"Decyzja o nałożeniu kary związana jest ze zgłoszeniem przez prezesa Sądu Rejonowego w Zgierzu naruszenia ochrony danych osobowych, polegającego na zagubieniu nieszyfrowanej przenośnej pamięci typu pendrive przez kuratora sądowego. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. Z uwagi na zakres ujawnionych danych osobowych, wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dlatego też administrator opublikował na stronie internetowej Sądu Rejonowego w Zgierzu komunikat o naruszeniu" - poinformowała Ewelina Janczylik-Foryś z Departamentu Komunikacji Społecznej UODO.
Jak dodała, zaginiony nośnik pamięci nie został do tej pory odnaleziony, więc w dalszym ciągu osoby nieuprawnione mogą mieć dostęp do znajdujących się na nim danych osobowych.
W toku postępowania UODO, prezes zgierskiego sądu wyjaśnił, że wdrożył system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych. Dokumentacja ta jest na bieżąco aktualizowana i audytowana przez powołanego do tego celu inspektora ochrony danych. Ponadto inspektor prowadził w sądzie m.in. szkolenia oraz doraźne kontrole.
Jednocześnie, zgodnie z obowiązującymi w zgierskim sądzie dokumentami, obowiązek zabezpieczenia nośników spoczywał na użytkownikach, zaś zdaniem UODO takie podejście jest niewłaściwe. Postępowanie wykazało, że administrator naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie.
Zdaniem UODO, szkolenia pracowników w zakresie ochrony danych osobowych nie powinny zastępować rozwiązań o charakterze technicznym, a tych administrator nie przewidział. W tej sprawie faktyczne zabezpieczanie nośnika pozostawiono jego użytkownikowi, nie wskazując żadnych przykładowych oraz adekwatnych zabezpieczeń, które pracownik może zastosować.
- Należy wskazać, że to administrator danych, nie zaś pracownik lub osoba wykonująca zadania służbowe, jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO
- zaznaczyła w komunikacie Janczylik-Foryś.
Za brak takich rozwiązań organ nadzorczy nałożył na prezesa Sądu Rejonowego w Zgierzu administracyjną karę w kwocie 10 tys. zł. Ustalając jej wysokość, UODO uwzględnił jako okoliczność łagodzącą dobrą współpracę administratora z organem nadzorczym.
