Sąd: kurator zgubił dane osobowe, ale odpowiada prezes sądu

Ograniczenie się przez administratora tylko do szkolenia dla pracowników, pomijając przy tym zastosowanie zabezpieczeń technicznych, nie może być uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych.

Publikacja: 12.04.2022 15:06

Sąd: kurator zgubił dane osobowe, ale odpowiada prezes sądu

Foto: Adobe Stock

Tak uznał Wojewódzki Sąd Administracyjny w Warszawie, który oddalił skargę Prezesa Sądu Rejonowego w Zgierzu na decyzję Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu kary pieniężnej w wysokości 10 tys. zł za naruszenie RODO.

Sprawa dotyczyła zgubienia przez kuratora sądowego niezaszyfrowanego nośnika pamięci typu pendrive. Były na nim przechowywane dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. PUODO ukarał Prezesa Sądu, który jego zdaniem nie dopełnił swoich obowiązków jako administrator danych. Decyzję PUODO Prezes Sądu zaskarżył.

W uzasadnieniu wyroku z 15 lutego 2022 r. WSA uznał, że PUODO prawidłowo ustalił stan faktyczny sprawy i właściwie ocenił materiał dowodowy. Bezsporne było, że doszło do naruszenia ochrony danych osobowych w wyniku zgubienia niezaszyfrowanego pendrive'a. Administrator wydał do użytku służbowego niezabezpieczone urządzenie i zobowiązał kuratorów do zabezpieczenia nośnika we własnym zakresie.

- Pracownik nie może zastępować administratora w realizacji jego obowiązków. Poza tym pracownik może nie posiadać odpowiedniej wiedzy w zakresie stosowania odpowiednich środków organizacyjnych czy technicznych albo może wdrożyć nieodpowiednie zabezpieczenia i nieadekwatne do zakresu przetwarzanych danych osobowych - stwierdził organ nadzorczy, a sąd podzielił to stanowisko.

Czytaj więcej

KSSiP przegrała z UODO w sądzie

Zdaniem UODO, na co również zwrócił uwagę WSA, administrator naruszył m.in. zasadę poufności i integralności danych osobowych, ponieważ nie wprowadził odpowiednich środków organizacyjnych i technicznych adekwatnych do sposób i celów przetwarzania danych, po które to Prezes Sądu sięgnął dopiero po utracie nośnika danych. W konsekwencji zaniechanie to umożliwiło osobom nieuprawnionym dostęp do danych osobowych.

- Tak zorganizowany proces określania i wdrażania zabezpieczeń przetwarzanych danych osobowych, pozbawia administratora dostępu do podstawowych informacji. Skutkiem tego jest brak wiedzy, jakie zabezpieczenia funkcjonują w organizacji i czy będą one skuteczne w razie potencjalnych zagrożeń - uznał WSA.

Sąd przyznał rację organowi, że nałożona administracyjna kara pieniężna spełni swoją funkcję zarówno represyjną, jak i prewencyjną.

sygn. II SA/Wa 3309/21

Tak uznał Wojewódzki Sąd Administracyjny w Warszawie, który oddalił skargę Prezesa Sądu Rejonowego w Zgierzu na decyzję Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu kary pieniężnej w wysokości 10 tys. zł za naruszenie RODO.

Sprawa dotyczyła zgubienia przez kuratora sądowego niezaszyfrowanego nośnika pamięci typu pendrive. Były na nim przechowywane dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. PUODO ukarał Prezesa Sądu, który jego zdaniem nie dopełnił swoich obowiązków jako administrator danych. Decyzję PUODO Prezes Sądu zaskarżył.

2 / 3
artykułów
Czytaj dalej. Subskrybuj
Nieruchomości
Sąd Najwyższy: zasiedzenie działki za miedzą nie dla każdego sąsiada
Praca, Emerytury i renty
Krem z filtrem, walizka i autoresponder – co o urlopie powinien wiedzieć pracownik
Zdrowie
Jak uzyskać pieniądze za błędy medyczne. Odpowiadamy na pytania
Nieruchomości
Większe odległości od działki sąsiada. Jakie zmiany się szykują
Materiał Promocyjny
Mazda CX-5 – wszystko, co dobre, ma swój koniec
Za granicą
Wakacje 2024 z biurem podróży. Jakie mam prawa podczas wyjazdu wakacyjnego?
Materiał Promocyjny
Branża bankowa gorszy okres ma za sobą