SKLEP RODO - Listy kontrolne i audytowe, wzory dokumentów, klauzule. Zakup gotowe rozwiązania!
SKLEP RODO - Listy kontrolne i audytowe, wzory dokumentów, klauzule. Zakup gotowe rozwiązania!
WEBINARY- Bezpłatne dla ABONENTÓW ODOSERWIS.pl, tematyczne spotkania online z ekspertami. Zobacz nadchodzące wydarzenia
WEBINARY- Bezpłatne dla ABONENTÓW ODOSERWIS.pl, tematyczne spotkania online z ekspertami. Zobacz nadchodzące wydarzenia
Audyty RODO, pełnienie funkcji IOD, profesjonalne doradztwo RODO - office@jds.com.pl
Audyty RODO, pełnienie funkcji IOD, profesjonalne doradztwo RODO - office@jds.com.pl
Lista kontrolna do przeprowadzenia wewnętrznego audytu zdalnego przez Inspektora Ochrony Danych
Lista kontrolna do przeprowadzenia wewnętrznego audytu zdalnego przez Inspektora Ochrony Danych
odoserwis.pl profesjonalny serwis o ochronie danych osobowych
odoserwis.pl profesjonalny serwis o ochronie danych osobowych
ZAPISZ SIĘ DO AKADEMII ZAWODOWEJ INSPEKTORA OCHRONY DANYCH
ZAPISZ SIĘ DO AKADEMII ZAWODOWEJ INSPEKTORA OCHRONY DANYCH
Moje konto

Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Zamów abonament
Artykuły i opinie

UODO nałożył karę w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie

23/02/2023

Urząd Ochrony Danych Osobowych stwierdził naruszenie przepisów RODO polegające na niewdrożeniu przez administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci.


UODO nałożył karę w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie

UODO nałożył karę w wysokości 30 tys. zł na Sąd Rejonowy Szczecin-Centrum w Szczecinie

W toku postępowania UODO ustalił, że wieloletnie korzystano na służbowym sprzęcie komputerowym z prywatnych nośników, niezabezpieczonych i niezweryfikowanych przez dział IT szczecińskiego sądu.

Ponadto administrator nie prowadził nadzoru nad przestrzeganiem przez pracowników sądu obowiązujących u niego procedur dotyczących zakazu użytkowania prywatnych nośników danych.

Zdaniem UODO administrator nie wdrożył adekwatnych środków technicznych, np. blokady portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych. Podkreślić należy, że administrator dopuszczający użytkowanie przenośnych nośników danych powinien zapewnić, aby były to nośniki służbowe zweryfikowane przez dział IT i zabezpieczane przed dostępem osób nieuprawnionych w przypadku ich zgubienia lub pozostawienia bez nadzoru.

 

UODO w uzasadnieniu decyzji w szczególności podkreślił następujące kwestie:

„(…) Administrator pomimo posiadanych procedur (zakaz użytkowania prywatnych nośników danych uregulowany w Regulaminie (…) Sądu) oraz posiadanej wiedzy o zagrożeniach (pochodzącej przede wszystkich z przeprowadzonych audytów), nie prowadził nadzoru nad tym, czy pracownicy Sądu do uregulowań wewnętrznych w tym zakresie się stosują, co świadczy o naruszeniu art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Dokonywanie przeglądów i aktualizacja wdrożonych środków organizacyjnych i technicznych jest również sformułowane wprost w art. 24 ust. 1 rozporządzenia 2016/697. Podkreślić także należy, że wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno ono przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Regularna ocena zastosowanych środków bezpieczeństwa, stosownie do art. 32 ust. 1 lit. d) rozporządzenia 2016/679, pozwoliłaby Administratorowi na weryfikację, czy wprowadzona procedura określająca zakaz użytkowania prywatnych nośników danych jest przestrzegana, a więc i skuteczna, a w konsekwencji dała możliwość stwierdzenia, czy podejmowane są właściwe działania mające na celu zapewnienie ochrony danych przetwarzanych przez pracowników Sądu. Należy zatem podkreślić, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, w tym skuteczności wdrożonych procedur, służy także zapewnieniu realizacji obowiązków Administratora i bezpieczeństwu przetwarzanych danych.

 

W stanie faktycznym przedmiotowej sprawy, w ocenie Prezesa UODO, weryfikacja sposobu realizacji (stosowania) środka organizacyjnego w postaci zakazu użytkowania prywatnych nośników danych, znacząco obniżyłoby ryzyko wystąpienia naruszenia albo doprowadziłoby do całkowitego jego wyeliminowania, np. poprzez zastosowanie środka technicznego w postaci blokady portów USB. Podkreślenia ponownego wymaga, że w wyniku przeprowadzonych w Sądzie audytów taka podatność została wskazana przez osoby je przeprowadzające (tj. brak zablokowanych portów USB uniemożliwiających korzystanie z prywatnych nośników danych), jak również zostały wydane zalecenia ich zablokowania. Ponadto, jako wniosek z przeprowadzonej (…) grudnia 2019 r. analizy ryzyka zostało wskazane, iż ryzyko naruszenia jest na poziomie akceptowalnym dla Administratora, to jednak „[w] celu zniwelowania ryzyka można wprowadzić blokadę używania nośników zewnętrznych lub obowiązek stosowania tylko szyfrowanych nośników danych”. Sąd natomiast, jako administrator danych, dopiero w październiku 2020 r. (tj. już po wystąpieniu naruszenia) zablokował porty USB dla nieautoryzowanych przez Dział IT nośników danych, uniemożliwiając korzystanie tym samym z prywatnych nośników danych przez pracowników Sądu.”

 

Przeczytaj w całości uzasadnienie decyzji https://odoserwis.pl/j/1009/decyzja-prezesa-urzedu-ochrony-danych-osobowych-z-dnia-19-stycznia-2023-rl

 

 

Jeżeli chcesz być informowany na bieżąco o naszych publikacjach dołącz do nas i polub nas na Facebooku https://www.facebook.com/odoserwis.pl.2016/

-----------------------------------------------------

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

 

 

Zobacz również
ICO wydaje Wytyczne dotyczące bezpiecznego wysyłania emaili
Artykuły i opinie
ICO wydaje Wytyczne dotyczące bezpiecznego wysyłania emaili

Biuro Komisarza Informacji (Information Commissioner's Office, ICO) w Wielkiej Brytanii niedawno opublikowało obszerny zestaw wytycznych dotyczących bezpiecznej transmisji emaili zawierających wrażliwe dane osobowe. Ta inicjatywa powstała jako odpowiedź na niepokojący w(...)

Krajowa Agencja ds. Cyberbezpieczeństwa i Informacji Czech przygotowała materiały pomocnicze do ochrony przed zagrożeniem ze strony komputerów kwantowych
Artykuły i opinie
Krajowa Agencja ds. Cyberbezpieczeństwa i Informacji Czech przygotowała materiały pomocnicze do ochrony przed zagrożeniem ze strony komputerów kwantowych

Komputery kwantowe przeżywają obecnie wielki boom. Jednak wraz z ewolucją ich możliwości rośnie zagrożenie, jakie komputery kwantowe stanowią dla obecnych standardów cyberbezpieczeństwa w cyberbezpieczeństwie. W odpowiedzi Krajowa Agencja ds. Cyberbezpieczeństwa i Infor(...)

BSI publikuje zaktualizowany standard dotyczący zarządzania ciągłością działania przedsiębiorstwa
Artykuły i opinie
BSI publikuje zaktualizowany standard dotyczący zarządzania ciągłością działania przedsiębiorstwa

Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) opublikował zaktualizowany standard BSI 200-4 dotyczący zarządzania ciągłością działania przedsiębiorstwa. Standard ten oferuje praktyczne instrukcje dotyczące wdrażania i ustanawiania Systemu Zarządzania Ciągłością Dz(...)

do góry

Informujemy, iż zgodnie z przepisem art. 25 ust. 1 pkt. 1 lit. b ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz. U. 2006 r. Nr 90 poz. 631), dalsze rozpowszechnianie artykułów i porad prawnych publikowanych w niniejszym serwisie jest zabronione.

© 2014 Copyright Odoserwis.pl

evostudio.pl adic.pl