Czym grozi niezabezpieczony pendrive?
Twoi pracownicy przetwarzają dane osobowe przy użyciu przenośnych nośników pamięci? Zadbaj o odpowiednie zabezpieczenie tych urządzeń na wypadek ich zaginięcia lub kradzieży!
Taki wniosek należy wyciągnąć z decyzji Prezesa Urzędu Ochrony Danych Osobowych nakładającej na Prezesa Sądu Rejonowego w Zgierzu administracyjną karę pieniężną w wysokości 10 000 zł.
Sprawa dotyczyła zagubienia przez kuratora sądowego nieszyfrowanej przenośnej pamięci zewnętrznej typu pendrive. W toku postępowania Prezes Urzędu Ochrony Danych Osobowych ustalił, że Prezes Sądu Rejonowego w Zgierzu będąc administratorem danych osobowych nie zastosował żadnych zabezpieczeń technicznych w postaci przykładowo szyfrowania pamięci przenośnych, które w przypadku ich zagubienia chroniłyby dane osobowe przed dostępem nieuprawnionych osób.
Kluczową regulację w niniejszej sprawie stanowił art. 5 ust. 1 lit. f RODO, zgodnie z którym dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Co więcej, w myśl art. 24 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Z kolei art. 25 ust. 1 RODO stanowi, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Pamiętać należy także, że zgodnie z art. 32 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Natomiast w myśl art. 32 ust. 2 RODO, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Poufność danych to właściwość zapewniająca w szczególności, że dane nie zostaną udostępnione nieuprawnionym podmiotom, uzyskiwana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych administrator nie może ograniczać się wyłącznie do przeprowadzenia szkoleń dla pracowników dotyczących zagrożeń związanych z przetwarzaniem danych przy użyciu przenośnych pamięci zewnętrznych i pozostawiać decyzji użytkownika nośnika sposób jego zabezpieczenia technicznego.
Prezes Urzędu Ochrony Danych Osobowych podkreślił, że efektem przeprowadzonej przez administratora analizy ryzyka winien być odpowiedni dobór konkretnych środków zarówno technicznych, jak i organizacyjnych, które zminimalizują zidentyfikowane ryzyka. Pozostawiając kwestię doboru i wdrożenia środków zabezpieczających decyzji osoby, która otrzymała do użytku niezabezpieczoną pamięć przenośną, Prezes Sądu Rejonowego w Zgierzu pozbawił się dostępu do podstawowych i kluczowych informacji, niezbędnych w kontekście realizacji obowiązków wynikających z art. 32 ust. 2 rozporządzenia 2016/679. Tym samym takie rozwiązanie podważa skuteczność wdrożonego przez administratora systemu ochrony danych osobowych.
Jeśli chcą Państwo uzyskać więcej informacji o właściwym zabezpieczeniu danych osobowych przetwarzanych w Państwa firmie, zapraszamy do kontaktu z adwokatem Marcinem Barczykiem (mail: mbarczyk@kbzlegal.pl ) lub radcą prawnym Katarzyną Todos (mail: ktodos@kbzlegal.pl).
Zapraszamy się również do zapoznania się naszą ofertą w zakresie ochrony danych osobowych.
Latest Posts
by KBZ LegalINDUSTRIAL MEET UP 3.0
INDUSTRIAL MEET UP 3.0 po raz kolejny udowodnił, że śląski przemysł nie tylko skutecznie reaguje na zmiany, ale coraz częściej je wyprzedza. Tegoroczna...
by Joanna BorońUpadłość Cinkciarz.pl – co dalej z jednym z największych kantorów internetowych w Polsce?
Sąd Rejonowy w Zielonej Górze ogłosił 27.10.2025 r. upadłość spółki Cinkciarz.pl i wyznaczył syndyka, którego zadaniem będzie zaspokojenie wierzycieli...