaki sposób rekomendowano kuratorom sądowym zabezpieczanie danych zapisywanych na zewnętrznych nośnikach pamięci,
  2. czy administrator danych osobowych opracował i wdrożył procedury korzystania z zewnętrznych nośników pamięci oraz zabezpieczania danych osobowych, przetwarzanych na nośnikach zewnętrznych poza siedzibą administratora,
  3. czy zagubiony nośnik pamięci został wydany kuratorowi przez administratora, czy też należał do kuratora,
  4. jeśli zagubiony nośnik był własnością kuratora, czy procedury administratora danych dopuszczają taką możliwość oraz w jaki sposób sprawowana jest kontrola nad takim przetwarzaniem danych osobowych.

Prezes Sądu poinformował o zamieszczeniu uzupełnionego komunikatu o naruszeniu ochrony danych osobowych i wskazał, iż:

  1. kuratorom rekomendowano stosowanie się do regulaminu ochrony danych w Sądzie oraz procedur ochrony danych w rozmowach indywidualnych oraz podczas spotkań szkoleniowych,
  2. opracował i wdrożył procedury korzystania z zewnętrznych nośników pamięci oraz zabezpieczenia danych osobowych przetwarzanych na nośnikach zewnętrznych poza swoją siedzibą, zaś procedura ta jest częścią Instrukcji Zarządzania Systemem Informatycznym w Sądzie Rejonowym w Zgierzu,
  3. zagubiony nośnik pamięci został wydany kuratorowi przez Sąd, natomiast Regulamin ochrony danych dla Sądu zabrania korzystania z prywatnych nośników danych dla przetwarzania danych służbowych.

Prezes Urzędu wezwał Sąd do przedstawienia kolejnych wyjaśnień oraz dokumentacji dotyczących:

  1. wskazania, czy przed wystąpieniem przedmiotowego naruszenia, administrator danych określił zasady przetwarzania danych osobowych oraz stosowane zabezpieczenia przy użyciu pamięci przenośnych pendrive, a jeśli tak, jakie kroki podjął administrator aby zapewnić skuteczność wprowadzonych rozwiązań, a w szczególności, czy i w jaki sposób przeprowadzana była weryfikacja ich przestrzegania przez osoby mające dostęp do danych osobowych, w tym przez kuratorów,
  2. określenia, czy, a jeśli tak, to w jaki sposób zagubiony nośnik został zabezpieczony przed dostępem do danych osobowych przy jego użyciu przetwarzanych,
  3. wskazania, czy zabezpieczenia zostały implementowane przez administratora przed wydaniem nośnika do użytku, czy też kurator był zobowiązanych do ich zastosowania osobiście,
  4. udzielenia informacji, czy przed wystąpieniem przedmiotowego naruszenia, kuratorzy zostali zapoznani z wdrożonymi procedurami i rozwiązaniami,
  5. wskazania, czy przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych, administrator przeprowadził analizę ryzyka możliwości wystąpienia naruszenia w tym zakresie,
  6. udzielenia informacji, czy, a jeśli tak, to kiedy i w jaki sposób, administrator dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, których naruszenie dotyczy.

W odpowiedzi Prezes Sądu wyjaśnił, iż przed wystąpieniem naruszenia wdrożył system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych, które zostały określone w Polityce Bezpieczeństwa Sądu Rejonowego w Zgierzu i Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Sądzie Rejonowym w Zgierzu. Zgodnie z dokumentem obowiązek zabezpieczenia nośnika spoczywa na użytkowniku, który dokonał jego zabezpieczenia poprzez przechowywanie go w zamykanej torbie służbowej, natomiast po wystąpieniu przedmiotowego naruszenia została zaktualizowana procedura dotycząca wydawania nośników danych, poprzez wprowadzenie ewidencjonowania, szyfrowania i zabezpieczania nośników hasłem. Administrator danych przeprowadził również analizę ryzyka możliwości wystąpienia tego typu naruszenia w postaci zagubienia sprzętu lub nośników, definiując ryzyko na poziomie średnim oraz wskazując konieczność ograniczenia tego ryzyka, przyjął za wystarczający środek ograniczający możliwość zmaterializowania się tego ryzyka w postaci szkolenia dla personelu, dotyczącego potencjalnych zagrożeń.

Prezes Sądu wskazał również, iż po wystąpieniu przedmiotowego naruszenia, zgodnie z zarządzeniem wszystkie pamięci przenośne zostały zabezpieczone aplikacją szyfrującą.

Bezpieczeństwo danych i IT w kancelarii prawnej radcowskiej/adwokackiej/notarialnej/ komorniczej. Skonfiguruj Twój System Legalis! Sprawdź

Rozstrzygnięcie Prezesa UODO

Decydując o nałożeniu na Prezesa Sądu administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes UODO stosownie do treści art. 83 ust. 2 lit. a –  art. 83 ust. 2 lit. k RODO wziął pod uwagę, i uznał za obciążające dla Prezesa Sądu, następujące okoliczności sprawy.

Stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla dużej liczby osób, do których danych dostęp mogła mieć osoba bądź osoby nieuprawnione. Naruszenie przez Prezesa Sądu obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieuprawnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami RODO.
Za okoliczność obciążającą Prezes UODO uznał długi czas trwania naruszenia, ponieważ wprowadzenie ewidencjonowania przenośnych nośników danych oraz szyfrowanie danych przetwarzanych przy ich użyciu nastąpiło dopiero w związku z wydaniem przez Prezesa Sądu zarządzenia w lutym 2020 r. Podkreślić jednocześnie jednak należy, że konsekwencje naruszenia przepisów RODO przez administratora danych trwają nadal, ponieważ zaginiony niezabezpieczony nośnik pamięci nie został do tej pory odnaleziony.
W niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba lub osoby nieuprawnione, doznały szkody majątkowej. Niemniej jednak już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę). Osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową.
Nieuprawniony dostęp do danych osobowych osób, wobec których były podejmowane działania przez kuratora, stał się możliwy na skutek niedochowania należytej staranności przez Prezesa Sądu i niewątpliwie stanowi o nieumyślnym charakterze naruszenia. Niemniej jednak Prezes Sądu jako administrator ponosi odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych. Na negatywną ocenę zasługuje fakt, że Prezes Sądu przeniósł obowiązek zabezpieczenia nośnika na kuratora sądowego i nie zweryfikował, czy kurator sądowy w jakikolwiek sposób dokonał jego zabezpieczenia oraz nie przeprowadził testu pod kątem skuteczności tego zabezpieczenia.

Przeniesienie obowiązków administratora danych osobowych w zakresie wyboru oraz zastosowania odpowiednich środków technicznych na inne osoby skutkowało bowiem w tym przypadku zastosowaniem środka technicznego w postaci przechowywania przenośnego nośnika pamięci w zamykanej torbie służbowej, a więc zupełnie nieadekwatnego w odniesieniu do stanu wiedzy technicznej, kosztu wdrożenia oraz charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwa wystąpienia i wadze zagrożenia.
Naruszenie ochrony danych osobowych w postaci imion i nazwisk, dat urodzenia, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, danych dotyczących zarobków i/lub posiadanego majątku, serii i numerów dowodów osobistych, numerów telefonów oraz danych podlegających szczególnej ochronie zgodnie z art. 9 RODO, a także danych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO, skutkować może szerokim wachlarzem negatywnych skutków dla osób, których dane dotyczą.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Prezesa Sądu z organem nadzorczym.

Administrator danych implementując postanowienia RODO w organizacji nie może przenosić obowiązku wprowadzenia odpowiednich środków technicznych i organizacyjnych nie weryfikując przy tym, czy faktycznie środki zostały zastosowane i nie przeprowadzając testu pod kątem skuteczności wprowadzonych zabezpieczeń. Zaniedbania tego rodzaju Prezes UODO uznaje za rażące, gdyż wskazują one na niedochowanie należytej staranności przez administratora danych.

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Wypróbuj! Sprawdź

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →