menu trigger  menu trigger

WSA: pracownik nie może zastępować administratora w realizacji jego obowiązków

Ograniczenie się przez administratora tylko do szkolenia dla pracowników, pomijając przy tym zastosowanie zabezpieczeń technicznych, nie może być uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych. Tak stwierdził WSA w Warszawie, oddalając skargę Prezesa Sądu Rejonowego w Zgierzu na decyzję organu ds. ochrony danych osobowych.

Wojewódzki Sąd Administracyjny (WSA), wyrokiem z 15 lutego 2022 r., utrzymał w mocy decyzję  organu nadzorczego, w której w związku ze stwierdzonym naruszeniem ochrony danych osobowych dokonanym przez Prezesa Sądu Rejonowego w Zgierzu, została nałożona na niego kara pieniężna w wysokości 10 tys. zł. Sprawa dotyczyła zgubienia przez kuratora sądowego niezaszyfrowanego nośnika pamięci typu pendrive. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym.

W uzasadnieniu wyroku z 15 lutego 2022 r. WSA* uznał, że organ nadzorczy w prawidłowo ustalił stan faktyczny sprawy i właściwie ocenił materiał dowodowy, nie popierając tym samym zarzutów skarżącego decyzję administratora. W przedmiotowej sprawie bezsporne było, że doszło do naruszenia ochrony danych osobowych na skutek zgubienia niezaszyfrowanego nośnika danych typu pendrive. Administrator wydał do użytku służbowego niezabezpieczone urządzenie i zobowiązał kuratorów do zabezpieczenia nośnika we własnym zakresie.

Sąd podtrzymał stanowisko organu nadzorczego, że pracownik nie może zastępować administratora w realizacji jego obowiązków. Ponadto pracownik może nie posiadać odpowiedniej wiedzy w zakresie stosowania odpowiednich środków organizacyjnych czy technicznych albo może wdrożyć nieodpowiednie zabezpieczenia i nieadekwatne do zakresu przetwarzanych danych osobowych.

Zdaniem UODO, na co również zwrócił uwagę WSA, administrator naruszył m.in. zasadę poufności i integralności danych osobowych, ponieważ nie wprowadził odpowiednich środków organizacyjnych i technicznych adekwatnych do sposób i celów przetwarzania danych, po które to Prezes Sądu sięgnął dopiero po utracie nośnika danych. W konsekwencji zaniechanie to umożliwiło osobom nieuprawnionym dostęp do danych osobowych.

Zdaniem sądu, tak zorganizowany proces określania i wdrażania zabezpieczeń przetwarzanych danych osobowych, pozbawia administratora dostępu do podstawowych informacji. Skutkiem tego jest brak wiedzy, jakie zabezpieczenia funkcjonują w organizacji i czy będą one skuteczne co do potencjalnych zagrożeń.

WSA przyznał rację organowi, że nałożona administracyjna kara pieniężna spełni swoją funkcję zarówno represyjną, jak i prewencyjną.

* sygn. II SA/Wa 3309/21

CZYTAJ DALEJ

Nie tylko negatywne konsekwencje, ale i ryzyko ich wystąpienia powodem zawiadomienia o naruszeniu

Organ nadzorczy nałożył na Santander Bank Polska S. A. administracyjną karę pieniężną w wysokości ponad 545 tys. zł. Powodem tej decyzji było naruszenie przez Bank przepisów RODO polegające na niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą, o zdarzeniu. UODO nakazało więc zawiadomienie tych osób o zaistniałej sytuacji i potencjalnych konsekwencjach z nim związanych.

Administrator zgłosił do UODO naruszenie ochrony danych osobowych po tym, gdy stwierdził, że były pracownik Banku mimo zakończenia pracy w tej instytucji, posiada nieuprawniony dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS). W wyniku tego mógł on przeglądać znajdujące się na profilu płatnika Santander Bank Polska S.A. dane pracowników Banku. W toku postępowania ustalono, że pracownik po zakończeniu pracy korzystał z przysługujących mu uprawień i pięciokrotnie logował się do platformy.

Po dokonaniu analizy zgłoszenia naruszenia, UODO uznało, że doszło do naruszenia poufności danych, które wiąże się jednocześnie z zaistnieniem wysokiego ryzyka dla naruszenia praw lub wolności osób, których dane dotyczą. Z tego też względu zdaniem organu nadzorczego konieczne jest zawiadomienie osób, których dane dotyczą, o zaistniałym incydencie.

Jednak w ocenie Banku nie zidentyfikowano nielegalnego przetwarzania danych i uznano, że nie doszło do naruszenia ochrony danych osobowych w rozumieniu RODO. Jak wyjaśnił administrator pierwotnie zgłoszenia naruszenia ochrony danych osobowych dokonał jedynie ze względów ostrożności. Po analizie sprawy uznał on, że incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, stąd też osoby, których dane dotyczą nie zostały zawiadomione o naruszeniu.

Bank umieścił jednak na platformie komunikacji wewnętrznej komunikat przypominający zasady przetwarzania danych osobowych.

W ocenie UODO tego typu komunikat był zbyt ogólny, nie odnosił się do konkretnego przypadku, a jedynie zaprezentowano w nim przykładowe rodzaje naruszeń. Ponieważ zabrakło w komunikacie wskazania, że taka sytuacja de facto miała miejsce, to potencjalny odbiorca nie miał żadnych powodów, aby potraktować go poważnie, wyciągnąć z niego wnioski i odpowiednio zareagować.

UODO wyraził także swoje zastrzeżenia co do wyboru adresatów komunikatu, do których został on skierowany, czyli jedynie do obecnych pracowników Banku, korzystających z platformy komunikacji wewnętrznej. Trzeba nadmienić, że zawiadomione o naruszeniu powinny zostać wszystkie osoby, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty, a które aktualnie mogą już w nim nie pracować.

W ocenie UODO w prezentowanej sprawie zaszły wszelkie okoliczności, które potwierdzały konieczność zawiadomienia o naruszeniu osób, których dane dotyczą. Dostęp do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolności osób, których dane dotyczą. Dane przetwarzane na platformie PUE ZUS mogą zostać wykorzystane przez nieuprawnione osoby m.in.: do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia, czy uzyskania przez osoby trzecie danych umożliwiających zaciągnięcie pożyczek w instytucjach pozabankowych.

W tej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi). W konsekwencji oznacza to, że z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych.

Co równie ważne i wymaga zaakcentowania, administrator podjął świadomą decyzję   rezygnacji z powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu.
W postępowaniu prowadzonym przed organem nadzorczym administrator konsekwentnie utrzymywał, że nie zamierza wypełnić obowiązku zawiadomienia o incydencie tych osób.

Zdaniem UODO takie zaniechanie powoduje brak możliwości podjęcia przez te osoby działań zaradczych i właściwych kroków w celu ochrony swoich praw. Co więcej, może ono doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone.

Mając na uwadze powyższe, Prezes UODO podjął decyzję nie tylko o nałożeniu administracyjnej kary pieniężnej w wysokości ponad 545 tys. zł, ale także nakazał spełnienie obowiązku wynikającego z RODO jakim jest zawiadomienie osób o zaistniałym incydencie.

UODO

CZYTAJ DALEJ

UODO: Brak realizacji obowiązków ciążących na administratorze może skutkować karą

Politechnika Warszawska otrzymała karę w wysokości 45 tys. zł m.in. za niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, także za brak regularnego testowania, mierzenia i oceniania skuteczności środków. Uczelnia nie uwzględniła również ryzyka związanego z przetwarzaniem danych w aplikacji.

Postępowanie wobec tego administratora wszczęto po tym jak do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło zgłoszenie naruszenia ochrony danych. Jak wskazano, nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej uczelni bazy danych, zawierającej dane osobowe studentów i wykładowców (ponad 5 tys. osób).

Jak ustalono w czasie postępowania administracyjnego jednostka organizacyjna Politechniki wykorzystywała aplikację stworzoną przez pracowników uczelni, która służyła do zapisywania się na przedmioty oraz pozwalała mieć wgląd w historię nauczania, ocen czy rozliczania opłat. Aplikacja ta była modyfikowana w zależności od potrzeb administratora. Na początku stycznia 2020 roku nieuprawniona osoba  wykorzystała funkcjonalność umieszczania plików w aplikacji, dysponując danymi uwierzytelniającymi. Z kolei z początkiem maja 2020 roku dokonano nieautoryzowanego pobrania danych osobowych.

Należy mieć na uwadze, że administrator jest odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych osobowych.

W ocenie UODO, administrator nie przedstawił dowodów na spełnienie tych obowiązków, w tym nie dokonywał formalnej oceny ryzyka, a zagrożenia identyfikował poprzez zbieranie informacji od jednostek uczelni. Ponadto nie uzasadnił adekwatności stosowanych zabezpieczeń do ryzyka. Politechnika skupiła się na zabezpieczeniu przed zagrożeniami infrastruktury informatycznej. Nie wzięła jednak pod uwagę zagrożeń związanych z funkcjonowaniem stworzonej przez pracowników aplikacji.

Zdaniem UODO, zastosowanie środków technicznych bez dokonania uprzedniej analizy ryzyka dla procesu przetwarzania danych osobowych nie może dawać gwarancji, że zastosowane środki będą skuteczne i adekwatne.

Uwagę należy także zwrócić na to, że RODO, ogólne rozporządzenie o ochronie danych, zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Administrator powinien w aktywny sposób i na każdym etapie sprawdzać bezpieczeństwo danych osobowych. Według ustaleń UODO Politechnika nie dokonywała cyklicznej weryfikacji zastosowanych środków.

Biorąc pod uwagę niedopełnienie obowiązków przez administratora oraz wysokie ryzyko wystąpienia negatywnych skutków w przyszłości dla osób objętych incydentem, organ nadzorczy uznał za zasadne i konieczne nałożenie administracyjnej kary pieniężnej w wysokości 45 tys. zł.

UODO

CZYTAJ DALEJ
tax-468440_640.jpg

Dostęp do danych we wnioskach o świadczenia z ZFŚS

Co jeśli regulamin ZFŚS nie przewiduje powołania komisji socjalnej, a tylko udział przedstawicieli związku zawodowego w procesie oceny wniosków o przyznanie świadczeń z funduszu socjalnego? Związki zawodowe pisemnie wyznaczają swojego przedstawiciela do udziału w opiniowaniu wniosków. Czy regulamin ZFŚS jako źródło prawa pracy może być podstawą udostępnienia danych zawartych we wnioskach pracowników przedstawicielom związku zawodowego?

W myśl …

CZYTAJ DALEJ
recycle-33605_640.png

Szkoły: Weryfikacja opłat za odpady komunalne

Organ prowadzący zwrócił się do szkoły o informacje dotyczące liczby uczniów oraz ich rodziców (opiekunów prawnych) zamieszkałych pod danym adresem, argumentując, że dane te są potrzebne w celu weryfikacji liczby osób zamieszkujących daną nieruchomość i ustalenia wysokości opłat za odbiór odpadów komunalnych. Informacje miałyby obejmować nazwę ulicy, numer budynku i mieszkania. Jak w takiej sytuacji powinna postąpić szkoła?

Urząd Ochrony Danych Osobowych wyjaśnia, że w tego typu sprawach należy kierować się …

CZYTAJ DALEJ
sandwich-311262_640.png

Szkoły: Organizacja dożywiania dzieci

Gminny ośrodek pomocy społecznej (GOPS) realizuje zadanie dożywania dzieci w szkołach. W tym celu między ośrodkiem a szkołą dochodzi do wymiany danych osobowych uczniów, którzy potrzebują takiej formy wsparcia.

Czy taką wymianę należy kwalifikować jako powierzenie danych osobowych, co wiązałoby się z koniecznością zawarcia umowy między podmiotami je wymieniającymi, czy raczej jako udostępnienie danych osobowych?

Według UODO w takim przypadku szkoła ma do czynienia z udostępnieniem danych osobowych na podstawie przepisów prawa. Kwestie realizacji zadania, jakim jest dożywianie dzieci w szkołach, regulują bowiem …

CZYTAJ DALEJ
archive-1850170_640.jpg

Szkoły: Zewnętrzny administrator danych osobowych

W każdej jednostce oświatowej powstaje znaczna ilość dokumentacji, w tym zawierającej dane osobowe. W szczególności dane takie zawiera oczywiście dokumentacja kadrowa, ale podkreślić należy, że również dokumentacja przebiegu nauczania takie dane osobowe zawiera. Przykładowo, zgodnie z …

CZYTAJ DALEJ
police-4261182_640.jpg

Ochrona danych osobowych w szkołach. Co może policja?

Ochrona danych osobowych to bardzo ważny obszar działalności szkół i placówek, który wciąż wzbudza wśród rodziców i pracowników oświaty wiele wątpliwości. Najczęstsze pytania dotyczą podstaw prawnych, celów i zakresu przetwarzania danych osobowych. Przygotowany przez Urząd Ochrony Danych Osobowych miniporadnik ma pomóc we właściwym zrozumieniu tych zagadnień, a co za tym idzie – podejmowaniu odpowiednich decyzji w praktyce.

CZYTAJ DALEJ
uodo-3.jpg

RODO i ochrona danych w poradniach

Prezes Urzędu Ochrony Danych Osobowych wystąpił do resortu edukacji z postulatem kompleksowego uregulowania kwestii związanych z prowadzeniem dokumentacji przez poradnie psychologiczno-pedagogiczne. UODO dostrzegł, że obecne regulacje dotyczące działalności poradni nie są dostosowane do przepisów RODO.

Udzielając pomocy psychologiczno-pedagogicznej, poradnie przetwarzają dane osobowe zarówno uczniów i ich rodziców, jak i nauczycieli i psychologów. Ich dokumentacja zawiera dane …

CZYTAJ DALEJ

Older Posts