Rzecznik Dyscyplinarny Izby Adwokackiej z karą od UODO
Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na Rzecznika Dyscyplinarnego Izby Adwokackiej karę administracyjną w wysokości ponad 23 tys. zł za naruszenie przepisów RODO, nie wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych.
- Monika Świetlińska
- /
- 18 maja 2023
Za kontekstem tej kary leży naruszenie ochrony danych osobowych, które zostało zgłoszone przez administratora danych. Jak się okazało, naruszenie to było skutkiem otrzymania przez adresata uszkodzonej przesyłki, w której brakowało nośnika danych typu pendrive. Na tym nośniku znajdowało się nagranie rozprawy rozwodowej, zawierające dane osobowe kilku osób. Zarówno plik, jak i sam nośnik danych nie były zaszyfrowane, co stanowiło naruszenie wewnętrznych regulacji administratora dotyczących ochrony danych osobowych i zabezpieczania takich nośników.
Instytut Prawa Ochrony Danych Osobowych (IPODO). Nowa instytucja w PolsceAnna Petynia-Kawa
Naruszenie to podnosi wiele kwestii dotyczących oceny ryzyka, stosowania procedur i wdrażania środków bezpieczeństwa, które są kluczowe dla zapewnienia bezpieczeństwa danych osobowych. Poniżej przedstawiamy najważniejsze z tych kwestii, które każda organizacja, która przetwarza dane osobowe, powinna wziąć pod uwagę.
Samodzielna i prawidłowa ocena administratora
Pierwszym krokiem, który administrator musi podjąć, jest przeprowadzenie samodzielnej oceny ryzyka. Oznacza to, że musi on zidentyfikować wszystkie potencjalne zagrożenia dla bezpieczeństwa danych, które przetwarza, a następnie oszacować prawdopodobieństwo wystąpienia tych zagrożeń i potencjalne skutki dla praw i wolności osób, których dane dotyczą.
W przypadku Rzecznika Dyscyplinarnego Izby Adwokackiej, ocena ryzyka nie została przeprowadzona prawidłowo, gdyż skupiono się wyłącznie na ryzyku awarii nośnika, zamiast uwzględnić również ryzyko nieuprawnionego dostępu do danych w przypadku utraty lub kradzieży nośnika.
Procedury a postępowanie
Kolejnym krokiem jest opracowanie i wdrożenie procedur, które mają na celu zapobieganie zagrożeniom zidentyfikowanym podczas oceny ryzyka. W przypadku Izby Adwokackiej, procedury te przewidywały zabezpieczanie nośników danych przed wysyłką, a także używanie specjalnych kopert do zwiększenia bezpieczeństwa przesyłki.
Niemniej jednak, te procedury nie zostały właściwie przestrzegane. Zamiast specjalnej koperty, nośnik danych był zapakowany w plastikową koszulkę, a dane nie zostały zaszyfrowane przed wysyłką, co ostatecznie doprowadziło do naruszenia ochrony danych osobowych.
Jak sprawdzić, czy nasze dane osobowe wyciekły?Jan Wróblewski
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
To zdarzenie pokazuje, że opracowanie i wdrożenie procedur to nie wszystko. Równie ważne jest zapewnienie, że te procedury są skutecznie stosowane i przestrzegane przez wszystkich pracowników organizacji. Bez tego, najbardziej szczegółowe i przemyślane procedury będą nieskuteczne.
Weryfikacja
Kolejnym istotnym aspektem jest weryfikacja, czy wprowadzone środki bezpieczeństwa są skuteczne i czy faktycznie ograniczają lub eliminują ryzyko związane z przetwarzaniem danych osobowych. UODO podkreśla, że wdrażanie odpowiednich środków technicznych i organizacyjnych to proces ciągły, który wymaga regularnej weryfikacji i aktualizacji w zależności od zmieniających się okoliczności.
W przypadku Rzecznika Dyscyplinarnego Izby Adwokackiej, weryfikacja środków bezpieczeństwa była niewystarczająca. Mimo że były one zdefiniowane w procedurach, praktyka pokazała, że nie były one skutecznie stosowane przez pracowników.
Nauka na przyszłość
Ta sytuacja jest przestrogą dla wszystkich organizacji przetwarzających dane osobowe. Przypomina o znaczeniu prawidłowej oceny ryzyka, efektywnego wdrażania procedur, a także o konieczności regularnej weryfikacji ich skuteczności. Każda organizacja musi zrozumieć, że ochrona danych osobowych nie jest jednorazowym działaniem, ale procesem, który wymaga ciągłego monitorowania, oceny i aktualizacji.
W związku z powyższym, UODO nakazał Rzecznikowi Dyscyplinarnemu Izby Adwokackiej dostosowanie operacji przetwarzania do przepisów RODO w ciągu 6 miesięcy od dnia doręczenia decyzji. Ta decyzja pokazuje determinację Urzędu w egzekwowaniu przestrzegania przepisów RODO i podkreśla wagę zapewnienia bezpieczeństwa przetwarzanych danych osobowych.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?