SKLEP RODO - Listy kontrolne i audytowe, wzory dokumentów, klauzule. Zakup gotowe rozwiązania!
SKLEP RODO - Listy kontrolne i audytowe, wzory dokumentów, klauzule. Zakup gotowe rozwiązania!
WEBINARY- tematyczne spotkania online z ekspertami. Zobacz nadchodzące wydarzenia
WEBINARY- tematyczne spotkania online z ekspertami. Zobacz nadchodzące wydarzenia
Audyty RODO, pełnienie funkcji IOD, profesjonalne doradztwo RODO - office@jds.com.pl
Audyty RODO, pełnienie funkcji IOD, profesjonalne doradztwo RODO - office@jds.com.pl
Lista kontrolna do przeprowadzenia wewnętrznego audytu zdalnego przez Inspektora Ochrony Danych
Lista kontrolna do przeprowadzenia wewnętrznego audytu zdalnego przez Inspektora Ochrony Danych
odoserwis.pl profesjonalny serwis o ochronie danych osobowych
odoserwis.pl profesjonalny serwis o ochronie danych osobowych
Moje konto

Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Zamów abonament
Artykuły i opinie

UODO nałożył karę w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie

23/02/2023

Urząd Ochrony Danych Osobowych stwierdził naruszenie przepisów RODO polegające na niewdrożeniu przez administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci.


UODO nałożył karę w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie

UODO nałożył karę w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie

W toku postępowania UODO ustalił, że wieloletnie korzystano na służbowym sprzęcie komputerowym z prywatnych nośników, niezabezpieczonych i niezweryfikowanych przez dział IT szczecińskiego sądu.

Ponadto administrator nie prowadził nadzoru nad przestrzeganiem przez pracowników sądu obowiązujących u niego procedur dotyczących zakazu użytkowania prywatnych nośników danych.

Zdaniem UODO administrator nie wdrożył adekwatnych środków technicznych, np. blokady portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych. Podkreślić należy, że administrator dopuszczający użytkowanie przenośnych nośników danych powinien zapewnić, aby były to nośniki służbowe zweryfikowane przez dział IT i zabezpieczane przed dostępem osób nieuprawnionych w przypadku ich zgubienia lub pozostawienia bez nadzoru.

 

UODO w uzasadnieniu decyzji w szczególności podkreślił następujące kwestie:

„(…) Administrator pomimo posiadanych procedur (zakaz użytkowania prywatnych nośników danych uregulowany w Regulaminie (…) Sądu) oraz posiadanej wiedzy o zagrożeniach (pochodzącej przede wszystkich z przeprowadzonych audytów), nie prowadził nadzoru nad tym, czy pracownicy Sądu do uregulowań wewnętrznych w tym zakresie się stosują, co świadczy o naruszeniu art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Dokonywanie przeglądów i aktualizacja wdrożonych środków organizacyjnych i technicznych jest również sformułowane wprost w art. 24 ust. 1 rozporządzenia 2016/697. Podkreślić także należy, że wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno ono przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Regularna ocena zastosowanych środków bezpieczeństwa, stosownie do art. 32 ust. 1 lit. d) rozporządzenia 2016/679, pozwoliłaby Administratorowi na weryfikację, czy wprowadzona procedura określająca zakaz użytkowania prywatnych nośników danych jest przestrzegana, a więc i skuteczna, a w konsekwencji dała możliwość stwierdzenia, czy podejmowane są właściwe działania mające na celu zapewnienie ochrony danych przetwarzanych przez pracowników Sądu. Należy zatem podkreślić, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, w tym skuteczności wdrożonych procedur, służy także zapewnieniu realizacji obowiązków Administratora i bezpieczeństwu przetwarzanych danych.

 

W stanie faktycznym przedmiotowej sprawy, w ocenie Prezesa UODO, weryfikacja sposobu realizacji (stosowania) środka organizacyjnego w postaci zakazu użytkowania prywatnych nośników danych, znacząco obniżyłoby ryzyko wystąpienia naruszenia albo doprowadziłoby do całkowitego jego wyeliminowania, np. poprzez zastosowanie środka technicznego w postaci blokady portów USB. Podkreślenia ponownego wymaga, że w wyniku przeprowadzonych w Sądzie audytów taka podatność została wskazana przez osoby je przeprowadzające (tj. brak zablokowanych portów USB uniemożliwiających korzystanie z prywatnych nośników danych), jak również zostały wydane zalecenia ich zablokowania. Ponadto, jako wniosek z przeprowadzonej (…) grudnia 2019 r. analizy ryzyka zostało wskazane, iż ryzyko naruszenia jest na poziomie akceptowalnym dla Administratora, to jednak „[w] celu zniwelowania ryzyka można wprowadzić blokadę używania nośników zewnętrznych lub obowiązek stosowania tylko szyfrowanych nośników danych”. Sąd natomiast, jako administrator danych, dopiero w październiku 2020 r. (tj. już po wystąpieniu naruszenia) zablokował porty USB dla nieautoryzowanych przez Dział IT nośników danych, uniemożliwiając korzystanie tym samym z prywatnych nośników danych przez pracowników Sądu.”

 

Przeczytaj w całości uzasadnienie decyzji https://odoserwis.pl/j/1009/decyzja-prezesa-urzedu-ochrony-danych-osobowych-z-dnia-19-stycznia-2023-rl

 

 

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

 

 

Zobacz również
Sztuczna inteligencja – środek do zwiększenia cyberbezpieczeństwa czy dodatkowe zagrożenie?
Artykuły i opinie
Sztuczna inteligencja – środek do zwiększenia cyberbezpieczeństwa czy dodatkowe zagrożenie?

Narzędzia i systemy AI mogą zarówno zwiększać poziom cyberbezpieczeństwa, jak wręcz przeciwnie – ułatwiać przeprowadzanie cyberataków na szeroką skalę. Europejski Miesiąc Cyberbezpieczeństwa to dobra okazja, by przyjrzeć się tej kwestii. Właśnie dlatego na stronie Europ(...)

UODO ostrzega: wiele firm z sektora MŚP może stać się łatwym łupem dla hakerów. Warto zadbać o lepszą ochronę danych osobowych
Artykuły i opinie
UODO ostrzega: wiele firm z sektora MŚP może stać się łatwym łupem dla hakerów. Warto zadbać o lepszą ochronę danych osobowych

65% najmniejszych i 44% największych podmiotów MŚP nie przestrzega podstawowej zasady cyberbezpieczeństwa. To jeden z wniosków płynących z badania przeprowadzonego przez serwis ChronPESEL.pl i Krajowy Rejestr Długów pod patronatem Urzędu Ochrony Danych Osobowych. UODO o(...)

Dania: Nowa usługa ostrzegania dla MŚP w celu zwalczania luk w zabezpieczeniach
Artykuły i opinie
Dania: Nowa usługa ostrzegania dla MŚP w celu zwalczania luk w zabezpieczeniach

Została uruchomiona nowa usługa dla MŚP w Danii, która umożliwia im pozostanie o krok przed cyberzagrożeniami dzięki ostrzeżeniom o lukach w zabezpieczeniach

do góry

Informujemy, iż zgodnie z przepisem art. 25 ust. 1 pkt. 1 lit. b ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz. U. 2006 r. Nr 90 poz. 631), dalsze rozpowszechnianie artykułów i porad prawnych publikowanych w niniejszym serwisie jest zabronione.

© 2014 Copyright Odoserwis.pl

evostudio.pl adic.pl