Postępowanie w sprawie zostało wszczęte przez UODO w wyniku otrzymania zawiadomienia o wystąpieniu naruszenia ochrony danych osobowych.
Zdarzenie polegało na wysyłce przez administratora danych paczki zawierającej dane osobowe, która ostatecznie dotarła do adresata uszkodzona, tj. w szczególności w przesyłce brakowało nośnika danych typu pendrive. Z uwagi na brak zaszyfrowania zarówno całego urządzenia, jak i bezpośrednio samego pliku znajdującego na nośniku, należało stwierdzić, iż doszło do sytuacji, o której mowa w art. 4 pkt 12) RODO, tj. naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Należy podkreślić, że zgodnie z art. 32 RODO administrator danych zobowiązany jest, by podczas przetwarzania danych osobowych zastosowane zostały odpowiednie środki techniczne i organizacyjne, odpowiadające ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. W praktyce w niniejszej sprawie administrator danych powinien był w pierwszej kolejności określić z jakim ryzykiem wiąże się przesyłanie danych osobowych zapisanych na nośniku danych typu pendrive, a następnie zastosować takie środki organizacyjne i techniczne, by w odpowiedni sposób zabezpieczyć przetwarzane dane osobowe.
Procedury przyjęte, a co z ich stosowaniem?
W trakcie postepowania Urząd Ochrony Danych Osobowych (UODO) stwierdził, iż administrator danych prawidłowo wdrożył niezbędne procedury, mające na celu spełnienie wymogów określonych w przepisach RODO, w tym w zakresie obowiązku zastosowania takich środków technicznych i organizacyjnych, by w odpowiednim stopniu chronić przetwarzane dane osobowe. Niestety administrator nie zweryfikował, czy wszystkie osoby dopuszczone do przetwarzania danych osobowych stosują się do przyjętych procedur. W efekcie okazało się, że mimo obowiązku zaszyfrowania nośnika danych przed jego wysyłką, pracownicy administratora zastosowali rozwiązanie niezgodne z wewnętrzną procedurą, co bezpośrednio przyczyniło się do wystąpienia naruszenia ochrony danych.
Komentarz Auraco:
Przedmiotowa sprawa zwraca uwagę na problem, który wbrew pozorom w dalszym ciągu możemy zaobserwować u wielu administratorów danych lub podmiotów przetwarzających, mimo obowiązku stosowania przepisów RODO już od ponad 5 lat. Należy podkreślić, że stosowanie odpowiednich środków technicznych i organizacyjnych zgodnie z obowiązkiem wynikającym z art. 32 RODO polega nie tylko na ich jednorazowym wdrożeniu, ale również na regularnym monitorowaniu stosowanych rozwiązań, w szczególności celem wykrycia ewentualnych nieprawidłowości zarówno w zakresie przyjętych zabezpieczeń, jak również ich praktycznego stosowania. Jedynym w pełni kompletnym rozwiązaniem jest w tym przypadku przeprowadzanie regularnych audytów w organizacji, dzięki czemu możliwa jest weryfikacja, czy jakiekolwiek obszary działalności wymagają wprowadzenia modyfikacji, w szczególności w zakresie usunięcia wykrytych niezgodności. Ponadto cykliczna weryfikacja pomaga również ocenić, czy w związku z operacjami przetwarzania planowanymi w przyszłości, nie jest niezbędne wdrożenie dodatkowych środków zapewniających odpowiednie bezpieczeństwo danych osobowych, które mają być przetwarzane.