Zagubiony pendrive – administrator ukarany przez UODO

• 26.08.2021

• Autor: Michał Madecki

• Sankcje, kary finansowe RODO

Zgubienie służbowego pendrive’a niesie za sobą nie tylko biznesowe ryzyko utraty istotnych informacji, ale może także stanowić incydent bezpieczeństwa – naruszenia ochrony danych osobowych, które rodzi określone konsekwencje na gruncie RODO, m. in. nałożenie kary przez Prezesa Urzędu Ochrony Danych Osobowych. Administratorzy powinni przywiązywać dużą wagę do odpowiedniego zabezpieczania służbowych nośników informacji. Takiej uwagi zabrakło w przypadku Sądu Rejonowego w Zgierzu – UODO poinformował o nałożeniu kary finansowej na Prezesa tego sądu w wysokości 10 000 zł.

Incydent bezpieczeństwa polegał na zgubieniu przez kuratora sądowego pendrive’a, na którym przechowywano dane 400 osób podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. Prezes Sądu Rejonowego w Zgierzu zgłosił naruszenie do UODO oraz opublikował na swojej stronie internetowej informację o tym zdarzeniu.

W komunikacji z urzędem sąd wskazywał, że wdrożył odpowiednie procedury postępowania z danymi osobowymi, szkoli pracowników sądu stacjonarnie oraz e-learningowo w zakresie ochrony danych osobowych oraz obowiązujących w sądzie zasad postępowania z danymi osobowymi.

UODO dopatrzył się naruszenia zasady poufności i integralności danych osobowych przez Prezesa Sądu Rejonowego w Zgierzu. Naruszenie to zdaniem UODO miało polegać na tym, że kuratorom sądowym zostały wydane pendrive’y oraz zostali oni zobowiązani do wdrożenia zabezpieczeń tych nośników pamięci we własnym zakresie. Sam administrator nie wdrożył jednak odpowiednich środków technicznych. W  konsekwencji, gdy doszło do zagubienia niezabezpieczonego pendrive’a,  nieuprawnione osoby mogły uzyskać dostęp do znacznej ilości poufnych danych osobowych.

UODO przypomniał, że to na administratorze ciąży obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych. Nie wystarczy, że administrator zobowiąże  swoich pracowników do samodzielnego wdrożenia takich środków, zwłaszcza że pracownicy zwykle nie dysponują fachową wiedzą o odpowiednich zabezpieczeniach.

Okiem informatyka:

Komentarz Wiesława Krawczyńskiego

W opisanym przypadku można było uniknąć tego incydentu. Zakładając, że dane osobowe musiały być przenoszone na pendrive, wystarczyło wdrożyć narzędzia do szyfrowania danych, które były przenoszone na nośniki zewnętrzne oraz wprowadzić procedurę monitorowania stosowania tego zabezpieczenia. Jeszcze lepszym rozwiązaniem, które zapobiegłoby powstaniu sytuacji opisanej w tym artykule byłoby wdrożenie rozwiązania informatycznego klasy DLP (Data Loss Prevention). To rozwiązanie informatyczne służące do ochrony danych – zapobiegania utracie danych. Dobrze wdrożony system DLP uniemożliwia kopiowanie wrażliwych danych na nośniki zewnętrzne bez ich zaszyfrowania. Zapobiega zarówno wyciekom przypadkowym, wynikającym na przykład z nieostrożności pracowników, jak i celowym (kradzieży danych).

Wiesław Krawczyński Certyfikowany Audytor Systemu Zarządzania Bezpieczeństwem Informacji wg normy ISO 27001. Posiada doświadczenie w projektowaniu i audycie systemów z zakresu ISO 22301 oraz regulacji prawnych np. RODO, ustawy o krajowym systemie cyberbezpieczeństwa czy rozporządzeniu w sprawie Krajowych Ram Interoperacyjności.

Autor

Michał Madecki

Certyfikowany Inspektor Ochrony Danych. Doświadczenie zawodowe zdobywał podczas pracy w Urzędzie Ochronie Danych Osobowych oraz kancelariach prawnych specjalizujących się w prawie ochrony danych osobowych, e-privacy, prawie własności intelektualnej, e-commerce, prawie pracy oraz obsłudze prawnej spółek handlowych. Brał udział w opiniowaniu projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.