SKLEP RODO - Listy kontrolne i audytowe, wzory dokumentów, klauzule. Zakup gotowe rozwiązania!
SKLEP RODO - Listy kontrolne i audytowe, wzory dokumentów, klauzule. Zakup gotowe rozwiązania!
WEBINARY- Bezpłatne dla ABONENTÓW ODOSERWIS.pl, tematyczne spotkania online z ekspertami. Zobacz nadchodzące wydarzenia
WEBINARY- Bezpłatne dla ABONENTÓW ODOSERWIS.pl, tematyczne spotkania online z ekspertami. Zobacz nadchodzące wydarzenia
Audyty RODO, pełnienie funkcji IOD, profesjonalne doradztwo RODO - office@jds.com.pl
Audyty RODO, pełnienie funkcji IOD, profesjonalne doradztwo RODO - office@jds.com.pl
Lista kontrolna do przeprowadzenia wewnętrznego audytu zdalnego przez Inspektora Ochrony Danych
Lista kontrolna do przeprowadzenia wewnętrznego audytu zdalnego przez Inspektora Ochrony Danych
odoserwis.pl profesjonalny serwis o ochronie danych osobowych
odoserwis.pl profesjonalny serwis o ochronie danych osobowych
Moje konto

Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Zamów abonament
Artykuły i opinie

UODO nałożył karę w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie

23/02/2023

Urząd Ochrony Danych Osobowych stwierdził naruszenie przepisów RODO polegające na niewdrożeniu przez administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci.


UODO nałożył karę w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie

UODO nałożył karę w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie

W toku postępowania UODO ustalił, że wieloletnie korzystano na służbowym sprzęcie komputerowym z prywatnych nośników, niezabezpieczonych i niezweryfikowanych przez dział IT szczecińskiego sądu.

Ponadto administrator nie prowadził nadzoru nad przestrzeganiem przez pracowników sądu obowiązujących u niego procedur dotyczących zakazu użytkowania prywatnych nośników danych.

Zdaniem UODO administrator nie wdrożył adekwatnych środków technicznych, np. blokady portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych. Podkreślić należy, że administrator dopuszczający użytkowanie przenośnych nośników danych powinien zapewnić, aby były to nośniki służbowe zweryfikowane przez dział IT i zabezpieczane przed dostępem osób nieuprawnionych w przypadku ich zgubienia lub pozostawienia bez nadzoru.

 

UODO w uzasadnieniu decyzji w szczególności podkreślił następujące kwestie:

„(…) Administrator pomimo posiadanych procedur (zakaz użytkowania prywatnych nośników danych uregulowany w Regulaminie (…) Sądu) oraz posiadanej wiedzy o zagrożeniach (pochodzącej przede wszystkich z przeprowadzonych audytów), nie prowadził nadzoru nad tym, czy pracownicy Sądu do uregulowań wewnętrznych w tym zakresie się stosują, co świadczy o naruszeniu art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Dokonywanie przeglądów i aktualizacja wdrożonych środków organizacyjnych i technicznych jest również sformułowane wprost w art. 24 ust. 1 rozporządzenia 2016/697. Podkreślić także należy, że wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno ono przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Regularna ocena zastosowanych środków bezpieczeństwa, stosownie do art. 32 ust. 1 lit. d) rozporządzenia 2016/679, pozwoliłaby Administratorowi na weryfikację, czy wprowadzona procedura określająca zakaz użytkowania prywatnych nośników danych jest przestrzegana, a więc i skuteczna, a w konsekwencji dała możliwość stwierdzenia, czy podejmowane są właściwe działania mające na celu zapewnienie ochrony danych przetwarzanych przez pracowników Sądu. Należy zatem podkreślić, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, w tym skuteczności wdrożonych procedur, służy także zapewnieniu realizacji obowiązków Administratora i bezpieczeństwu przetwarzanych danych.

 

W stanie faktycznym przedmiotowej sprawy, w ocenie Prezesa UODO, weryfikacja sposobu realizacji (stosowania) środka organizacyjnego w postaci zakazu użytkowania prywatnych nośników danych, znacząco obniżyłoby ryzyko wystąpienia naruszenia albo doprowadziłoby do całkowitego jego wyeliminowania, np. poprzez zastosowanie środka technicznego w postaci blokady portów USB. Podkreślenia ponownego wymaga, że w wyniku przeprowadzonych w Sądzie audytów taka podatność została wskazana przez osoby je przeprowadzające (tj. brak zablokowanych portów USB uniemożliwiających korzystanie z prywatnych nośników danych), jak również zostały wydane zalecenia ich zablokowania. Ponadto, jako wniosek z przeprowadzonej (…) grudnia 2019 r. analizy ryzyka zostało wskazane, iż ryzyko naruszenia jest na poziomie akceptowalnym dla Administratora, to jednak „[w] celu zniwelowania ryzyka można wprowadzić blokadę używania nośników zewnętrznych lub obowiązek stosowania tylko szyfrowanych nośników danych”. Sąd natomiast, jako administrator danych, dopiero w październiku 2020 r. (tj. już po wystąpieniu naruszenia) zablokował porty USB dla nieautoryzowanych przez Dział IT nośników danych, uniemożliwiając korzystanie tym samym z prywatnych nośników danych przez pracowników Sądu.”

 

Przeczytaj w całości uzasadnienie decyzji https://odoserwis.pl/j/1009/decyzja-prezesa-urzedu-ochrony-danych-osobowych-z-dnia-19-stycznia-2023-rl

 

 

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

 

 

Zobacz również
APDCAT w Hiszpanii publikuje przewodnik dotyczący prywatności w fazie projektowania i domyślnej ochrony danych
Artykuły i opinie
APDCAT w Hiszpanii publikuje przewodnik dotyczący prywatności w fazie projektowania i domyślnej ochrony danych

Kataloński organ ochrony danych (APDCAT) opublikował przewodnik - Prywatność od samego początku i domyślna prywatność. Przewodnik programisty. W szczególności APDCAT podkreślił, że poradnik skierowany do osób, które opracowują nowe aplikacje i usługi ICT, które obejmują(...)

AEPD publikuje wpis na blogu dotyczący anonimizacji i ryzyka ponownej identyfikacji
Artykuły i opinie
AEPD publikuje wpis na blogu dotyczący anonimizacji i ryzyka ponownej identyfikacji

Hiszpański organ ochrony danych (AEPD) opublikował wpis na blogu zawierający listę zasobów przygotowanych przez niego lub przetłumaczonych, a także narzędzie do anonimizacji danych.

Portugalski organ ochrony danych (CNPD) publikuje wytyczne dotyczące środków bezpieczeństwa związanych z przetwarzaniem danych
Artykuły i opinie
Portugalski organ ochrony danych (CNPD) publikuje wytyczne dotyczące środków bezpieczeństwa związanych z przetwarzaniem danych

CNDP zatwierdził wytyczne/2023/1 w sprawie środków organizacyjnych i technicznych mających zastosowanie do przetwarzania danych osobowych, skierowane do administratorów i podmiotów przetwarzających, mające na celu przypomnienie jakie są obowiązki w dziedzinie bezpieczeń(...)

do góry

Informujemy, iż zgodnie z przepisem art. 25 ust. 1 pkt. 1 lit. b ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz. U. 2006 r. Nr 90 poz. 631), dalsze rozpowszechnianie artykułów i porad prawnych publikowanych w niniejszym serwisie jest zabronione.

© 2014 Copyright Odoserwis.pl

evostudio.pl adic.pl