Do Urzędu Ochrony Danych Osobowych 20 września 2020 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Sąd Rejonowy Szczecin-Centrum w Szczecinie. Do naruszenia doszło na skutek zagubienia trzech nośników danych typu pendrive: jednego służbowego – szyfrowanego oraz dwóch prywatnych – nieszyfrowanych
Na zagubionych nośnikach znajdowały się projekty orzeczeń i uzasadnień, zawierające dane osobowe (z okresu od grudnia 2004 r. do sierpnia 2020 r.).
Podczas prowadzonego postępowania ustalono wieloletnie korzystanie na służbowym sprzęcie komputerowym z prywatnych nośników, niezabezpieczonych i niezweryfikowanych przez dział IT szczecińskiego sądu.
Ponadto okazało się, że administrator pomimo istniejących procedur dotyczących zakazu użytkowania prywatnych nośników danych nie prowadził nadzoru nad tym, czy pracownicy sądu stosowali się do wewnętrznych uregulowań.
Organ stwierdził także, że administrator nie wdrożył adekwatnych środków technicznych, np. blokady portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych.
Administrator dopuszczający użytkowanie przenośnych nośników danych powinien zapewnić, aby były to nośniki służbowe zweryfikowane przez dział IT i zabezpieczane przed dostępem osób nieuprawnionych w przypadku ich zgubienia lub pozostawienia bez nadzoru.
Zdaniem UODO administrator przed wystąpieniem naruszenia był świadom zagrożenia, jakim było użytkowanie prywatnych, niezabezpieczonych i niezweryfikowanych nośników danych, o czym świadczyły wnioski z przeprowadzonych w sądzie audytów, przeprowadzona analiza ryzyka i wynikające z niej wnioski co do sposobu minimalizowania zidentyfikowanych zagrożeń, jak również podejmowane środki organizacyjne w postaci zakazu użytkowania prywatnych nośników danych określonych w regulaminie czy też nakazu użytkowania szyfrowanych nośników.
W związku z tym organ uznał za uzasadnione nałożenie administracyjnej kary pieniężnej.
LS
UODO