Prezes UODO nakazał też dostosowanie operacji przetwarzania do przepisów ogólnego rozporządzenia o ochronie danych (RODO) w terminie 6 miesięcy od dnia doręczenia decyzji. W opublikowanej na stronie Urzędu decyzji nie podano, o którą z okręgowych izb adwokackich chodzi. Jednak tego samego dnia rzecznik prasowy Okręgowej Rady Adwokackiej w Warszawie opublikował oświadczenie, w którym przyznał, że to o tę izbę chodzi. 

Jak poinformowano w czwartek, powodem prowadzenia postępowania administracyjnego i wydania decyzji było zgłoszenie przez administratora naruszenia ochrony danych osobowych. Naruszenie polegało na otrzymaniu przez adresata uszkodzonej przesyłki, w której jednocześnie brakowało nośnika danych typu pendrive – załącznika do pisma przewodniego. Na nośniku tym zapisano nagranie rozprawy rozwodowej zawierającej dane osobowe kilku osób. Zarówno plik znajdujący się na nośniku, jak i sam pendrive nie zostały zaszyfrowane.

Sprawdź w LEX: Przegląd administracyjnych kar pieniężnych nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych >>

UODO podkreśla, administrator posiadał wewnętrzne regulacje odnoszące się do polityki bezpieczeństwa oraz ochrony danych osobowych, które przewidywały zabezpieczanie takich nośników, co jak wykazało postępowanie, w praktyce nie było przestrzegane.

 

Cena promocyjna: 118.29 zł

|

Cena regularna: 169 zł

|

Najniższa cena w ostatnich 30 dniach: 135.2 zł


Czytaj w LEX: Weryfikacja kwalifikacji IOD-a i zadań przez niego realizowanych ze wskazaniem środków kontroli >>

Samodzielna i prawidłowa ocena administratora

Jak stwierdza Prezes UODO, administrator, będąc odpowiedzialnym m.in. za zapewnienie bezpieczeństwa przetwarzanych danych osobowych, jest zobowiązany także do zastosowania narzędzi technicznych i organizacyjnych, które odpowiadają ryzyku naruszenia praw i wolności osób fizycznych. - Odpowiednie wdrożenie tychże środków oznacza, że w pierwszej kolejności administrator określa poziom ryzyka, jaki wiąże się z przetwarzaniem danych osobowych, a następnie ustala, jakie środki będą właściwe, aby zapewnić bezpieczeństwo przetwarzanych danych. Administrator samodzielnie przeprowadza szczegółową analizę prowadzonych procesów przetwarzania danych i dokonuje oceny ryzyka, a następnie musi zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiego podejścia jest konieczność samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń - czytamy w uzasadnieniu do decyzji. 

Czytaj w LEX: Obowiązki administratorów związane z naruszeniami ochrony danych osobowych >>

Czytaj także: RPO interweniuje w sprawie ujawnienia danych pacjenta OIOM>>

Zdaniem UODO ochrona danych znajdujących się na zewnętrznych nośnikach danych musi skupiać się na prawidłowym zabezpieczeniu danych zapisanych na takim nośniku przed nieuprawnionym dostępem osób trzecich w przypadku utracenia takiego nośnika w wyniku kradzieży czy jego zgubienia. Administrator zaś dokonał analizy ryzyka i określił działania minimalizujące skutki naruszenia wyłącznie w przypadku awarii nośnika. Dlatego też należy uznać, że ocena ryzyka została przeprowadzana z przyjęciem nieprawidłowych wartości.

Zobacz w LEX: „Rodosłowniczek” czyli omówienie podstawowych pojęć RODO wraz z przykładami >>

Czynności  niezgodne z przyjętymi wewnętrznymi regulacjami

UODO podkreśla w tej sprawie fakt, iż pracownicy Kancelarii Rzecznika Dyscyplinarnego podjęli czynności zmierzające do zabezpieczenia nośnika, jednak były one niezgodne z przyjętymi wewnętrznymi regulacjami. Uznana przez administratora procedura wskazuje, że w przypadku wykorzystania i przekazywania zewnętrznych nośników danych, na których znajdują się dane osobowe przed wysłaniem należy je zaszyfrować. Procedura ta przewiduje stosowanie specjalnych kopert, stosowanych dla zwiększenia bezpieczeństwa przesyłki. W tym przypadku koperta ta zastąpiona została szczelnie zaszytą zszywkami plastikową koszulką, którą następnie przymocowano do pisma przewodniego oraz umieszczono w zwykłej kopercie.
Wątpliwości wzbudziła więc skuteczność wprowadzonych procedur z uwagi na niezastosowanie ich postanowień przez pracowników kancelarii przy wysyłce zewnętrznego nośnika, co doprowadziło do naruszenia ochrony danych osobowych.

Zobacz w LEX: Zgłaszanie naruszeń do Prezesa UODO w praktyce >>

Obowiązek weryfikacji zabezpieczeń

Jak podkreśla UODO, wprowadzenie regulacji wewnętrznych odnoszących się do zasad ochrony danych osobowych czy stosowania środków technicznych i organizacyjnych nie zwalnia administratora z weryfikacji czy przyjęte środki bezpieczeństwa są skuteczne i czy ograniczają lub eliminują ryzyko związane z przetwarzaniem danych osobowych. UODO przypomina, że wielokrotnie zwracał uwagę, że zastosowanie odpowiednich środków technicznych i organizacyjnych nie jest działaniem jednorazowym, a ma charakter procesu ciągłego. - Administrator w ramach tej weryfikacji dokonuje przeglądu przyjętych zabezpieczeń. W przedmiotowej sprawie weryfikacja praktykowanych procedur nie była skuteczna, wbrew twierdzeniom administratora, skoro pracownicy kancelarii nie przestrzegali wewnętrznych regulacji przy wysyłce zewnętrznego nośnika z danymi, który zaginął, co ostatecznie doprowadziło do naruszenia - czytamy w uzasadnieniu decyzji.

Czytaj także: Nowe przepisy mają lepiej chronić przed kradzieżą tożsamości>>

Decyzja będzie zaskarżona

Adwokat Grzegorz Kukowka, rzecznik prasowy Okręgowej Rady Adwokackiej w Warszawie opublikował w czwartek następujące oświadczenie:

W związku z podaną dzisiaj do wiadomości publicznej przez Prezesa Urzędu Ochrony Danych Osobowych informacją, potwierdzam, że na mocy decyzji DKN.5131.31.2022 z 20 kwietnia 2023 r. Prezes Urzędu Ochrony Danych Osobowych nałożył na Rzecznik Dyscyplinarną Izby Adwokackiej w Warszawie, jako na administratora danych osobowych, karę pieniężną w wysokości 23.580,00 PLN, stwierdzając jednocześnie naruszenie przez RD przepisów o ochronie danych osobowych.

Jednocześnie wskazuję, że Rzecznik Dyscyplinarna Izby Adwokackiej w Warszawie, w porozumieniu z Dziekanem Okręgowej Rady Adwokackiej w Warszawie oraz Inspektor Ochrony Danych Osobowych podjęła decyzję o celowości zaskarżenia wydanej decyzji, zgodnie z obowiązującymi przepisami prawa. Nasze wątpliwości budzi zarówno ustalony w sprawie stan faktyczny, jak i treść rozstrzygnięcia.

Podkreślamy przy tym, że sprawa dotyczy jednego postępowania dyscyplinarnego i jednego domniemanego incydentu, którego okoliczności kwestionujemy na drodze prawnej.

Z uwagi na dobro dalszego postępowania, na tym etapie nie będziemy udzielać szerszych komentarzy.