Pendrive zamiast chmury. NSA mówi: 30 tys. kary, ale problem jest głębszy.
Pendrive. Niewinny kawałek plastiku, który w sądach urasta do rangi narzędzia pracy. I jednocześnie do największego zagrożenia.
Historia ze Szczecina zaczęła się banalnie: sędzia zgubił trzy nośniki danych. Jeden służbowy, szyfrowany, i dwa prywatne nieszyfrowane. Były na nich projekty orzeczeń, uzasadnień, zarządzeń. Dane osobowe nieustalonej liczby osób. W teorii coś, co powinno być przechowywane w bezpiecznych systemach IT. W praktyce trafiło na kieszonkowe pendrive’y, które łatwo zgubić między kluczami a notesem.
Prezes UODO nie miał wątpliwości: to naruszenie RODO. Kiedy dane wrażliwe opuszczają bezpieczne środowisko, tracimy nad nimi kontrolę. Została nałożona kara 30 tysięcy złotych. WSA w Warszawie przyznał rację Prezesowi UODO, a gdy sprawa trafiła do NSA sąd utrzymał wyrok.
Na tym poziomie historia się kończy. Ale gdy spojrzymy szerzej, dopiero wtedy zaczyna się właściwa opowieść.
Spójrzmy na realia: polskie sądy nie dysponują bezpieczną infrastrukturą chmurową. Brakuje rozwiązań typu „remote desktop”, które pozwalałyby na pracę z domu na chronionym środowisku. Sędzia ma na biurku stosy akt, setki spraw i napięte terminy. Więc kombinuje, jak przenieść pracę do domu. Najprościej? Skopiować pliki na pendrive.
Tyle że ten „sprzęt z minionej epoki” staje się bombą zegarową. Wystarczy zagubienie, kradzież, przypadkowe podpięcie do nieautoryzowanego komputera i dane wrażliwe mogą trafić w niepowołane ręce. W tym przypadku ryzyko było realne: projekty orzeczeń mogły zawierać dane szczególnej kategorii, w tym dotyczące zdrowia. A pendrive’y do dziś się nie odnalazły.
NSA jasno podkreślił: kara była konieczna, bo wciąż istnieje wysokie ryzyko niezgodnego z prawem wykorzystania danych. Ale to orzeczenie ma też szerszy wymiar. Bo czy naprawdę możemy oczekiwać od sędziów, że będą „cyfrowymi superbohaterami”, skoro system daje im narzędzia z poprzedniej dekady?
Pendrive zamiast chmury. Kserokopiarka zamiast cyfrowego obiegu dokumentów. Papierowe akta zamiast zintegrowanych systemów. Tak wygląda codzienność sądów w Polsce. I dopóki się to nie zmieni, dopóty podobne historie będą wracać.
Ta sprawa to lekcja dla wszystkich: dane osobowe nie wybaczają błędów Kara 30 tysięcy złotych nie jest wygórowana, ale dla budżetu sądu może mieć znaczenie.
Pytanie tylko co dalej? Czy coś się tu zmieni?