Rzecznik Dyscyplinarny Izby Adwokackiej ukarany przez Prezesa UODO

Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Rzecznika Dyscyplinarnego Izby Adwokackiej za naruszenie przepisów RODO dotyczących bezpieczeństwa danych osobowych przechowywanych na zewnętrznych nośnikach. Sprawa dotyczy zgubienia pendrive'a z nagraniem rozwodowej rozprawy zawierającym dane osobowe 8 osób. Decyzja UODO nakłada także obowiązek dostosowania operacji przetwarzania danych do przepisów RODO.

Tematyka: Prezes UODO, Rzecznik Dyscyplinarny Izby Adwokackiej, naruszenie RODO, zewnętrzne nośniki danych, kara pieniężna, ochrona danych osobowych, zgubienie pendrive'a, nagranie rozwodowej rozprawy, analiza ryzyka, postępowanie administracyjne

Prezes UODO stwierdził naruszenie przez Rzecznika Dyscyplinarnego Izby Adwokackiej przepisów art. 5 ust.
1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO. Naruszenie polegało na
niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień
bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych,
w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą,
zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym oraz odpowiednich środków
technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania
skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
co skutkowało naruszeniem zasady poufności danych oraz zasady rozliczalności. Prezes UODO nałożył na
Rzecznika Dyscyplinarnego Izby Adwokackiej administracyjną karę pieniężną w kwocie 23 580 zł oraz
nakazał dostosowanie operacji przetwarzania do przepisów RODO.
Stan faktyczny
Rzecznik Dyscyplinarny Izby Adwokackiej w X. (dalej: Administrator), w czerwcu 2021 r. dokonał zgłoszenia
Prezesowi Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) naruszenia ochrony danych osobowych.
W zgłoszeniu naruszenia Administrator wskazał, że w maju 2021 r. do siedziby Administratora zgłosił się obrońca
obwinionego w postępowaniu dyscyplinarnym prowadzonym przed Rzecznikiem Dyscyplinarnym Izby Adwokackiej.
Obrońca poinformował pracowników Administratora o otrzymaniu uszkodzonej przesyłki, w której wbrew treści pisma
brakowało załącznika w postaci zewnętrznego nośnika danych (pendrive). Nośnik zawierał nagranie rozprawy
rozwodowej z danymi osobowymi 8 osób w zakresie imienia, nazwiska, szczegółów dotyczących życia rodzinnego,
relacji stron oraz podejrzeń o niewierność małżeńską.
W związku z ww. zgłoszeniem naruszenia Prezes UODO zwrócił się do Administratora o złożenie dodatkowych
wyjaśnień w zakresie wskazania, czy zewnętrzny nośnik danych (pendrive), będący przedmiotem naruszenia, został
zaszyfrowany zgodnie z procedurami, na które powołał się w punkcie 9A formularza zgłoszenia naruszenia.
Administrator wskazał, iż przedmiotowy nośnik nie został zaszyfrowany.
UODO zwrócił się do Administratora z wezwaniem do:
1. Wskazania, czy przed zaistniałym naruszeniem Administrator posiadał wdrożoną procedurę zarządzania
zewnętrznymi nośnikami danych w zakresie ich zabezpieczenia oraz postępowania na wypadek zniszczenia lub
kradzieży.
2. Wskazania środków bezpieczeństwa technicznych oraz organizacyjnych dotychczas stosowanych w celu
zabezpieczenia zewnętrznych nośników danych.
3. Wskazania, czy przeprowadzono analizę ryzyka dla procesu przetwarzania danych osobowych za
pośrednictwem zewnętrznych nośników danych.
4. Wskazania, czy plik z nagraniem znajdujący się na utraconym zewnętrznym nośniku danych był zabezpieczony
(np. za pomocą hasła lub mechanizmu szyfrowania), skoro sam nośnik nie posiadał stosownych zabezpieczeń.
W związku ze zgłoszonym naruszeniem ochrony danych osobowych oraz wyjaśnieniami złożonymi przez
Administratora, Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia
obowiązków wynikających z art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia
Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy
95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), w związku z naruszeniem ochrony danych osobowych
osób, których dane znajdowały się na nagraniu rozprawy rozwodowej, zamieszczonym na zagubionym zewnętrznym
nośniku danych.
Z uzasadnienia decyzji Prezesa UODO
Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez
wdrożenie odpowiednich środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo
przetwarzanych danych osobowych. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy
ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz
wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. W ocenie Prezesa UODO
błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego

zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia. Efektem powyższego było zmaterializowanie się
ryzyka, w wyniku którego osoba (osoby) nieuprawniona uzyskała dostęp do danych zawartych w pliku znajdującym
się na skradzionym (zagubionym) zewnętrznym nośniku danych.
W decyzji Prezesa UODO podkreślono, że ochrona danych znajdujących się na zewnętrznych nośnikach danych
musi skupiać się na prawidłowym zabezpieczeniu danych znajdujących się na takim nośniku przed nieuprawnionym
dostępem osób trzecich w przypadku utracenia takiego nośnika, w wyniku kradzieży czy jego zgubienia. Tymczasem,
Administrator przeprowadzając ocenę ryzyka, w opinii Prezesa UODO, skupił się jedynie na określeniu działania
minimalizującego skutki wyłącznie w przypadku awarii nośnika, a więc naruszeniu dostępności danych, pomijając
całkowicie działania minimalizujące konsekwencje naruszenia ich poufności.
W niniejszej sprawie administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 25
ust. 1 oraz art. 32 ust. 1 i 2 RODO na podstawie art. 83 ust. 4 lit. a RODO, natomiast za naruszenie art. 5 ust. 1 lit. f
i art. 5 ust. 2 RODO - na podstawie art. 83 ust. 5 lit. a RODO.
Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a-k
RODO - wziął pod uwagę następujące okoliczności sprawy.
Stwierdzone naruszenie przepisów ochrony danych osobowych, którego skutkiem była możliwość uzyskania
nieuprawnionego dostępu do danych znajdujących się w pliku z nagraniem rozprawy rozwodowej, umieszczonym na
utraconym zewnętrznym nośniku danych, przez osobę bądź osoby nieuprawnione (naruszenie zasady poufności),
miało znaczną wagę i poważny charakter. Naruszenie stwarzało wysokie ryzyko negatywnych skutków dla co
najmniej 8 osób. Ponadto, do chwili wydania decyzji zaginiony zewnętrzny nośnik danych nie został odnaleziony,
więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na
tym nośniku. Podkreślić również należy długi czas trwania naruszenia przepisów o ochronie danych osobowych, tj.
od stycznia 2021 r., kiedy to Administrator przeprowadził w sposób nieprawidłowy analizę ryzyka.
Nieuprawniony dostęp do danych osobowych osób, których dane znajdują się na nagraniu rozprawy rozwodowej
zamieszczonym na utraconym zewnętrznym nośniku danych, stał się możliwy na skutek niedochowania należytej
staranności przez Administratora. W ocenie organu nadzorczego stanowi to o nieumyślnym charakterze naruszenia,
wynikającym z niedbalstwa Administratora. Pomimo nieprawidłowo przeprowadzonej analizy ryzyka, Administrator
posiadał jednak wdrożoną procedurę przesyłania zewnętrznych nośników danych wraz z określeniem środków
organizacyjnych gwarantujących, w ocenie Administratora, odpowiedni stopień bezpieczeństwa danych
przetwarzanych za pomocą tych nośników. Pracownicy Administratora nie zastosowali się jednak do postanowień
regulujących działania, jakie należy podjąć w celu zapewnienia bezpieczeństwa danych przesyłanych na
zewnętrznym nośniku danych. W tym zakresie kwestionowane jest skuteczność szkoleń i samej procedury
stosowanej przez Administratora.
Dane osobowe, znajdujące się na utraconym zewnętrznym nośniku danych, tj. imię i nazwisko, głos, dane dotyczące
szczegółów życia rodzinnego, relacji stron oraz podejrzeń o niewierność małżeńską, co do zasady nie są uznawane
za należące do szczególnych kategorii danych osobowych, jednakże kontekst charakteru wydarzenia, w ramach
którego zostały utrwalone w formie nagrania, tj. rozprawy rozwodowej, może przesądzić o tym, że będą one podlegać
takiej ochronie, jak dane osobowe szczególnych kategorii, a w konsekwencji wiązać się będzie z wysokim ryzykiem
naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Świadczy o tym także przyjęty przez
Administratora poziom ryzyka, który w pkt 8B formularza zgłoszenia naruszenia ochrony danych osobowych wskazał,
że naruszenie powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wobec powyższego, nie
można wykluczyć wystąpienia szkody niemajątkowej (krzywdy), gdyż osoby fizyczne, których dane znajdowały się na
tym nośniku, mogą odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, dyskryminacją, a także
naruszeniem dobrego imienia.
Prezes UODO, poza nałożeniem administracyjnej kary pieniężnej, dodatkowo nakazał Administratorowi
dostosowanie operacji przetwarzania do przepisów RODO poprzez:
• a) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się
z przetwarzaniem danych osobowych za pomocą zewnętrznych nośników danych, w szczególności wynikającego
z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub
nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób
przetwarzanych, za pomocą zewnętrznych nośników danych, po uprzednim przeprowadzeniu analizy ryzyka,
uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz
ryzyko naruszenia praw lub wolności osób fizycznych, w tym zagrożenia związane z przetwarzaniem danych
osobowych za pomocą zewnętrznych nośników danych, uwzględniając kradzież oraz zagubienie tych nośników,
• b) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania,
mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo
przetwarzania, w terminie 6 miesięcy od dnia doręczenia niniejszej decyzji.

Komentarz
Dokonując oceny ryzyka i dobierając środki zapobiegawcze administrator powinien wziąć pod uwagę, że kopie
zapasowe danych powinny zostać zakwalifikowane jako środki minimalizujące skutki utraty dostępności danych. Nie
oznacza to jednak, że taki środek minimalizuje ryzyko wystąpienia możliwych konsekwencji w przypadku uzyskania
dostępu do nośnika danych i przetwarzania danych osobowych w nim zawartych - czyli scenariusza, w którym
dochodzi do naruszenia poufności danych.

Decyzja Prezesa UODO z 20.4.2023 r., DKN.5131.31.2022,

Prezes UODO nałożył karę pieniężną za naruszenie przepisów RODO dotyczących ochrony danych osobowych na Rzecznika Dyscyplinarnego Izby Adwokackiej. Decyzja UODO wynikała z braku odpowiednich środków bezpieczeństwa danych osobowych na zewnętrznych nośnikach oraz niedochowania obowiązków wynikających z RODO. Nakazano także dostosowanie operacji przetwarzania danych do przepisów RODO.