Niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych – to powód nałożenia przez prezesa Urzędu Ochrony Danych Osobowych kary w wysokości ponad 23 tys. zł na rzecznika dyscyplinarnego jednej z izb adwokackich.
Postępowanie zostało zainicjowane po tym, jak w czerwcu 2021 r. obrońca obwinionego w postępowaniu dyscyplinarnym poinformował rzecznika dyscyplinarnego o otrzymaniu z jego kancelarii uszkodzonej przesyłki. Wbrew treści pisma przewodniego brakowało w niej załącznika w postaci pendrive’a. Nośnik ten zawierał nagranie rozprawy rozwodowej z danymi osobowymi ośmiu osób w zakresie imienia, nazwiska, szczegółów dotyczących życia rodzinnego, relacji stron oraz podejrzeń o niewierność małżeńską.
Rzecznik dyscyplinarny, będący w tej sprawie także administratorem danych osobowych, powiadomił o incydencie prezesa UODO. Postępowanie wykazało, że administrator posiadał wewnętrzne regulacje dotyczące polityki bezpieczeństwa oraz ochrony danych, w praktyce nie były one jednak przestrzegane przez pracowników jego kancelarii. Po pierwsze, dane na nośniku nie zostały zaszyfrowane. Po drugie, nie zastosowano specjalnej koperty, która poprawiłaby bezpieczeństwo przesyłki – zamiast tego nośnik umieszczono w szczelnie zaszytej zszywkami plastikowej koszulce, którą przymocowano do pisma przewodniego oraz umieszczono w zwykłej kopercie.
W decyzji prezes UODO przypomniał, że zgodnie z rozporządzeniem 2016/679 o ochronie danych (RODO) administrator powinien przeprowadzić analizę ryzyka, a następnie określić adekwatne środki bezpieczeństwa. W uzasadnieniu czytamy: „samo wprowadzenie zapisów dotyczących stosowania środków organizacyjnych i technicznych (…) nie zwalnia administratora z weryfikacji, czy przyjęte (…) środki bezpieczeństwa ograniczają bądź całkowicie eliminują ryzyka związane z przetwarzaniem danych przy wykorzystaniu zewnętrznych nośników danych, w tym ryzyko utraty poufności danych w wyniku kradzieży lub zagubienia takiego nośnika”.
Poza nałożeniem kary prezes UODO zobowiązał rzecznika do dostosowania operacji przetwarzania danych do wymogów RODO w terminie sześciu miesięcy.©℗