Naczelny Sąd Administracyjny (NSA) podtrzymał w mocy wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie (WSA) oraz decyzję organu nadzorczego nakładającą karę na Prezesa Sądu Rejonowego w Zgierzu (10 tysięcy złotych). Wyrok NSA jest prawomocny. Zarówno decyzja Prezesa UODO, jak i wyroki sądów obu instancji zawierają cenne wskazówki dla administratorów w zakresie ustalania sposobów zabezpieczania danych oraz roli pracowników w tym zakresie.
Zgubiony pendrive
Sprawa miała początek jeszcze w 2020 r. Wówczas kurator sądowy (pracownik ukaranego administratora) zgubił niezaszyfrowaną pamięć przenośną (pendrive), która zawierała dane osobowe aż 400 osób. Ze względu na charakter pracy posiadacza niefortunnego pendrive’a, zakres danych osobowych znajdujących się na pendrive’wie był bardzo szeroki. Obejmował on imiona, nazwiska, daty urodzeń, adresy zamieszkania lub pobytu, numery PESEL, numery dowodów osobistych, numery telefonów, informacje o zarobkach lub majątku, jak również dane dotyczące zdrowia i wyroków skazujących. Jak więc widać, zdarzenie obejmowało nie tylko tzw. dane zwykłe, ale również dane szczególnych kategorii.
Naruszenie ochrony danych zostało zgłoszone do organu nadzorczego, jak również zostały powiadomione o nim osoby, których dane dotyczą. W toku rozpatrywania naruszenia Prezes UODO nakazał administratorowi uzupełnienie informacji przekazanej podmiotom danych (m.in. o możliwych konsekwencjach naruszenia). Co bardziej istotne, postępowanie przeprowadzone przez regulatora wykazało, że administrator nie określił właściwych sposobów zabezpieczenia danych, przenosząc niejako ten obowiązek na pracowników.
Obowiązek zabezpieczenia nośnika po stronie pracownika
Prezes UODO ustalił, że zgodnie z przyjętymi u administratora procedurami, obowiązek zabezpieczenia przenośnych nośników danych spoczywał na ich użytkownikach, tj. samych pracownikach. Co ciekawe, zabezpieczenie to nie było zbyt zaawansowane, gdyż miało polegać na przechowywaniu pendrive’ów w zamykanych torbach służbowych. Organ nadzorczy zauważył, że administrator następnie dokonał zmian w procedurach wewnętrznych, poprzez wprowadzenie ewidencjonowania, szyfrowania i zabezpieczenia nośników hasłem. Niemniej zmiany te zostały wprowadzone dopiero po zgubieniu nośnika, czyli po wystąpieniu naruszenia. Prezes UODO zwrócił również uwagę, że pracownicy sądu zostali przeszkoleni w zakresie ochrony danych, niemniej – w ocenie regulatora – nie było to wystarczające i nie gwarantowało odpowiedniego zabezpieczenia danych.
Sądy zgadzają się z Prezesem UODO
Decyzja Prezesa UODO została zaskarżona przez administratora do WSA, a następnie do NSA. Skargi zostały oddalone przez sądy obu instancji. WSA wskazał w swoim wyroku, że administrator zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne, aby nie dopuścić do udostępnienia danych nieuprawnionym osobom. W przedmiotowej sprawie, Prezes Sądu Rejonowego w Zgierzu przekazał natomiast kuratorom sądowym niezabezpieczone nośniki danych, zobowiązując ich jednocześnie do odpowiedniego ich chronienia. Takie działania administratora nie były wystarczające, aby zapobiec dostępowi do danych osobowych przechowywanych w pendrive’wie, w przypadku jego zgubienia. NSA wskazał natomiast w swoim wyroku, że kluczowe w przedmiotowej sprawie było nie tyle zapobieganie zgubieniu pendrive’a, co zabezpieczenie danych przed ich ujawnieniem w przypadku takiego zgubienia. Niewątpliwie – w ocenie NSA – zapewnienie pracownikom szyfrowanych pendrive’ów zminimalizowałby ryzyko naruszenia zasady poufności danych osobowych, w przypadku ich zgubienia. NSA podkreślił, że takie rozwiązanie było dostępne dla administratora, przy uwzględnieniu jego wiedzy technicznej i potencjalnych kosztów. Co więcej, sąd zauważył, że ukarany administrator miał świadomość ryzyk związanych ze potencjalnym zgubieniem pamięci przenośnych, gdyż wynikały one z przeprowadzonej przez niego analizy ryzyka.
Zabezpieczenia określa administrator
Decyzja Prezesa UODO oraz wyroki sądów obu instancji jasno wskazują, że ciężar przeprowadzenia analizy ryzyka oraz wdrożenia na jej podstawie odpowiednich środków technicznych i organizacyjnych spoczywa w całości na administratorze. Powinien on jednocześnie regularnie szkolić pracowników w zakresie ochrony danych osobowych oraz wdrożonych procedur. Sprawa ta pokazuje również dobitnie, czym może grozić przeniesienie na zatrudnione osoby odpowiedzialności za ustalanie środków bezpieczeństwa danych.
Źródła:
https://uodo.gov.pl/pl/138/3368
https://orzeczenia.nsa.gov.pl/doc/7D36FAA44E
Zwiększ bezpieczeństwo w swojej firmie z Omni Modo
Jeśli chcesz chronić swoje zasoby i zapewnić bezpieczne środowisko pracy dla swoich pracowników, jesteśmy tu, aby Ci pomóc! Oferujemy kompleksowe opracowanie zasad bezpiecznej pracy oraz ABC cyberbezpieczeństwa, które pomogą Twojemu zespołowi zrozumieć kluczowe aspekty ochrony danych.
Dowiedz się więcej TUTAJ
Napisz do nas: https://omnimodo.com.pl/kontakt/
