To administrator danych osobowych a nie pracownik odpowiada za dobór środków bezpieczeństwa danych osobowych. Stanowisko Prezesa UODO potwierdził Naczelny Sąd Administracyjny, oddalając skargę kasacyjną dotyczącą kary wymierzonej w 2021 r. Prezesowi Sądu Rejonowego w Zgierzu.
Opracowanie: Michał Kowalski
Prezes Sądu Rejonowego w Zgierzu w 2020 r. zgłosił naruszenie ochrony danych wiążące się ze zgubieniem przez kuratora sądowego niezaszyfrowanego pendrive’a zawierającego dane osobowe ok. 400 osób. Znajdowały się tam:
imiona i nazwiska,
daty urodzenia,
adresy zamieszkania lub pobytu,
numery PESEL,
dane o zarobkach lub majątku,
numery dowodów osobistych,
numery telefonów,
dane o zdrowiu,
dane o wyrokach skazujących.
W efekcie Prezes Urzędu Ochrony Danych Osobowych nałożył na Prezesa Sądu karę w wysokości 10 tys. zł. Była to konsekwencja pewnych nieprawidłowości w samym zgłoszeniu naruszenia, ale przede wszystkim w doborze środków bezpieczeństwa danych osobowych. Jak wskazał organ nadzorczy, nieprawidłową praktyką było nałożenie na pracowników sądu obowiązku zabezpieczenia służbowego nośnika zawierającego dane osobowe. W sądzie przyjęto bowiem rozwiązanie, zgodnie z którym obowiązek ewidencjonowania i szyfrowania nośników spoczywa na samych pracownikach. Administrator ograniczył się jedynie do jednorazowego przeszkolenia personelu sądu w zakresie ochrony danych osobowych.
Więcej na temat nałożonej kary UODO w artykule: Kara dla Prezesa Sądu Rejonowego za niewłaściwą organizację zabezpieczeń
Na decyzję Prezesa UODO została złożona skarga do Wojewódzkiego Sądu Administracyjnego w Warszawie, którą oddalono. WSA w uzasadnieniu wyroku przyjął, że to administrator winien był wdrożyć środki bezpieczeństwa. Ograniczenie się do wydania niezabezpieczonych nośników pamięci oraz zobowiązania kuratorów sądowych do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. WSA ocenił taką praktykę jako niewystarczającą.
Taki sam los spotkał skargę do Naczelnego Sądu Administracyjnego. Sąd oddalił ją, argumentując, że właściwym rozwiązaniem byłoby wyposażenie kuratorów sądowych w szyfrowane nośniki pamięci. Taka praktyka zminimalizowałaby ryzyko naruszenia zasad poufności danych osobowych. Co ciekawe, administrator nie zdecydował się na taki krok, mimo że po przeprowadzonej analizie ryzyka RODO zidentyfikowano zagrożenie zgubienia nośników z danymi osobowymi.
Wymierzona kara zdaniem NSA dotyczyła nie tylko zapobieżenia zagubieniu nośnika ale niezapewnienia ochrony danych osobowych na wypadek jego zagubienia.
Uodo.gov.pl
Wyrok Naczelnego Sądu Administracyjnego z 5 lipca 2024 r. (III OSK 2654/22)
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl