Naruszenie ochrony danych zgłosił sam administrator (zgodnie ze swoim obowiązkiem). Polegało ono na zagubieniu pendrive’a załączonego do pisma wysłanego rzecznikowi (przesyłka była uszkodzona). Sam nośnik, oraz pliki na nim nie były zaszyfrowane, a zawierały dane osobowe. Choć istniały wewnętrzne procedury zabezpieczania takich nośników, to w praktyce ich nie przestrzegano.
Tymczasem, zgodnie z RODO, administrator musi zapewnić odpowiednie środki techniczne i organizacyjne w celu należytej ochrony danych osobowych i bezpieczeństwa ich przetwarzania. Do niego należy także przeprowadzenie analizy ryzyka dla ochrony danych, z uwzględnieniem specyfiki jego działalności – a następnie wprowadzić adekwatne do nich procedury i zabezpieczenia.
Czytaj więcej
Eksperci są zgodni: wymóg wskazania adresu zamieszkania pełnomocnika nie ma podstaw prawnych.
Urząd stwierdził, że w tym wypadku analiza ta okazała się nieprawidłowa, gdyż przewidziano jedynie działania minimalizujące skutki w przypadku awarii nośnika – nie zaś obowiązek jego zabezpieczenia (zaszyfrowania) przed dostępem osób trzecich. Co prawda pracownicy kancelarii RD podjęli działania w celu zabezpieczenia nośnika, ale były one niezgodne z wewnętrznymi regulacjami w tej instytucji.
Przewiduje ona bowiem obowiązek zaszyfrowania zewnętrznych nośników danych przed ich wysłaniem, a także stosowanie specjalnych kopert, w celu zwiększenia bezpieczeństwa wysyłki. W tym wypadku ograniczono się do zwykłej koperty, w której umieszczono zaszytą zszywkami plastikową koszulkę na dokumenty. Dlatego też UODO uznał obowiązujące procedury za nieskuteczne, skoro nie są one przestrzegane.
