BLOG

Dowiedz się co jest naprawdę ważne.

RZECZNIK DYSCYPLINARNY IZBY ADWOKACKIEJ UKARANY PRZEZ PREZESA (UODO)

Auraco, rodo, kara, uodo
RZECZNIK DYSCYPLINARNY IZBY ADWOKACKIEJ UKARANY PRZEZ PREZESA URZĘDU OCHRONY DANYCH OSOBOWYCH

Postępowanie w sprawie zostało wszczęte przez UODO w wyniku otrzymania zawiadomienia o wystąpieniu naruszenia ochrony danych osobowych.

Zdarzenie polegało na wysyłce przez administratora danych paczki zawierającej dane osobowe, która ostatecznie dotarła do adresata uszkodzona, tj. w szczególności w przesyłce brakowało nośnika danych typu pendrive. Z uwagi na brak zaszyfrowania zarówno całego urządzenia, jak i bezpośrednio samego pliku znajdującego na nośniku, należało stwierdzić, iż doszło do sytuacji, o której mowa w art. 4 pkt 12) RODO, tj. naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Należy podkreślić, że zgodnie z art. 32 RODO administrator danych zobowiązany jest, by podczas przetwarzania danych osobowych zastosowane zostały odpowiednie środki techniczne i organizacyjne, odpowiadające ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. W praktyce w niniejszej sprawie administrator danych powinien był w pierwszej kolejności określić z jakim ryzykiem wiąże się przesyłanie danych osobowych zapisanych na nośniku danych typu pendrive, a następnie zastosować takie środki organizacyjne i techniczne, by w odpowiedni sposób zabezpieczyć przetwarzane dane osobowe.

Procedury przyjęte, a co z ich stosowaniem?

W trakcie postepowania Urząd Ochrony Danych Osobowych (UODO) stwierdził, iż administrator danych prawidłowo wdrożył niezbędne procedury, mające na celu spełnienie wymogów określonych w przepisach RODO, w tym w zakresie obowiązku zastosowania takich środków technicznych i organizacyjnych, by w odpowiednim stopniu chronić przetwarzane dane osobowe. Niestety administrator nie zweryfikował, czy wszystkie osoby dopuszczone do przetwarzania danych osobowych stosują się do przyjętych procedur. W efekcie okazało się, że mimo obowiązku zaszyfrowania nośnika danych przed jego wysyłką, pracownicy administratora zastosowali rozwiązanie niezgodne z wewnętrzną procedurą, co bezpośrednio przyczyniło się do wystąpienia naruszenia ochrony danych.

Komentarz Auraco:

Przedmiotowa sprawa zwraca uwagę na problem, który wbrew pozorom w dalszym ciągu możemy zaobserwować u wielu administratorów danych lub podmiotów przetwarzających, mimo obowiązku stosowania przepisów RODO już od ponad 5 lat. Należy podkreślić, że stosowanie odpowiednich środków technicznych i organizacyjnych zgodnie z obowiązkiem wynikającym z art. 32 RODO polega nie tylko na ich jednorazowym wdrożeniu, ale również na regularnym monitorowaniu stosowanych rozwiązań, w szczególności celem wykrycia ewentualnych nieprawidłowości zarówno w zakresie przyjętych zabezpieczeń, jak również ich praktycznego stosowania. Jedynym w pełni kompletnym rozwiązaniem jest w tym przypadku przeprowadzanie regularnych audytów w organizacji, dzięki czemu możliwa jest weryfikacja, czy jakiekolwiek obszary działalności wymagają wprowadzenia modyfikacji, w szczególności w zakresie usunięcia wykrytych niezgodności. Ponadto cykliczna weryfikacja pomaga również ocenić, czy w związku z operacjami przetwarzania planowanymi w przyszłości, nie jest niezbędne wdrożenie dodatkowych środków zapewniających odpowiednie bezpieczeństwo danych osobowych, które mają być przetwarzane.

Źródło: https://www.uodo.gov.pl/decyzje/DKN.5131.31.2022

Dodaj komentarz

*