Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/45

Kraj:

Polska

Data wydania decyzji:

13.07.2021 r.

Podmiot kontrolowany:

Prezes Sądu Rejonowego w Zgierzu

Wysokość kary (EUR):

2.200

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 25 ust. 1, art. 32 ust. 1 lit. b) i d), art. 32 ust. 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez Prezesa Sądu Rejonowego w Zgierzu wynikało z niewdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewniałyby odpowiedni poziom bezpieczeństwa danych przetwarzanych na przenośnych pamięciach zewnętrznych. W szczególności brakowało zabezpieczeń takich jak szyfrowanie danych, co skutkowało utratą niezabezpieczonego pendrive’a zawierającego dane osobowe.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: W lutym 2020 roku Prezes Sądu Rejonowego w Zgierzu zgłosił naruszenie ochrony danych osobowych 400 osób, które były objęte nadzorem kuratorskim. Dane te obejmowały imiona, nazwiska, daty urodzenia, adresy, numery PESEL, dane dotyczące zarobków, majątku, zdrowia oraz wyroków skazujących.
  2. Incydent: Naruszenie polegało na zagubieniu nieszyfrowanej przenośnej pamięci zewnętrznej typu pendrive przez kuratora sądowego.
  3. Działania podjęte przez Prezesa Sądu: Prezes Sądu opublikował komunikat na stronie internetowej, informując o możliwym wykorzystaniu danych i zalecając czujność oraz zgłaszanie ewentualnych prób wykorzystania danych.
  4. Dalsze kroki: Prezes Urzędu Ochrony Danych Osobowych (UODO) wystąpił o ponowne powiadomienie osób fizycznych oraz złożenie dodatkowych wyjaśnień dotyczących procedur zabezpieczania danych. W odpowiedzi Prezes Sądu wdrożył procedury korzystania z zewnętrznych nośników pamięci oraz zabezpieczania danych, a także zaktualizował regulamin ochrony danych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie odpowiednich środków technicznych: Stosowanie szyfrowania danych na przenośnych nośnikach pamięci oraz ewidencjonowanie i zabezpieczanie nośników hasłem.
  2. Regularne testowanie i ocena skuteczności zabezpieczeń: Regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków technicznych i organizacyjnych.
  3. Szkolenia dla personelu: Przeprowadzanie regularnych szkoleń dla pracowników dotyczących ochrony danych osobowych oraz procedur postępowania z danymi.
  4. Dokumentowanie analizy ryzyka: Analiza ryzyka powinna być dokładnie udokumentowana, uwzględniając charakterystykę procesów przetwarzania danych oraz potencjalne zagrożenia.
  5. Monitorowanie i aktualizacja procedur: Procedury ochrony danych powinny być regularnie przeglądane i aktualizowane w celu zapewnienia ich adekwatności do zmieniających się zagrożeń i technologii.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO