Rzecznik Dyscyplinarny Izby Adwokackiej z karą od UODO

Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na Rzecznika Dyscyplinarnego Izby Adwokackiej karę administracyjną w wysokości ponad 23 tys. zł za naruszenie przepisów RODO, nie wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych.

  • Monika Świetlińska
  • /
  • 18 maja 2023

Za kontekstem tej kary leży naruszenie ochrony danych osobowych, które zostało zgłoszone przez administratora danych. Jak się okazało, naruszenie to było skutkiem otrzymania przez adresata uszkodzonej przesyłki, w której brakowało nośnika danych typu pendrive. Na tym nośniku znajdowało się nagranie rozprawy rozwodowej, zawierające dane osobowe kilku osób. Zarówno plik, jak i sam nośnik danych nie były zaszyfrowane, co stanowiło naruszenie wewnętrznych regulacji administratora dotyczących ochrony danych osobowych i zabezpieczania takich nośników.

Instytut Prawa Ochrony Danych Osobowych (IPODO). Nowa instytucja w PolsceInstytut Prawa Ochrony Danych Osobowych (IPODO). Nowa instytucja w PolsceAnna Petynia-Kawa

Naruszenie to podnosi wiele kwestii dotyczących oceny ryzyka, stosowania procedur i wdrażania środków bezpieczeństwa, które są kluczowe dla zapewnienia bezpieczeństwa danych osobowych. Poniżej przedstawiamy najważniejsze z tych kwestii, które każda organizacja, która przetwarza dane osobowe, powinna wziąć pod uwagę.

Samodzielna i prawidłowa ocena administratora

Pierwszym krokiem, który administrator musi podjąć, jest przeprowadzenie samodzielnej oceny ryzyka. Oznacza to, że musi on zidentyfikować wszystkie potencjalne zagrożenia dla bezpieczeństwa danych, które przetwarza, a następnie oszacować prawdopodobieństwo wystąpienia tych zagrożeń i potencjalne skutki dla praw i wolności osób, których dane dotyczą.

W przypadku Rzecznika Dyscyplinarnego Izby Adwokackiej, ocena ryzyka nie została przeprowadzona prawidłowo, gdyż skupiono się wyłącznie na ryzyku awarii nośnika, zamiast uwzględnić również ryzyko nieuprawnionego dostępu do danych w przypadku utraty lub kradzieży nośnika.

Procedury a postępowanie

Kolejnym krokiem jest opracowanie i wdrożenie procedur, które mają na celu zapobieganie zagrożeniom zidentyfikowanym podczas oceny ryzyka. W przypadku Izby Adwokackiej, procedury te przewidywały zabezpieczanie nośników danych przed wysyłką, a także używanie specjalnych kopert do zwiększenia bezpieczeństwa przesyłki.

Niemniej jednak, te procedury nie zostały właściwie przestrzegane. Zamiast specjalnej koperty, nośnik danych był zapakowany w plastikową koszulkę, a dane nie zostały zaszyfrowane przed wysyłką, co ostatecznie doprowadziło do naruszenia ochrony danych osobowych.

Jak sprawdzić, czy nasze dane osobowe wyciekły?Jak sprawdzić, czy nasze dane osobowe wyciekły?Jan Wróblewski

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

To zdarzenie pokazuje, że opracowanie i wdrożenie procedur to nie wszystko. Równie ważne jest zapewnienie, że te procedury są skutecznie stosowane i przestrzegane przez wszystkich pracowników organizacji. Bez tego, najbardziej szczegółowe i przemyślane procedury będą nieskuteczne.

Weryfikacja

Kolejnym istotnym aspektem jest weryfikacja, czy wprowadzone środki bezpieczeństwa są skuteczne i czy faktycznie ograniczają lub eliminują ryzyko związane z przetwarzaniem danych osobowych. UODO podkreśla, że wdrażanie odpowiednich środków technicznych i organizacyjnych to proces ciągły, który wymaga regularnej weryfikacji i aktualizacji w zależności od zmieniających się okoliczności.

W przypadku Rzecznika Dyscyplinarnego Izby Adwokackiej, weryfikacja środków bezpieczeństwa była niewystarczająca. Mimo że były one zdefiniowane w procedurach, praktyka pokazała, że nie były one skutecznie stosowane przez pracowników.

Nauka na przyszłość

Ta sytuacja jest przestrogą dla wszystkich organizacji przetwarzających dane osobowe. Przypomina o znaczeniu prawidłowej oceny ryzyka, efektywnego wdrażania procedur, a także o konieczności regularnej weryfikacji ich skuteczności. Każda organizacja musi zrozumieć, że ochrona danych osobowych nie jest jednorazowym działaniem, ale procesem, który wymaga ciągłego monitorowania, oceny i aktualizacji.

W związku z powyższym, UODO nakazał Rzecznikowi Dyscyplinarnemu Izby Adwokackiej dostosowanie operacji przetwarzania do przepisów RODO w ciągu 6 miesięcy od dnia doręczenia decyzji. Ta decyzja pokazuje determinację Urzędu w egzekwowaniu przestrzegania przepisów RODO i podkreśla wagę zapewnienia bezpieczeństwa przetwarzanych danych osobowych.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: UODO naruszenia RODO
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!