Urząd Ochrony Danych Osobowych nałożył na Prezesa Sądu Rejonowego w Zgierzu karę w wysokości 10 tys. złotych za zgubienie przez kuratora sądowego niezaszyfrowanego pendrive’a. Organ uznał, że administrator naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązał go do wdrożenia odpowiednich zabezpieczeń.
Takie rozstrzygnięcie nie powinno nikogo zaskakiwać. Niezaszyfrowany pendrive nie jest zabezpieczony i w przypadku jego zgubienia lub kradzieży, osoba trzecia może bez problemu go uruchomić. Dlatego podmioty, które dopuszczają korzystanie z przenośnych nośników danych, powinny wydawać jedynie zaszyfrowane urządzenia. Jeszcze łatwiejszym rozwiązaniem jest zablokowanie portów USB w komputerach służbowych. Nie powinno utrudnić ono codziennej pracy, w szczególności, jeśli do przechowywania plików administrator używa narzędzi typu dysk Google czy OneDrive.
Pełna treść decyzji UODO dostępna jest tutaj.
To prawdopodobnie pierwszy wyrok sądu cywilnego w sprawie ujawnienia danych osobowych. Właścicielka pojazdu, który uczestniczył w kolizji drogowej, zażądała od ubezpieczyciela 10 tys. złotych zadośćuczynienia z powodu ujawnienia jej danych osobowych poszkodowanemu. Otrzymał on bowiem jej imię i nazwisko, adres zamieszkania, PESEL, numer telefonu oraz informacje dotyczące pojazdu.
Firma odmówiła, więc właścicielka samochodu postanowiła skorzystać z drogi sądowej. Dochodząc swoich roszczeń powołała się na przepisy RODO oraz kodeksu cywilnego dotyczące naruszenia dóbr osobistych. Sąd Okręgowy w Warszawie częściowo przyznał rację powódce i uznał, że ubezpieczyciel powinien był udostępnić poszkodowanemu jedynie jej imię, nazwisko, numer pojazdu i numeru polisy ubezpieczenia OC (ewentualnie dodatkowo informacje o miejscu zamieszkania).
Jednocześnie zdaniem sądu kwota 10 tys. zł zadośćuczynienia byłaby zbyt wysoka w stosunku do rzeczywiście doznanej krzywdy. Sąd stwierdził, że bezprawne przekazanie danych nie wiązało się z dalszymi negatywnymi konsekwencjami, jak nękanie czy próby zaciągnięcia zobowiązań i ostatecznie zasądził kwotę 1,5 tys. zł jako wystarczającą, aby zrekompensować krzywdę właścicielki pojazdu.
Powyższy wyrok jest niezwykle istotny dla wszystkich administratorów danych oraz osób, które chciałyby dochodzić swoich praw w przypadku naruszenia ochrony ich danych osobowych. Orzeczenie Sądu Okręgowy w Warszawie wyraźnie potwierdza, że bezprawne ujawnienie danych może stanowić podstawę do zapłaty zadośćuczynienia. Oczywiście istotne jest, jaką krzywdę poniosła osoba w wyniku naruszenia ochrony danych, jednak nawet jeśli jest ona nieznaczna, sąd może uznać, że zadośćuczynienie powinno stanowić „satysfakcję moralną”. Można sobie zatem łatwo wyobrazić, jak duże problemy mogą spotkać administratora w przypadku naruszenia, które dotyczy większej liczby osób.