23 580 zł – tyle wynosi administracyjna kara pieniężna wymierzona Rzecznikowi Dyscyplinarnemu jednej z Izb Adwokackich. To kolejny już przypadek zgubienia pendrive’a, który kończy się karą za naruszenie RODO. Sprawdź, za co konkretnie ukarano administratora.
W sprawie doszło do zagubienia nośnika z danymi osobowymi należącymi do 8 osób, takimi jak imiona i nazwiska, relacje stron i informacje dotyczące życia rodzinnego. Zawierał on nagranie rozprawy rozwodowej. Nośnik ten stanowił załącznik do pisma procesowego w postępowaniu dyscyplinarnego wysyłanego do obrońcy obwinionego. Korespondencja nie dotarła jednak w całości – brakowało bowiem wspomnianego nośnika z danymi. Zdarzenie zostało zgłoszone do Prezesa UODO.
To nie pierwszy przypadek zgubienia nośnika z danymi osobowymi. Przeczytaj także:
Rozpoznając sprawę, Prezes UODO wskazał, że status administratora danych osobowych w tej sprawie posiadał rzecznik dyscyplinarny Izby Adwokackiej. Administratorowi temu zarzucono niewdrożenie środków bezpieczeństwa adekwatnych do poziomu ryzyka wiążącego się z przetwarzanymi danymi osobowymi. Wybór tych środków należało zaś poprzedzić analizą ryzyka. W toku postępowania rzecznik dyscyplinarny przedstawił prawdzie procedurę analizy ryzyka wraz z arkuszem dotyczącym „awarii, kradzieży lub zagubienia nośników danych”. Dokumenty te wzbudziły jednak wątpliwości organu nadzorczego.
Przede wszystkim dla wskazanej kategorii ryzyka określono poziom 1 czyli „ryzyko akceptowalne, nie wymagające dalszego postępowania (podjęcia środków minimalizujących)”. Poza tym dla tej kategorii wdrożono zabezpieczenie jedynie w postaci tworzenia kopii zapasowych. Kopie te zabezpieczają dane osobowe np. na wypadek zniszczenia nośnika, ale już nie w przypadku jego kradzieży czy po prostu zgubienia. Istnieje wtedy poważne zagrożenie, że dane te trafią do osoby nieuprawnionej, a administrator w żaden sposób tego zagrożenia nie zredukował.
Kopie zapasowe to rozwiązanie minimalizujące ryzyko utraty dostępu do danych osobowych, ale nie ich przejęcia przez nieuprawnione osoby.
Zaniechano zaś takich rozwiązań jak np. szyfrowanie plików z danymi osobowymi.
Organ nadzorczy uznał więc, że przyjęty środek bezpieczeństwa nie jest adekwatny do poziomu ryzyka wiążącego się z wysyłką pendrive’a z danymi osobowymi. W konsekwencji Prezes UODO poza wymierzeniem administracyjnej kary pieniężnej w wysokości 23 580 zł, nakazał rzecznikowi dyscyplinarnemu dostosowanie operacji przetwarzania poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych w celu:
zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych za pomocą zewnętrznych nośników danych,
zapewnienia regularnego testowania, mierzenia i oceniania skuteczności tych środków.
Ukarany administrator na 6 miesięcy na wykonanie decyzji Prezesa UODO.
decyzja Prezesa UODO z 20 kwietnia 2023 r. (DKN.5131.31.2022)
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
