Prezes Urzędu Ochrony Danych Osobowych ukarał Prezesa Sądu Rejonowego w Zgierzu.
Brak odpowiednich zabezpieczeń
Administrator nie może wyręczać się pracownikiem w ustalaniu sposobów zabezpieczenia danych – uznał Naczelny Sąd Administracyjny i podtrzymał karę w wysokości 10 tys. zł nałożoną na Prezesa Sądu Rejonowego w Zgierzu.Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, Prezes Sądu Rejonowego w Zgierzu, nie dopełnił swoich obowiązków jako administrator danych. Ustalono, że administrator niewłaściwie wdrożył zabezpieczenia techniczne i organizacyjne.
Otóż zgodnie z procedurami funkcjonującymi w sądzie w Zgierzu obowiązek zabezpieczenia służbowego nośnika zawierającego dane osobowe spoczywał na samych użytkownikach (pracownikach). Obowiązek ewidencjonowania i szyfrowania nośników został zaś wprowadzony dopiero po tym, jak kurator zgubił swój pendrive.
- czytamy na stronie UODO.
Wcześniej pracownicy zostali po prostu przeszkoleni w zakresie ochrony danych, ale jak zauważył Prezes UODO, jednorazowe szkolenie nie wystarczy.
Nie gwarantuje, że pracownik nie będzie przenosić danych na niezabezpieczonym nośniku. W tym przypadku pracownik chronił dane, nosząc pendrive w zamykanej torbie.
- wskazuje UODO.
Kara za brak odpowiedniej ochrony danych osobowych
Cała sprawa zaczęła się w lutym 2020 r. kiedy kurator sądowy w Zgierzu zgubił niezaszyfrowanego pendrive’a z danymi osobowymi 400 osób. Były tam: imiona i nazwiska, daty urodzenia, adresy zamieszkania lub pobytu, numery PESEL, dane o zarobkach i/lub majątku, numeru dowodów osobistych, telefonów, dane o zdrowiu i wyrokach skazujących.Administratorem danych był Prezes Sądu Rejonowego w Zgierzu i to on zawiadomił Urzędu Ochrony Danych Osobowych. Prezes UODO stwierdził naruszenie przepisów RODO i nałożył na podmiot (tj. Prezesa Sądu Rejonowego w Zgierzu) karę w wysokości 10 tys. zł.
Prezes sądu zaskarżył tę decyzję do Wojewódzkiego Sądu Administracyjnego, a kiedy ten poparł zasadność nałożenia kary, administrator wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego, gdzie również spotkał się z odmową.
W sprawie nie chodziło o karę za to, że administrator nie zapobiegł zagubieniu nośników, lecz o ochronę danych osobowych w przypadku zagubienia nośników.
- podkreśla UODO.
Komentarze (0)
Wysyłając komentarz akceptujesz regulamin serwisu. Zgodnie z art. 24 ust. 1 pkt 3 i 4 ustawy o ochronie danych osobowych, podanie danych jest dobrowolne, Użytkownikowi przysługuje prawo dostępu do treści swoich danych i ich poprawiania. Jak to zrobić dowiesz się w zakładce polityka prywatności.