Aktualny

Pendrive z danymi osobowymi bez odpowiednich zabezpieczeń

Dodano: 21 lutego 2023
15cd5d08ad2a41996a016fdb1cc67ce622556c67-xlarge (1)

Sąd Rejonowy w Szczecinie musi zapłacić 30 tys. zł w związku z niewdrożeniem odpowiednich środków bezpieczeństwa danych osobowych przechowywanych na pendrive’ach. Nieprawidłowości zostały wykryte w następstwie zagubienia nośników danych.

Zgubienie nośników z danymi osobowymi

Sąd Rejonowy Szczecin-Centrum w Szczecinie w dniu 20 września 2020 r. zgłosił naruszenie ochrony danych do Prezesa UODO. Polegało ono na utracie dostępu do danych osobowych przechowywanych na trzech nośnikach typu pendrive. Znajdowały się one w projektach orzeczeń i uzasadnień z okresu od grudnia 2004 r. do sierpnia 2020 r. Nośniki te (dwa z nich były prywatne i nieszyfrowane) zostały zgubione.

Niezabezpieczone prywatne pendrive’y

Jak się okazało, pracownicy sądu przez wiele lat korzystali na służbowych komputerach z prywatnych nośników. Nie były one zabezpieczone i zweryfikowane przez dział IT sądu. Administrator wprowadził wprawdzie zakaz używania prywatnych nośników danych w celach służbowych, ale go nie egzekwował.

Sama analiza ryzyka nie wystarczy

Z tego względu w trakcie postępowania Prezes UODO zarzucił niewdrożenie odpowiednich środków bezpieczeństwa danych. Wprawdzie bowiem administrator był świadomy zagrożenia wiążącego się z używaniem prywatnych, niezabezpieczonych i niezweryfikowanych nośników danych. Wynikało to choćby z przeprowadzonej analizy ryzyka. Mimo tego ADO nie wyciągnął z tego żadnych wniosków

Uwaga

Przykładowo sąd mógł zastosować blokadę portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych.

PUODO: należy stosować służbowe pendrive’y

Z drugiej strony należało zapewnić, aby nośniki danych były wyłącznie służbowe i zabezpieczone przed dostępem nieuprawnionych osób na wypadek ich zgubienia lub pozostawienia bez nadzoru. W ten sposób sąd mógłby zauważalnie zminimalizować ryzyko wystąpienia naruszenia albo nawet całkowicie je wyeliminować.

Sąd naruszył regułę integralności i poufności

W konsekwencji stwierdzono naruszenie zasady integralności i poufności. Otóż dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo tych danych, w tym ochronę przed:

  • niedozwolonym lub niezgodnym z prawem przetwarzaniem,

  • przypadkową utratą, zniszczeniem lub uszkodzeniem,

  • za pomocą odpowiednich środków technicznych lub organizacyjnych.

W związku z tym w ocenie Prezesa UODO nałożenie administracyjnej kary pieniężnej było uzasadnione.

Źródło:
  • decyzja Prezesa UODO z 19 stycznia 2023 r. (DKN.5131.12.2020)

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x