11 miesięcy temu
Stan faktyczny
Rzecznik Dyscyplinarny Izby Adwokackiej w X. (dalej: Administrator), w czerwcu 2021 r. dokonał zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) naruszenia ochrony danych osobowych. W zgłoszeniu naruszenia Administrator wskazał, iż w maju 2021 r. do siedziby Administratora zgłosił się obrońca obwinionego w postępowaniu dyscyplinarnym prowadzonym przed Rzecznikiem Dyscyplinarnym Izby Adwokackiej. Obrońca poinformował pracowników Administratora o otrzymaniu uszkodzonej przesyłki, w której wbrew treści pisma brakowało załącznika w postaci zewnętrznego nośnika danych (pendrive). Nośnik zawierał nagranie rozprawy rozwodowej z danymi osobowymi 8 osób w zakresie imienia, nazwiska, szczegółów dotyczących życia rodzinnego, relacji stron oraz podejrzeń o niewierność małżeńską.
W związku z ww. zgłoszeniem naruszenia Prezes UODO zwrócił się do Administratora o złożenie dodatkowych wyjaśnień w zakresie wskazania, czy zewnętrzny nośnik danych (pendrive), będący przedmiotem naruszenia, został zaszyfrowany zgodnie z procedurami, na które powołał się w punkcie 9A formularza zgłoszenia naruszenia. Administrator wskazał, iż przedmiotowy nośnik nie został zaszyfrowany.
UODO zwrócił się do Administratora z wezwaniem do:
- Wskazania, czy przed zaistniałym naruszeniem Administrator posiadał wdrożoną procedurę zarządzania zewnętrznymi nośnikami danych w zakresie ich zabezpieczenia oraz postępowania na wypadek zniszczenia lub kradzieży.
- Wskazania środków bezpieczeństwa technicznych oraz organizacyjnych dotychczas stosowanych w celu zabezpieczenia zewnętrznych nośników danych.
- Wskazania, czy przeprowadzono analizę ryzyka dla procesu przetwarzania danych osobowych za pośrednictwem zewnętrznych nośników danych.
- Wskazania, czy plik z nagraniem znajdujący się na utraconym zewnętrznym nośniku danych był zabezpieczony (np. dzięki hasła lub mechanizmu szyfrowania), skoro sam nośnik nie posiadał stosownych zabezpieczeń.
W związku ze zgłoszonym naruszeniem ochrony danych osobowych oraz wyjaśnieniami złożonymi przez Administratora, Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia obowiązków wynikających z art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), w związku z naruszeniem ochrony danych osobowych osób, których dane znajdowały się na nagraniu rozprawy rozwodowej, zamieszczonym na zagubionym zewnętrznym nośniku danych.
Z uzasadnienia decyzji Prezesa UODO
Administrator był zobowiązany do podjęcia działań zapewniających adekwatny poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. W ocenie Prezesa UODO błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia. Efektem powyższego było zmaterializowanie się ryzyka, w wyniku którego osoba (osoby) nieuprawniona uzyskała dostęp do danych zawartych w pliku znajdującym się na skradzionym (zagubionym) zewnętrznym nośniku danych.
W decyzji Prezesa UODO podkreślono, iż ochrona danych znajdujących się na zewnętrznych nośnikach danych musi skupiać się na prawidłowym zabezpieczeniu danych znajdujących się na takim nośniku przed nieuprawnionym dostępem osób trzecich w przypadku utracenia takiego nośnika, w wyniku kradzieży czy jego zgubienia. Tymczasem, Administrator przeprowadzając ocenę ryzyka, w opinii Prezesa UODO, skupił się jedynie na określeniu działania minimalizującego skutki wyłącznie w przypadku awarii nośnika, a więc naruszeniu dostępności danych, pomijając całkowicie działania minimalizujące konsekwencje naruszenia ich poufności.
W niniejszej sprawie administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO na podstawie art. 83 ust. 4 lit. a RODO, natomiast za naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO – na podstawie art. 83 ust. 5 lit. a RODO.
Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k RODO – wziął pod uwagę następujące okoliczności sprawy.
Stwierdzone naruszenie przepisów ochrony danych osobowych, którego skutkiem była możliwość uzyskania nieuprawnionego dostępu do danych znajdujących się w pliku z nagraniem rozprawy rozwodowej, umieszczonym na utraconym zewnętrznym nośniku danych, przez osobę bądź osoby nieuprawnione (naruszenie zasady poufności), miało znaczną wagę i poważny charakter. Naruszenie stwarzało wysokie ryzyko negatywnych skutków dla co najmniej 8 osób. Ponadto, do chwili wydania decyzji zaginiony zewnętrzny nośnik danych nie został odnaleziony, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na tym nośniku. Podkreślić również należy długi czas trwania naruszenia przepisów o ochronie danych osobowych, tj. od stycznia 2021 r., kiedy to Administrator przeprowadził w sposób nieprawidłowy analizę ryzyka.
Nieuprawniony dostęp do danych osobowych osób, których dane znajdują się na nagraniu rozprawy rozwodowej zamieszczonym na utraconym zewnętrznym nośniku danych, stał się możliwy na skutek niedochowania należytej staranności przez Administratora. W ocenie organu nadzorczego stanowi to o nieumyślnym charakterze naruszenia, wynikającym z niedbalstwa Administratora. Pomimo nieprawidłowo przeprowadzonej analizy ryzyka, Administrator posiadał jednak wdrożoną procedurę przesyłania zewnętrznych nośników danych wraz z określeniem środków organizacyjnych gwarantujących, w ocenie Administratora, odpowiedni stopień bezpieczeństwa danych przetwarzanych dzięki tych nośników. Pracownicy Administratora nie zastosowali się jednak do postanowień regulujących działania, jakie należy podjąć w celu zapewnienia bezpieczeństwa danych przesyłanych na zewnętrznym nośniku danych. W tym zakresie kwestionowane jest skuteczność szkoleń i samej procedury stosowanej przez Administratora.
Dane osobowe, znajdujące się na utraconym zewnętrznym nośniku danych, tj. imię i nazwisko, głos, dane dotyczące szczegółów życia rodzinnego, relacji stron oraz podejrzeń o niewierność małżeńską, co do zasady nie są uznawane za należące do szczególnych kategorii danych osobowych, jednakże kontekst charakteru wydarzenia, w ramach którego zostały utrwalone w formie nagrania, tj. rozprawy rozwodowej, może przesądzić o tym, iż będą one podlegać takiej ochronie, jak dane osobowe szczególnych kategorii, a w konsekwencji wiązać się będzie z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Świadczy o tym także przyjęty przez Administratora poziom ryzyka, który w pkt 8B formularza zgłoszenia naruszenia ochrony danych osobowych wskazał, iż naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wobec powyższego, nie można wykluczyć wystąpienia szkody niemajątkowej (krzywdy), gdyż osoby fizyczne, których dane znajdowały się na tym nośniku, mogą odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, dyskryminacją, a także naruszeniem dobrego imienia.
Prezes UODO, poza nałożeniem administracyjnej kary pieniężnej, dodatkowo nakazał Administratorowi dostosowanie operacji przetwarzania do przepisów RODO poprzez:
- a) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych dzięki zewnętrznych nośników danych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, dzięki zewnętrznych nośników danych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, w tym zagrożenia związane z przetwarzaniem danych osobowych dzięki zewnętrznych nośników danych, uwzględniając kradzież oraz zagubienie tych nośników,
- b) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, w terminie 6 miesięcy od dnia doręczenia niniejszej decyzji.
Komentarz
Dokonując oceny ryzyka i dobierając środki zapobiegawcze administrator powinien wziąć pod uwagę, iż kopie zapasowe danych powinny zostać zakwalifikowane jako środki minimalizujące skutki utraty dostępności danych. Nie oznacza to jednak, iż taki środek minimalizuje ryzyko wystąpienia możliwych konsekwencji w przypadku uzyskania dostępu do nośnika danych i przetwarzania danych osobowych w nim zawartych – czyli scenariusza, w którym dochodzi do naruszenia poufności danych.
![Wygraj bilety na Rawa Blues Festival 2024! [konkurs]](https://kulturalnemedia.pl/wp-content/uploads/2023/10/41.-Rawa-Blues-Festival-100.jpg)