Pendrive, błąd i 20 000 zł kary dla Sanepidu. Prezes UODO wyciąga konsekwencje
W tej decyzji Prezes UODO wskazał jak poważne są konsekwencje zaniedbania aspektów związanych z bezpieczeństwem używania przenośnych pamięci. Tym razem były pracownik Państwowego Powiatowego Inspektora Sanitarnego w pewnym mieści zgubił prywatnego pendriva zawierającego dane służbowe. Administrator wskazał w treści zgłoszenia, że: otrzymał informację o odnalezieniu przez podmiot trzeci zewnętrznego nośnika danych, rzekomo należącego do byłego pracownika (…)”. Administrator wskazał ponadto, że „W dniu 31.10.2023 r. o godzinie 11.48 do (…) w M. wpłynął drogą elektroniczną e-mail od (…) w Z. z zaszyfrowanym plikiem dokumentów znajdujących się na tym pendrive, celem zweryfikowania, które to dotyczą działalności (…) w M. i dokonania ewentualnego zgłoszenia naruszenia przepisów RODO. W wyniku przeprowadzonej analizy stwierdzono, że w pliku znajdują się dokumenty pochodzące z okresu zatrudnienia pracownika w (…) w M. (…)” Odnaleziony zewnętrzny nośnik danych typu pendrive należał do byłego pracownika Administratora i był jego prywatną własnością. Osoba, do której należał znaleziony zewnętrzny nośnik danych, zatrudniona była u Administratora od (…). Dane osobowe zapisane na prywatnym zewnętrznym nośniku danych byłego pracownika pochodziły z okresu od 2015 r. do końca maja 2021 r. Ww. nośnik danych nie był zabezpieczony hasłem, a dane osobowe Administratora tam zapisane nie były zaszyfrowane. Na zagubionym prywatnym, zewnętrznym nośniku danych byłego pracownika Administratora przetwarzano dane osobowe ponad 4200 osób, w tym dane zawarte w około 300 dokumentach będących pismami w sprawie postępowań administracyjnych prowadzonych przez Administratora lub innych postępowań związanych z działalnością Administratora. Pismami z 23 lutego 2024 r. i z 23 października 2024 r. Administrator oświadczył, że w związku z ujawnionym naruszeniem ochrony danych osobowych zablokowano dostęp do nośników zewnętrznych na stacjach roboczych ograniczając użytkowanie nośników USB do nośników szyfrowanych autoryzowanych przez pracownika IT Administratora. Prezes UODO decyzją z listopada 2025 r. stwierdził naruszenie art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO polegające na: 1) niewdrożeniu odpowiednich środków technicznych i organizacyjnych na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan […]
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.
W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.