Il presidente del tribunale distrettuale non ha protetto i supporti con dati ufficiali, ma ha solo ordinato ai suoi dipendenti di farlo. Nel frattempo, è lui, in qualità di titolare del trattamento, e non l’utente del supporto dati, che è responsabile dell’attuazione di misure tecniche e organizzative adeguate che garantiscano un’adeguata sicurezza dei dati.

Per la mancanza di tali soluzioni, l’organismo di vigilanza ha imposto una sanzione amministrativa di 10.000 PLN (2.188,00 euro) al presidente della Corte. zloty.

La decisione di infliggere una sanzione è collegata alla notifica da parte del presidente del tribunale distrettuale di Zgierz di una violazione della protezione dei dati personali consistente nella perdita di una chiavetta USB non crittografata da parte di un addetto alla sorveglianza. Il supporto dati conteneva i dati di 400 persone sottoposte a libertà vigilata e oggetto dell’intervista comunitaria. A causa della portata dei dati personali divulgati, la violazione indicata ha comportato un alto rischio di violazione dei diritti o delle libertà delle persone fisiche, pertanto è stato  pubblicato un avviso di violazione sul sito web del tribunale distrettuale di Zgierz.

Il supporto di memorizzazione smarrito e allo stesso tempo non protetto non è stato finora trovato, quindi una o più persone non autorizzate possono ancora avere accesso ai dati personali memorizzati su di esso.

Nel corso del procedimento UODO, l’amministratore nelle spiegazioni presentate ha indicato di aver implementato un sistema di protezione dei dati personali sotto forma di regole per il trattamento dei dati personali. Tale documentazione è aggiornata e verificata su base continuativa dal responsabile della protezione dei dati all’uopo nominato. 

Inoltre, l’amministratore ha assicurato di aver svolto attività sotto forma di formazione stazionaria e e-learning per i dipendenti del Tribunale (compresi gli ufficiali di sorveglianza), in materia di protezione dei dati personali e registrazioni della documentazione implementata, compiti svolti dal Garante per la protezione dei dati responsabile presso la sede del titolare, compiti on-line e ispezioni ad hoc effettuate dal responsabile della protezione dei dati durante l’orario di ufficio.

Tuttavia, secondo i documenti in vigore presso l’amministratore, la responsabilità della messa in sicurezza dei media spetta agli utenti. Secondo l’Ufficio per la protezione dei dati personali, questo approccio è inappropriato. 

Dal procedimento è emerso che l’amministratore ha violato, tra l’altro, il principio della riservatezza e dell’integrità dei dati personali rilasciando per uso ufficiale agli agenti di sorveglianza un dispositivo di memoria portatile non protetto e obbligandoli a garantire da soli la sicurezza di tale memoria. La conseguenza della mancata introduzione di misure organizzative e tecniche adeguate, in caso di perdita di tale vettore da parte dell’addetto alla sorveglianza, è consentire a persone non autorizzate di accedere ai dati personali su di esso.

Vale la pena aggiungere che la formazione dei dipendenti nel campo della protezione dei dati personali è necessaria e necessaria, ma non possono essere considerate misure organizzative adeguate in questo caso specifico e non devono sostituire soluzioni tecniche che l’amministratore non ha previsto. Inoltre, in questo caso, l’amministratore ha lasciato all’utente l’effettiva protezione del supporto, senza indicare alcuna misura di sicurezza esemplare e adeguata che il dipendente possa applicare. 

Va tenuto presente che i dipendenti, come è avvenuto in questo caso, potrebbero non sapere come proteggere i media con i dati personali. Pertanto, le azioni intraprese dal Presidente della Corte non possono essere considerate come l’attuazione di misure tecniche o organizzative adeguate.

Si precisa che è il titolare del trattamento, e non un dipendente o una persona che svolge compiti ufficiali, l’obbligo di attuare misure tecniche e organizzative adeguate affinché il trattamento avvenga in conformità con i requisiti del GDPR.

Nel determinare l’importo della sanzione amministrativa, l’Ufficio per la protezione dei dati personali ha tenuto conto della buona collaborazione del Presidente del Tribunale con l’organismo di controllo come circostanza intrapresa e condotta al fine di rimuovere l’infrazione e mitigarne i possibili effetti negativi.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO