W ocenie Urzędu Ochrony Danych Osobowych (UODO), burmistrz „mógłby temu zapobiec, przeprowadzając analizę ryzyka”.

Naruszenie ochrony danych osobowych polegające na wykonaniu przez pracownika kopii danych osobowych ze służbowego komputera na nieautoryzowany nośnik zgłosił do UODO sam burmistrz. 

W zawiadomieniu wskazał, że w maju 2022 r. do urzędu miasta i gminy „został przyniesiony pendrive z polecenia pracownika przebywającego na zwolnieniu lekarskim”. Nośnik został dostarczony przez osobę trzecią, niebędącą pracownikiem gminy. Osoba ta nie posiada również upoważnienia do dysponowania tego rodzaju danymi. 

Skopiowane dane to dokumenty służbowe zawierające informacje osobowe, a w tym np.: umowy z osobami fizycznymi, umowy najmu, faktury, rozliczenia. „Podejrzewamy, że pracownik przebywający na zwolnieniu wykonał nieautoryzowaną i nieuprawnioną kopię dokumentów urzędowych na prywatny nośnik danych” – napisał burmistrz do UODO.

UODO po przyjrzeniu się sprawie stwierdził, że to burmistrz był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych w urzędzie. Tymczasem, do dnia wystąpienia naruszenia, jako administrator nie stosował „szyfrowania portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik”.

Z przeprowadzonego postępowania organu nadzorczego wynika ponadto, że „administrator nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem”.

„Tymczasem czynność ta jest kluczowa dla doboru odpowiednich środków technicznych i organizacyjnych. Ponadto powinna ona zostać udokumentowana oraz uzasadniona na podstawie stanu faktycznego, istniejącego w momencie jej przeprowadzania” – czytamy w informacji UODO.

UODO przyznaje, że „administrator przeprowadził co prawda szkolenia obejmujące swoją tematyką zagadnienia związane z ochroną danych osobowych, jednak nie był w stanie wykazać, że osoba, która doprowadziła do naruszenia ochrony danych osobowych uczestniczyła w tych szkoleniach”.

„Wdrożenie odpowiednich środków technicznych i organizacyjnych, a także wprowadzenie działań zmierzających do optymalnego zabezpieczenia i konfiguracji wykorzystywanych zasobów, narzędzi i urządzeń powinno być regularnie testowane, mierzone i oceniane co do skuteczności zastosowanych rozwiązań. W stanie faktycznym nieprzeprowadzenie przez administratora analizy ryzyka przed wystąpieniem naruszenia ochrony danych osobowych, spowodowało, że nie był on w stanie wykazać, czy przyjęte rozwiązania rzeczywiście zapewniały odpowiednie bezpieczeństwo. Konsekwencją tego było nieuprawnione wykorzystywanie przez pracownika przenośnego nośnika danych” – 

UODO podkreśla w wydanej decyzji, że stwierdzone naruszenie przepisów o ochronie danych osobowych ma „znaczną wagę i poważny charakter” bowiem pozwalało uzyskać nieuprawniony dostęp do przetwarzanych przez burmistrza danych „przez osobę bądź osoby nieuprawnione”, a w konsekwencji dawało „możliwość pozyskania danych osobowych osób, które były zawarte dokumentach (związanych z realizacją zadań administracji publicznej) bezpodstawnie skopiowanych przez pracownika na przenośny nośnik pamięci”.

Według UODO zaistniała „realna możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano”.

W niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba lub osoby nieuprawnione, doznały szkody majątkowej. „Niemniej jednak już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę)” – głosi decyzja.

Prezes UODO podnosi też, że „Burmistrz jako organ wykonawczy samorządu terytorialnego (gminy), jest zobligowany do stosowania wyższych standardów w szczególności w zakresie bezpieczeństwa przetwarzanych danych” – stwierdzono w decyzji UODO.

js/