Wydanie niezabezpieczonego pendriva podstawą nałożenia kary na Prezesa Sądu
20-04-2022, Ochrona danych osobowych
W lutym tego roku WSA w Warszawie utrzymał decyzję PUODO nakładającą karę pieniężną na Prezesa Sądu Rejonowego w Zgierzu za naruszenie zasady poufności i integralności danych.
Naruszenie polegało na wydaniu kuratorowi sądowemu niezabezpieczonego nośnika danych w postaci pendriva. Na tym pendrivie zostały zapisane dane 400 osób podlegających nadzorowi kuratorskiemu. Pendrive następnie został przez tegoż kuratora zgubiony.
Prezes Sadu wskazał, że działaniami podjętymi po jego stronie w celu zabezpieczenia nośnika były:
- Wdrożone u niego procedury - Polityka Bezpieczeństwa, zgodnie z którą nie można przechowywać danych służbowych na nośnikach prywatnych, oraz Instrukcja Zarzadzania Systemem Informatycznym, zgodnie z którą na użytkowniku nośnika spoczywa obowiązek jego zabezpieczenia;
- Szkolenia z zakresu ochrony danych osobowych prowadzone przez platformę e-learningowa i kończące się testem wiedzy, którego zaliczenie jest wymagane dla uzyskania upoważnienia do przetwarzania danych;
- Przeprowadzenie analiza ryzyka, w której zagrożenie związane z tym nośnikiem (jego zgubieniem) zostało ocenione jako średnie, a jako środek zaradczy, który miał je zminimalizować, przyjęto wspomniane szkolenia.
- Doraźne kontrole Prezesa wraz z IODO w poszczególnych wydziałach. Jednakże tutaj brak było dokumentacji, która potwierdzałaby jakiekolwiek testowanie, mierzenie, czy ocenianie.
- Już po naruszeniu – wszystkie nośniki zostały zabezpieczone aplikacją szyfrującą.
PUODO stwierdził, iż, zgodnie z przepisami, to na administratorze danych ciąży obowiązek wdrożenia odpowiednich zabezpieczeń, w tym technicznych, oraz ich stałego monitorowania. Scedowanie tego obowiązku na użytkownika nośnika jest nieprawidłowe także dlatego, że:
- Pozbawia administratora wiedzy i kontroli nad tym jakie zabezpieczenie zostanie wprowadzone i czy będzie to miało miejsce w sposób właściwy.
- Użytkownik może nie mieć odpowiedniej wiedzy albo narzędzi do wdrożenia wymaganego zabezpieczenia.
Same działania organizacyjne w postaci szkoleń, choć potrzebne, nie stanowiły wystarczających, adekwatnych działań po stronie administratora, a pendrive powinien zostać przez niego zabezpieczony przed wydaniem do użytku. W tym też zakresie analiza ryzyka nie została przez Prezesa przeprowadzona prawidłowo.
Ponadto, w Polityce oraz Instrukcji brak było uregulowań zapewniających regularne testowanie skuteczności zabezpieczeń, a także choćby wskazania przykładowych zabezpieczeń, które powinny zostać zastosowane przez użytkowników.
Wszystko to potwierdza, że administrator danych nie może poprzestać na ogólnikach, ale sam musi zadbać o zastosowanie odpowiednich zabezpieczeń dla używanych nośników danych. Jeżeli nie ma on odpowiedniej wiedzy w tym zakresie powinien posłużyć się merytorycznym wsparciem, np. z zakresu IT. Jednak odpowiedzialność za adekwatność zastosowanych środków spoczywa na administratorze. Nie wystarczy też wdrożyć u siebie jakiekolwiek procedury, ale konieczne są takie, które rzetelnie i realistycznie oceniają poziom ryzyka i przyjęte narzędzia minimalizujące to ryzyko. Jednocześnie, taka dokumentacja, jeżeli jest prawidłowo sporządzona, może być bardzo pomocna w wyśledzeniu miejsc gdzie ochrona danych w organizacji wymaga wzmocnienia.