Prezes Urzędu Ochrony Danych Osobowych w związku z naruszeniem przepisów RODO nałożył administracyjną karę pieniężną w wysokości 23 580 zł. Ukarany został Rzecznik Dyscyplinarny Izby Adwokackiej. Ponadto Prezes UODO nakazał dostosowanie operacji przetwarzania do wymogów RODO w terminie 6 miesięcy od dnia doręczenia decyzji.

Na czym polegało naruszenie przepisów?
Zgodnie z wymaganiami art. 33 RODO naruszenie ochrony danych zgłosił sam administrator. Wskazał on, że do jego siedziby zgłosił się obrońca obwinionego w postępowaniu dyscyplinarnym prowadzonym przed Rzecznikiem Dyscyplinarnym Izby Adwokackiej. Obrońca poinformował Administratora o otrzymaniu uszkodzonej przesyłki, w której wbrew treści pisma przewodniego brakowało załącznika w postaci zewnętrznego nośnika danych (pendrive).
Nośnik zawierał nagranie rozprawy rozwodowej z danymi osobowymi 8 osób w zakresie imienia, nazwiska, szczegółów dotyczących życia rodzinnego, relacji stron oraz podejrzeń o niewierność małżeńską.
Przyczyny wystąpienia naruszenia
Jak zauważył Prezes UODO, administrator jest zobowiązany zapewnić bezpieczeństwo przetwarzanych danych osobowych oraz zastosować narzędzia techniczne i organizacyjne, które odpowiadają ryzyku naruszenia praw i wolności osób fizycznych.
Aby odpowiednio wdrożyć takie środki, administrator powinien określić poziom ryzyka, jaki wiąże się z przetwarzaniem danych osobowych, a następnie ustalić, jakie środki będą adekwatne. Rezultatem takiej analizy powinien być samodzielny dobór i wdrożenie zabezpieczeń przez administratora.
U rzecznika dyscyplinarnego istniały wewnętrzne procedury zabezpieczania nośników danych, ale w praktyce ich nie przestrzegano. Wprowadzona przez administratora procedura stanowi, że w przypadku wykorzystania i przekazywania zewnętrznych nośników danych, na których znajdują się dane osobowe przed wysłaniem należy je zaszyfrować. Ponadto przewiduje ona stosowanie specjalnych kopert dla zwiększenia bezpieczeństwa przesyłki.
W tym przypadku koperta ta zastąpiona została szczelnie zaszytą zszywkami plastikową koszulką, którą następnie przymocowano do pisma przewodniego oraz umieszczono w zwykłej kopercie.
Wątpliwości wzbudziła więc skuteczność wprowadzonych procedur z uwagi na niezastosowanie ich postanowień przez pracowników kancelarii przy wysyłce zewnętrznego nośnika. Plik znajdujący się na nośniku, jak i sam pendrive nie zostały zaszyfrowane. Zabezpieczenia funkcjonowały jedynie na papierze.

Jak prawidłowo zabezpieczyć się przed tym rodzajem naruszeń?
Wprowadzenie regulacji wewnętrznych odnoszących się do zasad ochrony danych osobowych czy stosowania środków technicznych i organizacyjnych jest jedynie fundamentem, na którym należy zbudować bezpieczny system przetwarzania danych.
Na administratorze ciąży stały obowiązek weryfikacji czy przyjęte środki bezpieczeństwa są skuteczne i czy ograniczają lub eliminują ryzyko związane z przetwarzaniem danych osobowych. UODO wielokrotnie zwracał uwagę, że zastosowanie odpowiednich środków technicznych i organizacyjnych nie jest działaniem jednorazowym, a ma charakter procesu ciągłego.
W stworzeniu funkcjonalnego i bezpiecznego systemu ochrony danych osobowych mogą pomóc profesjonalne podmioty zajmujące się ochroną danych osobowych.
Umów się na bezpłatny audyt RODO
Rzecznik Dyscyplinarny zaskarży decyzję UODO
UDOO w swojej decyzji nie wskazał, w sprawie jakiej Izby Adwokackiej została ona wydana. Jednak w dniu publikacji decyzji rzecznik prasowy Okręgowej Rady Adwokackiej w Warszawie adwokat Grzegorz Kukowka, opublikował następujące oświadczenie:
W związku z podaną dzisiaj do wiadomości publicznej przez Prezesa Urzędu Ochrony Danych Osobowych informacją, potwierdzam, że na mocy decyzji DKN.5131.31.2022 z 20 kwietnia 2023 r. Prezes Urzędu Ochrony Danych Osobowych nałożył na Rzecznik Dyscyplinarną Izby Adwokackiej w Warszawie jako na administratora danych osobowych, karę pieniężną w wysokości 23.580,00 PLN, stwierdzając jednocześnie naruszenie przez RD przepisów o ochronie danych osobowych.
Jednocześnie wskazuję, że Rzecznik Dyscyplinarna Izby Adwokackiej w Warszawie, w porozumieniu z Dziekanem Okręgowej Rady Adwokackiej w Warszawie oraz Inspektor Ochrony Danych Osobowych podjęła decyzję o celowości zaskarżenia wydanej decyzji, zgodnie z obowiązującymi przepisami prawa. Nasze wątpliwości budzi zarówno ustalony w sprawie stan faktyczny, jak i treść rozstrzygnięcia.
Podkreślamy przy tym, że sprawa dotyczy jednego postępowania dyscyplinarnego i jednego domniemanego incydentu, którego okoliczności kwestionujemy na drodze prawnej.
Z uwagi na dobro dalszego postępowania, na tym etapie nie będziemy udzielać szerszych komentarzy.
adw. Grzegorz Kukowka
| Redakcja BPPZ.pl