Home

Entreprises qui nous ont choisis

Privacy Officer et Privacy Consultant
Schéma CDP selon ISO/IEC 17024:2012
European Privacy Auditor
Système de certification ISDP©10003 selon ISO/IEC 17065:2012
Auditor
Selon la norme UNI 11697:2017
Lead Auditor ISO/IEC 27001:2022
Selon la norme ISO/IEC 17024:2012
Délégué à la Protection des données
Selon la norme ISO/IEC 17024:2012
Anti-Bribery Lead Auditor Expert
Selon la norme ISO/IEC 17024:2012
ICT Security Manager
Selon la norme UNI 11506:2017
IT Service Management (ITSM)
Selon la Fondation ITIL
Ethical Hacker (CEH)
Selon EC-Council
Network Defender (CND)
Selon EC-Council
Computer Hacking Forensics Investigator (CHFI)
Selon EC-Council
Penetration Testing Professional (CPENT)
Selon EC-Council

Qualifications professionnelles

Restez au courant de l'actualité mondiale!

Sélectionnez les thèmes qui vous intéressent:

News

Home / News
/
AUTORITÉ DE CONTRÔLE POLONAISE: les supports contenant de données à caractère personal doivent entre protégés

AUTORITÉ DE CONTRÔLE POLONAISE: les supports contenant de données à caractère personal doivent entre protégés

Le président du tribunal de district n’a pas protégé les médias avec des données officielles, mais a simplement ordonné à ses employés de le faire. En attendant, c’est lui, en tant que responsable du traitement, et non l’utilisateur du support de données, qui est responsable de la mise en œuvre de mesures techniques et organisationnelles appropriées garantissant une sécurité adéquate des données.

Faute de telles solutions, l’organe de surveillance a imposé une sanction administrative de 10.000 PLN (2.188,00 euros) au président de la Cour. 

La décision d’infliger une sanction est liée à la notification par le président du tribunal de district de Zgierz d’une violation de la protection des données à caractère personnel consistant en la perte d’une clé USB non cryptée par un préposé à la surveillance. Le support de données contenait les données de 400 personnes placées en liberté surveillée et faisant l’objet de l’entretien communautaire. En raison de la portée des données personnelles divulguées, la violation indiquée a entraîné un risque élevé de violation des droits ou des libertés des personnes physiques, par conséquent un avis de violation a été publié sur le site Web du tribunal de district de Zgierz.

Le support de stockage perdu et non protégé n’a pas été trouvé jusqu’à présent, de sorte qu’une ou plusieurs personnes non autorisées peuvent toujours avoir accès aux données personnelles stockées sur elle.

Au cours de la procédure UODO, l’administrateur a indiqué dans les explications présentées qu’il avait mis en place un système de protection des données personnelles sous forme de règles pour le traitement des données personnelles. Cette documentation est mise à jour et vérifiée en permanence par le délégué à la protection des données désigné à cet effet.

En outre, l’administrateur a assuré avoir exercé des activités sous forme de formation stationnaire et d’e-learning pour les employés du Tribunal (y compris les officiers de surveillance), en matière de protection des données personnelles et d’enregistrement de la documentation mise en œuvre, tâches exécutées par le contrôleur de la protection des données responsable au siège du titulaire, tâches en ligne et inspections ad hoc effectuées par le délégué à la protection des données pendant les heures de bureau.

Toutefois, selon les documents en vigueur chez l’administrateur, la responsabilité de la sécurisation des médias incombe aux utilisateurs. Selon le Bureau de la protection des données personnelles, cette approche est inappropriée.

La procédure a montré que l’administrateur avait violé entre autres, le principe de la confidentialité et de l’intégrité des données à caractère personnel en délivrant aux agents de surveillance un dispositif de stockage portable non protégé et en les obligeant à assurer eux-mêmes la sécurité de cette mémoire.

La conséquence de l’absence de mesures organisationnelles et techniques appropriées en cas de perte de ce transporteur par l’agent de surveillance est de permettre à des personnes non autorisées d’accéder aux données à caractère personnel le concernant.

Il convient d’ajouter que la formation des employés dans le domaine de la protection des données à caractère personnel est nécessaire et nécessaire, mais elles ne peuvent être considérées comme des mesures organisationnelles appropriées dans ce cas particulier et ne doivent pas remplacer des solutions techniques que l’administrateur n’a pas prévues. En outre, dans ce cas, l’administrateur a laissé à l’utilisateur la protection effective du support, sans indiquer aucune mesure de sécurité exemplaire et adéquate que l’employé puisse appliquer.

Il convient de noter que les employés, comme c’est le cas ici, ne savent peut-être pas comment protéger les médias avec leurs données personnelles. Par conséquent, les actions entreprises par le président de la Cour ne peuvent être considérées comme la mise en œuvre de mesures techniques ou organisationnelles adéquates.

Il est entendu que le responsable du traitement, et non un employé ou une personne qui exécute des tâches officielles, est l’obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées pour que le traitement soit effectué conformément aux exigences du RGPD.

Lors de la détermination du montant de la sanction administrative, le Bureau de la protection des données à caractère personnel a tenu compte de la bonne coopération du Président du Tribunal avec l’organisme de contrôle comme une circonstance entreprise et menée en vue d’éliminer l’infraction et d’en atténuer les éventuels effets négatifs.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO

Proposé pour vous

Recherche avancée