Prezes Urzędu Ochrony Danych Osobowych („Prezes UODO”) nałożył administracyjną karę pieniężną w wysokości 10 000 zł na Prezesa Sądu Rejonowego za brak zabezpieczeń służbowych nośników danych. Kara została wydana w związku ze zgłoszeniem przez Prezesa Sądu, będącego administratorem danych, naruszenia ochrony danych osobowych polegającego na zagubieniu pendrive’a przez kuratora sądowego. Pendrive zawierał niezaszyfrowane dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym.
W toku postępowania prowadzonego w wyniku dokonanego zgłoszenia naruszenia Prezes UODO ustalił, że obowiązujące u administratora procedury nakładały na użytkowników obowiązek zabezpieczenia nośników danych. W opinii Prezesa UODO takie postępowanie jest niewłaściwe, gdyż obowiązek podjęcia odpowiednich środków organizacyjno-technicznych w celu zabezpieczenia danych spoczywa na administratorze. Prezes Sądu polecił faktyczne zabezpieczanie nośnika jego użytkownikowi, nie wskazując przy tym żadnych przykładowych oraz adekwatnych zabezpieczeń, które pracownik może zastosować. W ocenie Prezesa UODO działania tego typu nie mogą zatem zostać uznane jako wdrożenie odpowiednich środków technicznych czy organizacyjnych, gdyż pracownicy mogą nie posiadać wiedzy, jak odpowiednio należy zabezpieczać nośniki z danymi osobowymi lub mogą zwyczajnie zignorować takie polecenie. Kara została ostatecznie nałożona na Prezesa Sądu, gdyż obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych gwarantujących przetwarzanie danych zgodnie z wymaganiami RODO ciąży na administratorze danych, a nie na ich użytkowniku.
Prezes UODO w wydanej decyzji podkreślił także, że szkolenia dla personelu dotyczącego potencjalnych zagrożeń w odniesieniu do zakresu oraz charakteru danych osobowych przetwarzanych przy użyciu nośników danych nie są środkiem organizacyjnym pozwalającym na dostateczne obniżenie czy wyeliminowanie ryzyka zagubienia nośnika. Ponadto, szkolenie nie zastąpi rozwiązań o charakterze technicznym, których w omawianej sprawie nie przewidziano. Wśród przetwarzanych danych przez sądy (w tym kuratorów sądowych) znajdują się dane szczególnych kategorii (art. 9 RODO) oraz dane dot. wyroków skazujących (art. 10 RODO), zatem ich zabezpieczenie powinno obejmować wprowadzenie zdecydowanie wyższego poziomu ochrony tych danych osobowych.
Na kanwie poprzednich decyzji Prezesa UODO należy także przypomnieć, że wdrożenie określonych środków bezpieczeństwa nie jest jedynym obowiązkiem administratora w kwestii bezpieczeństwa danych. Administrator powinien także regularnie testować, mierzyć i oceniać skuteczność wdrożonych środków technicznych i organizacyjnych oraz dostosowywać je w miarę zmiany oceny ryzyka.
W wyniku utraty pendrive’a Prezes Sądu dopuścił się naruszenia m.in. zasady poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Brak szyfrowania oraz charakter przetwarzanych danych w opinii Prezesa UODO decydowały o wysokim ryzyku naruszenia praw lub wolności osób fizycznych.
Przy ustalaniu wysokości kary Prezes UODO wziął m.in. po uwagę następujące okoliczności:
a) Charakter i szeroki zakres udostępnionych danych, tj.: imiona i nazwiska, daty urodzenia, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, dane dotyczące zarobków lub posiadanego majątku, serie i numery dowodów osobistych, numery telefonów, dane dotyczące zdrowia oraz dane dotyczących wyroków skazujących, dotyczące 400 osób fizycznych pozostających pod nadzorem kuratora; tak szeroki zakres danych w opinii Prezesa UODO stwarza realną możliwość wykorzystania tych danych przez podmioty trzecie, np. w celu zaciągnięcia zobowiązań w imieniu tych osób (kradzież tożsamości).
b) długi czas trwania naruszenia – zaginiony pendrive nie został do tej pory odnaleziony, więc osoby nieuprawnione nadal mogą mieć dostęp do danych osobowych znajdujących się na tym pendrive. Ponadto, wprowadzenie ewidencjonowania i szyfrowania nośników danych zostało wprowadzone dopiero w lutym 2020 r. (po powstaniu naruszenia).
c) powstanie szkody niemajątkowej - osoby fizyczne, których dane pozyskano w wyniku naruszenia ochrony danych mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową;
d) dobrą współpracę Prezesa Sądu z Prezesem UODO podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków - Prezes Sądu w terminie 8 dni od wystąpienia naruszenia wprowadził nowe zasady postępowania z pamięciami przenośnymi, następnie w terminie kolejnych 14 dni wprowadził ewidencjonowanie i szyfrowanie użytkowanych przenośnych pamięci oraz powiadomił osoby fizyczne o wystąpieniu naruszenia ochrony ich danych osobowych poprzez zamieszczenie komunikatu o stwierdzonym naruszeniu ochrony danych osobowych.
Z uwagi na to, że Prezes Sądu jest organem jednostki sektora finansów publicznych, zastosowanie znalazł art. 102 z dnia 10 maja 2018 r. o ochronie danych osobowych, z którego wynika ograniczenie wysokości kary finansowej do 100.000 zł. Nałożona kara finansowa w wysokości 10 000 zł stanowi zatem 10% maksymalnej wysokości kary, jaką można nałożyć na jednostkę sektora finansów publicznych.
Niniejsza decyzja ma szczególne znaczenie w warunkach pracy zdalnej. Polecenie służbowe dokonania odpowiednich zabezpieczeń narzędzi pracy, w tym nośników danych, wykorzystywanych podczas pracy zdalnej przez pracowników, nie będzie zwalniało administratora (pracodawcy) z odpowiedzialności za wdrożenie odpowiednich środków bezpieczeństwa danych. Administrator musi wskazać konkretne środki i sposoby ich realizacji przez użytkowników danych oraz przeprowadzać ich regularne kontrole. Z przywołanej decyzji wynika także, że zabezpieczenie sposobu przechowywania nośników danych (przechowywania nośników w zamykanej torbie służbowej) nie jest tożsame z zabezpieczeniem samego nośnika. Wprowadzone środki muszą zapewniać realną ochronę danych. Przeprowadzenie jedynie szkolenia dla personelu nie będzie wystarczające w każdym przypadku, bowiem nie uwzględnia zabezpieczeń o charakterze technicznym.