by KBZ Legal

Bez kategorii31 sierpnia 20210 comments

Czym grozi niezabezpieczony pendrive?

Twoi pracownicy przetwarzają dane osobowe przy użyciu przenośnych nośników pamięci? Zadbaj o odpowiednie zabezpieczenie tych urządzeń na wypadek ich zaginięcia lub kradzieży!

Taki wniosek należy wyciągnąć z decyzji Prezesa Urzędu Ochrony Danych Osobowych nakładającej na Prezesa Sądu Rejonowego w Zgierzu administracyjną karę pieniężną w wysokości 10 000 zł.

Sprawa dotyczyła zagubienia przez kuratora sądowego nieszyfrowanej przenośnej pamięci zewnętrznej typu pendrive. W toku postępowania Prezes Urzędu Ochrony Danych Osobowych ustalił, że Prezes Sądu Rejonowego w Zgierzu będąc administratorem danych osobowych nie zastosował żadnych zabezpieczeń technicznych w postaci przykładowo szyfrowania pamięci przenośnych, które w przypadku ich zagubienia chroniłyby dane osobowe przed dostępem nieuprawnionych osób.

Kluczową regulację w niniejszej sprawie stanowił  art. 5 ust. 1 lit. f RODO, zgodnie z którym dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Co więcej, w myśl art. 24 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i  cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i  organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Z kolei art. 25 ust. 1 RODO stanowi, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i  organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Pamiętać należy także, że zgodnie z art. 32 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Natomiast w myśl art. 32 ust. 2 RODO, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z  przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Poufność danych to właściwość zapewniająca w szczególności, że dane nie zostaną udostępnione nieuprawnionym podmiotom, uzyskiwana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych administrator nie może ograniczać się wyłącznie do przeprowadzenia szkoleń dla pracowników dotyczących zagrożeń związanych z przetwarzaniem danych przy użyciu przenośnych pamięci zewnętrznych i pozostawiać decyzji użytkownika nośnika sposób jego zabezpieczenia technicznego.

Prezes Urzędu Ochrony Danych Osobowych podkreślił, że efektem przeprowadzonej przez administratora analizy ryzyka winien być odpowiedni dobór konkretnych środków zarówno technicznych, jak i organizacyjnych, które zminimalizują zidentyfikowane ryzyka.  Pozostawiając kwestię doboru i wdrożenia środków zabezpieczających decyzji osoby, która otrzymała do użytku niezabezpieczoną pamięć przenośną, Prezes Sądu Rejonowego w Zgierzu pozbawił się dostępu do podstawowych i kluczowych informacji, niezbędnych w kontekście realizacji obowiązków wynikających z art. 32 ust. 2 rozporządzenia 2016/679. Tym samym takie rozwiązanie podważa skuteczność wdrożonego przez administratora systemu ochrony danych osobowych.

Jeśli chcą Państwo uzyskać więcej informacji o właściwym zabezpieczeniu danych osobowych przetwarzanych w Państwa firmie, zapraszamy do kontaktu z adwokatem Marcinem Barczykiem (mail: mbarczyk@kbzlegal.pl ) lub radcą prawnym Katarzyną Todos (mail: ktodos@kbzlegal.pl).

Zapraszamy się również do zapoznania się naszą ofertą w zakresie ochrony danych osobowych.