Zarejestruj się i uzyskaj dostęp do licznych narzędzi

UODO nałożył karę w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie

23/02/2023

Urząd Ochrony Danych Osobowych stwierdził naruszenie przepisów RODO polegające na niewdrożeniu przez administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci.


UODO nałożył karę w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie

UODO nałożył karę w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie

W toku postępowania UODO ustalił, że wieloletnie korzystano na służbowym sprzęcie komputerowym z prywatnych nośników, niezabezpieczonych i niezweryfikowanych przez dział IT szczecińskiego sądu.

Ponadto administrator nie prowadził nadzoru nad przestrzeganiem przez pracowników sądu obowiązujących u niego procedur dotyczących zakazu użytkowania prywatnych nośników danych.

Zdaniem UODO administrator nie wdrożył adekwatnych środków technicznych, np. blokady portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych. Podkreślić należy, że administrator dopuszczający użytkowanie przenośnych nośników danych powinien zapewnić, aby były to nośniki służbowe zweryfikowane przez dział IT i zabezpieczane przed dostępem osób nieuprawnionych w przypadku ich zgubienia lub pozostawienia bez nadzoru.

 

UODO w uzasadnieniu decyzji w szczególności podkreślił następujące kwestie:

„(…) Administrator pomimo posiadanych procedur (zakaz użytkowania prywatnych nośników danych uregulowany w Regulaminie (…) Sądu) oraz posiadanej wiedzy o zagrożeniach (pochodzącej przede wszystkich z przeprowadzonych audytów), nie prowadził nadzoru nad tym, czy pracownicy Sądu do uregulowań wewnętrznych w tym zakresie się stosują, co świadczy o naruszeniu art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Dokonywanie przeglądów i aktualizacja wdrożonych środków organizacyjnych i technicznych jest również sformułowane wprost w art. 24 ust. 1 rozporządzenia 2016/697. Podkreślić także należy, że wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno ono przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Regularna ocena zastosowanych środków bezpieczeństwa, stosownie do art. 32 ust. 1 lit. d) rozporządzenia 2016/679, pozwoliłaby Administratorowi na weryfikację, czy wprowadzona procedura określająca zakaz użytkowania prywatnych nośników danych jest przestrzegana, a więc i skuteczna, a w konsekwencji dała możliwość stwierdzenia, czy podejmowane są właściwe działania mające na celu zapewnienie ochrony danych przetwarzanych przez pracowników Sądu. Należy zatem podkreślić, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, w tym skuteczności wdrożonych procedur, służy także zapewnieniu realizacji obowiązków Administratora i bezpieczeństwu przetwarzanych danych.

 

W stanie faktycznym przedmiotowej sprawy, w ocenie Prezesa UODO, weryfikacja sposobu realizacji (stosowania) środka organizacyjnego w postaci zakazu użytkowania prywatnych nośników danych, znacząco obniżyłoby ryzyko wystąpienia naruszenia albo doprowadziłoby do całkowitego jego wyeliminowania, np. poprzez zastosowanie środka technicznego w postaci blokady portów USB. Podkreślenia ponownego wymaga, że w wyniku przeprowadzonych w Sądzie audytów taka podatność została wskazana przez osoby je przeprowadzające (tj. brak zablokowanych portów USB uniemożliwiających korzystanie z prywatnych nośników danych), jak również zostały wydane zalecenia ich zablokowania. Ponadto, jako wniosek z przeprowadzonej (…) grudnia 2019 r. analizy ryzyka zostało wskazane, iż ryzyko naruszenia jest na poziomie akceptowalnym dla Administratora, to jednak „[w] celu zniwelowania ryzyka można wprowadzić blokadę używania nośników zewnętrznych lub obowiązek stosowania tylko szyfrowanych nośników danych”. Sąd natomiast, jako administrator danych, dopiero w październiku 2020 r. (tj. już po wystąpieniu naruszenia) zablokował porty USB dla nieautoryzowanych przez Dział IT nośników danych, uniemożliwiając korzystanie tym samym z prywatnych nośników danych przez pracowników Sądu.”

 

Przeczytaj w całości uzasadnienie decyzji https://odoserwis.pl/j/1009/decyzja-prezesa-urzedu-ochrony-danych-osobowych-z-dnia-19-stycznia-2023-rl

 

 

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

 

 

ICO wydaje Wytyczne dotyczące bezpiecznego wysyłania emaili
ICO wydaje Wytyczne dotyczące bezpiecznego wysyłania emaili
Krajowa Agencja ds. Cyberbezpieczeństwa i Informacji Czech przygotowała materiały pomocnicze do ochrony przed zagrożeniem ze strony komputerów kwantowych
Krajowa Agencja ds. Cyberbezpieczeństwa i Informacji Czech przygotowała materiały pomocnicze do ochrony przed zagrożeniem ze strony komputerów kwantowych
BSI publikuje zaktualizowany standard dotyczący zarządzania ciągłością działania przedsiębiorstwa
BSI publikuje zaktualizowany standard dotyczący zarządzania ciągłością działania przedsiębiorstwa