Prezes sądu wymagał od pracowników, a sam przepisów nie przestrzegał. Kara jest sroga

Pendrive — to małe urządzenie, a jego zgubienie okazało się wielkim problemem. To dlatego, że na pendrivie, o którym piszemy, znajdowały się dane dotyczące 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. I zgubił go kurator, który podlega prezesowi sądu.

Prezes sądu wymagał od pracowników, a sam przepisów nie przestrzegał. Kara jest sroga
  • Monika Świetlińska
  • /
  • 20 sierpnia 2021

Wyciekły dane 400 osób

Prezes Sądu Rejonowego w Zgierzu (łódzkie) zgłosił do Urzędu Ochrony Danych Osobowych zagubienie nieszyfrowanej przenośnej pamięci typu pendrive przez kuratora sądowego.

- Z uwagi na zakres ujawnionych danych osobowych, wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dlatego też administrator (od red. Prezes Sądu Rejonowego w Zgierzu) opublikował na stronie internetowej Sądu Rejonowego w Zgierzu komunikat o naruszeniu — przekazał UODO.

Prezes kazał, a sam nie stosował się do przepisów

Kontrola organu wskazała, że sam prezes nie zabezpieczał służbowych nośników z danymi, a jedynie polecał pracownikom, by sami to robili. Tak samo było w przypadku zaginionego pendrive'a.

Jak złożyć skargę do UODO?Jak złożyć skargę do UODO?Martyna Kowalska

- Postępowanie wykazało, że administrator naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem braku wprowadzenia odpowiednich środków organizacyjnych i technicznych, w przypadku zagubienia takiego nośnika przez kuratora sądowego, jest umożliwienie osobom nieuprawnionym dostępu do danych osobowych znajdujących się na nim — poinformował urząd.

Tymczasem, jak podaje organ nadzorczy, to on, jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych.

Samo szkolenie pracowników nie wystarczy

Co prawda, administrator danych zapewnił, że wdrożył system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych. Dokumentacja ta jest na bieżąco aktualizowana i audytowana przez powołanego do tego celu inspektora ochrony danych.

10 wskazówek, jak korzystać z praw gwarantowanych przez RODO10 wskazówek, jak korzystać z praw gwarantowanych przez RODORafał Stępniewski

Organizował też szkolenia dla pracowników sądu (w tym kuratorów). W sądzie obowiązywała zasada, że to użytkownicy odpowiadają za zabezpieczenia nośników.

- Zdaniem UODO takie podejście jest niewłaściwe. Ponadto samych szkoleń nie można uznać za odpowiednie środki organizacyjne w tym konkretnym przypadku i nie powinny one zastąpić także rozwiązań o charakterze technicznym, których administrator nie przewidział — dowiadujemy się z informacji urzędu.

Zaginiony i niezabezpieczony nośnik pamięci nie został do tej pory odnaleziony. W dalszym ciągu osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na nim.

- Ustalając wysokość administracyjnej kary pieniężnej, UODO uwzględnił jako okoliczność łagodzącą dobrą współpracę prezesa sądu z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków — przekazuje urząd.

Organ nadzorczy nałożył na prezesa sądu administracyjną karę pieniężną w kwocie 10 tys. zł.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami prawnymi, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych - poniżej masz szybkie linki do udostępnień.

Czy ten artykuł był przydatny?

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!