Zagubione pendrive'y w Sądzie Rejonowym Szczecin-Centrum
Początek sprawy ma miejsce we wrześniu 2020 roku. Co ciekawe, to sam Sąd Rejonowy Szczecin-Centrum poinformował UODO o naruszeniu ochrony danych osobowych. Miało chodzić o zagubienie trzech pendrive'ów, z czego tylko jeden był poprawnie szyfrowany. Jak się okazało, pozostałe dwa nośniki były prywatną własnością pracowników, niepodlegającą żadnej kontroli ze strony sądu.
- Na zagubionych nośnikach znajdowały się projekty orzeczeń i uzasadnień, zawierające dane osobowe (z okresu od grudnia 2004 r. do sierpnia 2020 r.) - informuje portal rp.pl, który nagłośnił sprawę
Decyzja UODO w sprawie Sądu Rejonowego w Szczecinie
Jak okazało się w drodze postępowania, pracownicy Sądu Rejonowego w Szczecinie od lat korzystali z prywatnych nośników, mimo odgórnego zakazu. UODO stwierdził jednak, że Sąd Rejonowy w Szczecinie nie podjął odpowiednich kroków, w celu uniemożliwienia korzystania z prywatnych pendrive'ów. W uzasadnieniu wyroku czytamy, że w sądzie m.in. nie było blokady USB dla niezarejestrowanych nośników. W konsekwencji tych zaniedbań, UODO nałożył na Sąd Rejonowy Szczecin-Centrum karę finansową w wysokości 30 000 złotych. Treść uzasadnienia decyzji znajdziecie poniżej:
- Stwierdzając naruszenie przez Sąd Rejonowy Szczecin-Centrum w Szczecinie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej rozporządzeniem 2016/679, polegające na niewdrożeniu przez Sąd Rejonowy Szczecin-Centrum w Szczecinie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci, które to środki zapobiegłyby utrwaleniu przez X Sądu Rejonowego Szczecin-Centrum w Szczecinie danych osobowych na dwóch prywatnych i niezabezpieczonych nośnikach danych i w konsekwencji pozwoliłyby uniknąć naruszenia ochrony danych osobowych, stanowiącego naruszenie poufności w wyniku zagubienia tych nośników, nakłada na Sąd Rejonowy Szczecin-Centrum z siedzibą w Szczecinie przy ul. Kaszubskiej 42, za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 i 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w kwocie 30.000 PLN (słownie: trzydzieści tysięcy złotych i 00/100) - czytamy w uzasadnieniu decyzji