Procedura zabezpieczeń nośników z danymi osobowymi

Wdrożenie odpowiednich zabezpieczeń danych osobowych jest jednym z podstawowych obowiązków administratora danych. Użyte środki i procedury mające na celu zabezpieczenie poszczególnych aktywów powinny być ustalane przez administratora danych na podstawie przeprowadzonej analizy ryzyka.

Jednym z elementów sytemu ochrony danych jest konieczność zabezpieczenia nośników z danymi osobowymi. Jak istotny jest element bezpieczeństwa danych osobowych, pokazuje niedawna decyzja Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO) nr DKN.5131.22.2021 z dnia 13 lipca 2021 r., stwierdzająca naruszenie przez Prezesa Sądu Rejonowego w Zgierzu przepisów art. 5 ust. 1 lit. f, art. 24 ust. 1 art. 25 ust. 1, art. 32 ust. 1 lit. b i d oraz art. 32 ust. 2 RODO, polegające na niewdrożeniu przez Prezesa Sądu Rejonowego w Zgierzu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci zewnętrznych, zapewniających bezpieczeństwo zapisanych tam danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, co skutkowało utratą przenośnej pamięci zewnętrznej z danymi osobowymi, zapisanymi na niej w sposób niezabezpieczony, co w konsekwencji spowodowało nałożenie przez PUODO administracyjnej kary pieniężnej w kwocie 10 000 zł[1].

Co istotne, w przedmiotowej decyzji PUODO wskazał, że administrator danych, opracowując wewnętrzne procedury, nie wskazał żadnych przykładowych i adekwatnych zabezpieczeń, które pracownik może zastosować, aby zabezpieczyć nośnik danych. W ocenie PUODO administrator danych pozostawił decyzje co do sposobu faktycznego zabezpieczania nośnika jego użytkownikowi, co było nieprawidłowe. Zdaniem PUODO pracownik nie może zastępować administratora danych w realizacji jego zadań wynikających z przepisów RODO. Ponadto pracownik może nie posiadać w tym zakresie odpowiedniej wiedzy, zignorować konieczność zabezpieczenia nośnika lub wdrożyć zabezpieczenie nieadekwatne do zakresu i charakteru danych oraz ryzyka występującego w tym procesie przetwarzania danych[2].

W tej sytuacji należy wskazać, że administrator danych musi zadbać o prawidłowe zabezpieczenie wykorzystywanych nośników danych i nie może tego obowiązku przerzucać na swoich prac...

Dalsza część jest dostępna dla użytkowników z wykupionym planem