photo
18.05.2023

Ocena ryzyka i przestrzeganie procedur pozwalają na zapewnienie bezpieczeństwa danych osobowych

Prezes Urzędu Ochrony Danych Osobowych w związku z naruszeniem przepisów RODO poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych nałożył administracyjną karę pieniężną w wysokości ponad 23 tys. zł na Rzecznika Dyscyplinarnego Izby Adwokackiej.

Ponadto Prezes UODO nakazał dostosowanie operacji przetwarzania do przepisów ogólnego rozporządzenia o ochronie danych (RODO) w terminie 6 miesięcy od dnia doręczenia decyzji.

Powodem prowadzenia postępowania administracyjnego i wydania decyzji było zgłoszenie przez administratora naruszenia ochrony danych osobowych. Naruszenie polegało na otrzymaniu przez adresata uszkodzonej przesyłki, w której jednocześnie brakowało nośnika danych typu pendrive – załącznika do pisma przewodniego. Na nośniku tym zapisano nagranie rozprawy rozwodowej zawierającej dane osobowe kilku osób. Zarówno plik znajdujący się na nośniku, jak i sam pendrive nie zostały zaszyfrowane.

Co należy podkreślić, administrator posiadał wewnętrzne regulacje odnoszące się do polityki bezpieczeństwa oraz ochrony danych osobowych, które przewidywały zabezpieczanie takich nośników, co jak wykazało postępowanie, w praktyce nie było przestrzegane.

Samodzielna i prawidłowa ocena administratora

Administrator, będąc odpowiedzialnym m.in. za zapewnienie bezpieczeństwa przetwarzanych danych osobowych, jest zobowiązany także do zastosowania narzędzi technicznych i organizacyjnych, które odpowiadają ryzyku naruszenia praw i wolności osób fizycznych. Odpowiednie wdrożenie tychże środków oznacza, że w pierwszej kolejności administrator określa poziom ryzyka, jaki wiąże się z przetwarzaniem danych osobowych, a następnie ustala, jakie środki będą właściwe, aby zapewnić bezpieczeństwo przetwarzanych danych. Administrator samodzielnie przeprowadza szczegółową analizę prowadzonych procesów przetwarzania danych i dokonuje oceny ryzyka, a następnie musi zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiego podejścia jest konieczność samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń.

Zdaniem UODO ochrona danych znajdujących się na zewnętrznych nośnikach danych musi skupiać się na prawidłowym zabezpieczeniu danych zapisanych na takim nośniku przed nieuprawnionym dostępem osób trzecich w przypadku utracenia takiego nośnika w wyniku kradzieży czy jego zgubienia. Administrator zaś dokonał analizy ryzyka i określił działania minimalizujące skutki naruszenia wyłącznie w przypadku awarii nośnika. Dlatego też należy uznać, że ocena ryzyka została przeprowadzana z przyjęciem nieprawidłowych wartości.

Procedury a postępowanie

W tej sprawie należy także zwrócić uwagę na fakt, iż pracownicy Kancelarii Rzecznika Dyscyplinarnego podjęli czynności zmierzające do zabezpieczenia nośnika, jednak były one niezgodne z przyjętymi wewnętrznymi regulacjami.

Uznana przez administratora procedura wskazuje, że w przypadku wykorzystania i przekazywania zewnętrznych nośników danych, na których znajdują się dane osobowe przed wysłaniem należy je zaszyfrować.

Ponadto procedura przewiduje stosowanie specjalnych kopert, stosowanych dla zwiększenia bezpieczeństwa przesyłki. W tym przypadku koperta ta zastąpiona została szczelnie zaszytą zszywkami plastikową koszulką, którą następnie przymocowano do pisma przewodniego oraz umieszczono w zwykłej kopercie.

Wątpliwości budzi zatem skuteczność wprowadzonych procedur z uwagi na niezastosowanie ich postanowień przez pracowników kancelarii przy wysyłce zewnętrznego nośnika, co doprowadziło do naruszenia ochrony danych osobowych.

Weryfikacja

Wprowadzenie regulacji wewnętrznych odnoszących się do zasad ochrony danych osobowych czy stosowania środków technicznych i organizacyjnych nie zwalnia administratora z weryfikacji czy przyjęte środki bezpieczeństwa są skuteczne i czy ograniczają lub eliminują ryzyko związane z przetwarzaniem danych osobowych. UODO wielokrotnie zwracał uwagę, że zastosowanie odpowiednich środków technicznych i organizacyjnych nie jest działaniem jednorazowym, a ma charakter procesu ciągłego. Administrator w ramach tej weryfikacji dokonuje przeglądu przyjętych zabezpieczeń. W przedmiotowej sprawie weryfikacja praktykowanych procedur nie była skuteczna, wbrew twierdzeniom administratora, skoro pracownicy kancelarii nie przestrzegali wewnętrznych regulacji przy wysyłce zewnętrznego nośnika z danymi, który zaginął, co ostatecznie doprowadziło do naruszenia.

Pełna treść decyzji

 

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Adam Sanocki
date 2023-05-18
Wprowadził informację:
user Edyta Madziar
date 2023-05-18 12:05:50
Ostatnio modyfikował:
user Edyta Madziar
date 2023-05-18 12:55:48