Prezes UODO nałożył karę pieniężną na Prezesa Sądu Rejonowego w Zgierzu za niezabezpieczenie nośników danych

Prezes Urzędu Ochrony Danych Osobowych nałożył karę pieniężną na Prezesa Sądu Rejonowego w Zgierzu za naruszenie przepisów o ochronie danych osobowych. Incydent polegał na utracie przenośnej pamięci z danymi osobowymi, co spowodowało wysokie ryzyko dla osób fizycznych. Prezes Sąd informował o zdarzeniu na stronie internetowej, ale nie spełnił warunków RODO. Wymagane są dodatkowe wyjaśnienia od administratora danych.

Tematyka: Prezes UODO, karą pieniężną, Prezes Sądu Rejonowego, Zgierz, ochrona danych osobowych, RODO, naruszenie, bezpieczeństwo danych, ryzyko, administrator danych, środki techniczne, organizacyjne

Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) stwierdził naruszenie przez Prezesa Sądu
Rejonowego w Zgierzu (dalej: Prezes Sądu) przepisów art. 5 ust. 1 lit. f, art. 24 ust. 1art. 25 ust. 1, art. 32 ust.
1 lit. b i d oraz art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119 s. 1; dalej: RODO), polegające na niewdrożeniu przez
Prezesa Sądu odpowiednich środków technicznych i organizacyjnych zapewniających stopień
bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci
zewnętrznych, co skutkowało utratą przenośnej pamięci zewnętrznej z danymi osobowymi, zapisanymi na
niej w sposób niezabezpieczony. Kara pieniężną nałożona na Prezesa Sądu wyniosła 10 000 zł.
Stan faktyczny
Do Urzędu Ochrony Danych Osobowych w lutym 2020 r. wpłynęło zgłoszenie naruszenia ochrony danych
osobowych podpisane przez Prezesa Sądu informujące o naruszeniu ochrony danych osobowych 400 osób,
podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym przez kuratora sądowego. Incydent
stanowiący przedmiot zgłoszenia polegał na zagubieniu nieszyfrowanej przenośnej pamięci zewnętrznej typu
pendrive przez kuratora sądowego.
Z uwagi na zakres ujawnionych danych osobowych wskazane naruszenie spowodowało wysokie ryzyko naruszenia
praw lub wolności osób fizycznych. Prezes Sądu poinformował, że opublikował na stronie internetowej Sądu
Rejonowego w Zgierzu, komunikat o naruszeniu, wskazując, że „możliwe, że ktoś będzie próbował wykorzystać dane
tam zapisane”. Poprosił również o „czujność, a w przypadku uzyskania informacji o ewentualnych próbach
wykorzystania danych, którymi dysponował Sąd - o niezwłoczne zawiadomienie organów ścigania oraz kontakt
z Sądem Rejonowym w Zgierzu”.
Prezes UODO wystąpił o prawidłowe powiadomienie osób fizycznych, albowiem komunikat skierowany do osób,
których dane dotyczą, nie spełniał warunków określonych w RODO. Zwrócił się także o złożenie dodatkowych
wyjaśnień, między innymi:
1. czy i w jaki sposób rekomendowano kuratorom sądowym zabezpieczanie danych zapisywanych na
zewnętrznych nośnikach pamięci,
2. czy administrator danych osobowych opracował i wdrożył procedury korzystania z zewnętrznych nośników
pamięci oraz zabezpieczania danych osobowych, przetwarzanych na nośnikach zewnętrznych poza siedzibą
administratora,
3. czy zagubiony nośnik pamięci został wydany kuratorowi przez administratora, czy też należał do kuratora,
4. jeśli zagubiony nośnik był własnością kuratora, czy procedury administratora danych dopuszczają taką
możliwość oraz w jaki sposób sprawowana jest kontrola nad takim przetwarzaniem danych osobowych.
Prezes Sądu poinformował o zamieszczeniu uzupełnionego komunikatu o naruszeniu ochrony danych osobowych
i wskazał, iż:
1. kuratorom rekomendowano stosowanie się do regulaminu ochrony danych w Sądzie oraz procedur ochrony
danych w rozmowach indywidualnych oraz podczas spotkań szkoleniowych,
2. opracował i wdrożył procedury korzystania z zewnętrznych nośników pamięci oraz zabezpieczenia danych
osobowych przetwarzanych na nośnikach zewnętrznych poza swoją siedzibą, zaś procedura ta jest częścią
Instrukcji Zarządzania Systemem Informatycznym w Sądzie Rejonowym w Zgierzu,
3. zagubiony nośnik pamięci został wydany kuratorowi przez Sąd, natomiast Regulamin ochrony danych dla Sądu
zabrania korzystania z prywatnych nośników danych dla przetwarzania danych służbowych.
Prezes Urzędu wezwał Sąd do przedstawienia kolejnych wyjaśnień oraz dokumentacji dotyczących:
1. wskazania, czy przed wystąpieniem przedmiotowego naruszenia, administrator danych określił zasady
przetwarzania danych osobowych oraz stosowane zabezpieczenia przy użyciu pamięci przenośnych pendrive,
a jeśli tak, jakie kroki podjął administrator aby zapewnić skuteczność wprowadzonych rozwiązań,

a w szczególności, czy i w jaki sposób przeprowadzana była weryfikacja ich przestrzegania przez osoby mające
dostęp do danych osobowych, w tym przez kuratorów,
2. określenia, czy, a jeśli tak, to w jaki sposób zagubiony nośnik został zabezpieczony przed dostępem do danych
osobowych przy jego użyciu przetwarzanych,
3. wskazania, czy zabezpieczenia zostały implementowane przez administratora przed wydaniem nośnika do
użytku, czy też kurator był zobowiązanych do ich zastosowania osobiście,
4. udzielenia informacji, czy przed wystąpieniem przedmiotowego naruszenia, kuratorzy zostali zapoznani
z wdrożonymi procedurami i rozwiązaniami,
5. wskazania, czy przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych, administrator
przeprowadził analizę ryzyka możliwości wystąpienia naruszenia w tym zakresie,
6. udzielenia informacji, czy, a jeśli tak, to kiedy i w jaki sposób, administrator dokonywał regularnego testowania,
mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo
przetwarzanych danych osobowych, których naruszenie dotyczy.
W odpowiedzi Prezes Sądu wyjaśnił, iż przed wystąpieniem naruszenia wdrożył system ochrony danych osobowych
w postaci zasad przetwarzania danych osobowych, które zostały określone w Polityce Bezpieczeństwa Sądu
Rejonowego w Zgierzu i Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych
osobowych w Sądzie Rejonowym w Zgierzu. Zgodnie z dokumentem obowiązek zabezpieczenia nośnika spoczywa
na użytkowniku, który dokonał jego zabezpieczenia poprzez przechowywanie go w zamykanej torbie służbowej,
natomiast po wystąpieniu przedmiotowego naruszenia została zaktualizowana procedura dotycząca wydawania
nośników danych, poprzez wprowadzenie ewidencjonowania, szyfrowania i zabezpieczania nośników hasłem.
Administrator danych przeprowadził również analizę ryzyka możliwości wystąpienia tego typu naruszenia w postaci
zagubienia sprzętu lub nośników, definiując ryzyko na poziomie średnim oraz wskazując konieczność ograniczenia
tego ryzyka, przyjął za wystarczający środek ograniczający możliwość zmaterializowania się tego ryzyka w postaci
szkolenia dla personelu, dotyczącego potencjalnych zagrożeń.
Prezes Sądu wskazał również, iż po wystąpieniu przedmiotowego naruszenia, zgodnie z zarządzeniem wszystkie
pamięci przenośne zostały zabezpieczone aplikacją szyfrującą.
Rozstrzygnięcie Prezesa UODO
Decydując o nałożeniu na Prezesa Sądu administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes
UODO stosownie do treści art. 83 ust. 2 lit. a – art. 83 ust. 2 lit. k RODO wziął pod uwagę, i uznał za obciążające dla
Prezesa Sądu, następujące okoliczności sprawy.
Stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter, stwarza bowiem wysokie
ryzyko negatywnych skutków prawnych dla dużej liczby osób, do których danych dostęp mogła mieć osoba bądź
osoby nieuprawnione. Naruszenie przez Prezesa Sądu obowiązków zastosowania środków zabezpieczających
przetwarzane dane przed ich udostępnieniem osobom nieuprawnionym, pociąga za sobą nie tylko potencjalną, ale
również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których
dane dotyczą, niezgodnie z przepisami RODO.
Za okoliczność obciążającą Prezes UODO uznał długi czas trwania naruszenia, ponieważ wprowadzenie
ewidencjonowania przenośnych nośników danych oraz szyfrowanie danych przetwarzanych przy ich użyciu nastąpiło
dopiero w związku z wydaniem przez Prezesa Sądu zarządzenia w lutym 2020 r. Podkreślić jednocześnie jednak
należy, że konsekwencje naruszenia przepisów RODO przez administratora danych trwają nadal, ponieważ
zaginiony niezabezpieczony nośnik pamięci nie został do tej pory odnaleziony.
W niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba lub osoby
nieuprawnione, doznały szkody majątkowej. Niemniej jednak już samo naruszenie poufności ich danych stanowi dla
nich szkodę niemajątkową (krzywdę). Osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą
bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub
oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową.
Nieuprawniony dostęp do danych osobowych osób, wobec których były podejmowane działania przez kuratora, stał
się możliwy na skutek niedochowania należytej staranności przez Prezesa Sądu i niewątpliwie stanowi
o nieumyślnym charakterze naruszenia. Niemniej jednak Prezes Sądu jako administrator ponosi odpowiedzialność za
stwierdzone nieprawidłowości w procesie przetwarzania danych. Na negatywną ocenę zasługuje fakt, że Prezes
Sądu przeniósł obowiązek zabezpieczenia nośnika na kuratora sądowego i nie zweryfikował, czy kurator sądowy
w jakikolwiek sposób dokonał jego zabezpieczenia oraz nie przeprowadził testu pod kątem skuteczności tego
zabezpieczenia.

Przeniesienie obowiązków administratora danych osobowych w zakresie wyboru oraz zastosowania odpowiednich
środków technicznych na inne osoby skutkowało bowiem w tym przypadku zastosowaniem środka technicznego

w postaci przechowywania przenośnego nośnika pamięci w zamykanej torbie służbowej, a więc zupełnie
nieadekwatnego w odniesieniu do stanu wiedzy technicznej, kosztu wdrożenia oraz charakteru, zakresu, kontekstu
i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwa
wystąpienia i wadze zagrożenia.
Naruszenie ochrony danych osobowych w postaci imion i nazwisk, dat urodzenia, adresów zamieszkania lub pobytu,
numerów ewidencyjnych PESEL, danych dotyczących zarobków i/lub posiadanego majątku, serii i numerów
dowodów osobistych, numerów telefonów oraz danych podlegających szczególnej ochronie zgodnie z art. 9 RODO,
a także danych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO, skutkować
może szerokim wachlarzem negatywnych skutków dla osób, których dane dotyczą.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą
wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Prezesa Sądu z organem nadzorczym.

Komentarz
Administrator danych implementując postanowienia RODO w organizacji nie może przenosić obowiązku
wprowadzenia odpowiednich środków technicznych i organizacyjnych nie weryfikując przy tym, czy faktycznie środki
zostały zastosowane i nie przeprowadzając testu pod kątem skuteczności wprowadzonych zabezpieczeń.
Zaniedbania tego rodzaju Prezes UODO uznaje za rażące, gdyż wskazują one na niedochowanie należytej
staranności przez administratora danych.

Decyzja z 13.7.2021 r., DKN.5131.22.2021

Prezes UODO uznał naruszenie za poważne, stwarzające ryzyko dla osób dotkniętych incydentem. Brak zabezpieczeń danych osobowych może prowadzić do negatywnych skutków prawnych. Prezes Sąd został ukarany karą pieniężną za długi czas trwania naruszenia i przeniesienie obowiązków zabezpieczenia danych na inne osoby.