Pracownik nie może zastępować administratora w realizacji jego obowiązków
Pracownik nie może zastępować administratora w realizacji jego obowiązków, czyli ciąg dalszy sprawy związanej z Karą za zgubiony pendrive. Wojewódzki Sąd Administracyjny (WSA), wyrokiem z 15 lutego 2022 r., utrzymał w mocy decyzję organu nadzorczego, w której w związku ze stwierdzonym naruszeniem ochrony danych osobowych dokonanym przez Prezesa Sądu Rejonowego w Zgierzu, została nałożona na niego kara pieniężna w wysokości 10 tys. zł. Sprawa dotyczyła zgubienia przez kuratora sądowego niezaszyfrowanego nośnika pamięci typu pendrive. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym.
Co doprowadziło do postępowania przed UODO ...
Zdarzenie, które stanowiło naruszenie ochrony danych osobowych polegało na zagubieniu nieszyfrowanej przenośnej pamięci zewnętrznej typu pendrive przez kuratora sądowego.
Jak czytamy w treści Decyzji PUODO z dnia 13 lipca 2021r.,
cyt.: „(…)Poufność danych to właściwość zapewniająca w szczególności, że dane nie zostaną udostępnione nieuprawnionym podmiotom, uzyskiwana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk. Wskazana zasada, jak wynika z ustalonego stanu faktycznego, została naruszona przez Prezesa Sądu poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie, co w następstwie zagubienia takiego nośnika przez kuratora sądowego skutkowało umożliwieniem osobom nieuprawnionym dostępu do danych osobowych przetwarzanych na tym nośniku. Jak bowiem ustalono, jedynym zabezpieczeniem zastosowanym przez kuratora było przechowywanie nośnika w zamykanej torbie służbowej.(…)”.
PUODO w swoim komunikacie informuje ...
Ponadto WSA w Warszawie [ II SA/Wa 3309/21] stanął na stanowisku, iż
cyt.: „(…) Zdaniem sądu, tak zorganizowany proces określania i wdrażania zabezpieczeń przetwarzanych danych osobowych, pozbawia administratora dostępu do podstawowych informacji. Skutkiem tego jest brak wiedzy, jakie zabezpieczenia funkcjonują w organizacji i czy będą one skuteczne co do potencjalnych zagrożeń. WSA przyznał rację organowi, że nałożona administracyjna kara pieniężna spełni swoją funkcję zarówno represyjną, jak i prewencyjną.(…)”.
