Obowiązek informacyjny rodo

KOMPAS FORSAFE 2023/11

Kraj:

Polska

Data wydania decyzji:

19.01.2023 r.

Podmiot kontrolowany:

Sąd Rejonowy Szczecin-Centrum w Szczecinie

Wysokość kary (EUR):

6.400

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, 2, art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez Sąd Rejonowy Szczecin-Centrum w Szczecinie wynikało z niewdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewniałyby odpowiedni poziom bezpieczeństwa danych. Konkretnie, dane osobowe były przechowywane na prywatnych, nieszyfrowanych nośnikach danych, co doprowadziło do ich zagubienia i naruszenia poufności.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: We wrześniu 2020 roku Sąd Rejonowy Szczecin-Centrum zgłosił zagubienie trzech nośników danych typu pendrive, z których jeden był służbowy i szyfrowany, a dwa prywatne i nieszyfrowane. Nośniki te zawierały dane osobowe nieustalonej liczby osób, w tym imiona, nazwiska, adresy zamieszkania, dane dotyczące zakładu pracy oraz zdrowia.
  2. Postępowanie wyjaśniające: Prezes Urzędu Ochrony Danych Osobowych przeprowadził postępowanie wyjaśniające, które wykazało, że Sąd nie wdrożył adekwatnych środków technicznych i organizacyjnych, mimo zaleceń z trzech różnych audytów.
  3. Środki podjęte przez Sąd: Po naruszeniu, Sąd zablokował porty USB w komputerach służbowych, uniemożliwiając korzystanie z nieautoryzowanych nośników danych. Wprowadzono również ewidencjonowanie i szyfrowanie przenośnych pamięci oraz przeprowadzono audyty bezpieczeństwa.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie środków technicznych: Zaleca się blokadę portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych oraz stosowanie wyłącznie szyfrowanych nośników danych autoryzowanych przez Dział IT.
  2. Regularne audyty i szkolenia: Konieczne jest przeprowadzanie regularnych audytów bezpieczeństwa oraz szkoleń dla pracowników z zakresu ochrony danych osobowych.
  3. Monitorowanie zgodności: Zaleca się regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków technicznych i organizacyjnych, aby zapewnić ciągłe bezpieczeństwo przetwarzanych danych osobowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO