Tak uznał Wojewódzki Sąd Administracyjny w Warszawie, który oddalił skargę Prezesa Sądu Rejonowego w Zgierzu na decyzję Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu kary pieniężnej w wysokości 10 tys. zł za naruszenie RODO.
Sprawa dotyczyła zgubienia przez kuratora sądowego niezaszyfrowanego nośnika pamięci typu pendrive. Były na nim przechowywane dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. PUODO ukarał Prezesa Sądu, który jego zdaniem nie dopełnił swoich obowiązków jako administrator danych. Decyzję PUODO Prezes Sądu zaskarżył.
W uzasadnieniu wyroku z 15 lutego 2022 r. WSA uznał, że PUODO prawidłowo ustalił stan faktyczny sprawy i właściwie ocenił materiał dowodowy. Bezsporne było, że doszło do naruszenia ochrony danych osobowych w wyniku zgubienia niezaszyfrowanego pendrive'a. Administrator wydał do użytku służbowego niezabezpieczone urządzenie i zobowiązał kuratorów do zabezpieczenia nośnika we własnym zakresie.
- Pracownik nie może zastępować administratora w realizacji jego obowiązków. Poza tym pracownik może nie posiadać odpowiedniej wiedzy w zakresie stosowania odpowiednich środków organizacyjnych czy technicznych albo może wdrożyć nieodpowiednie zabezpieczenia i nieadekwatne do zakresu przetwarzanych danych osobowych - stwierdził organ nadzorczy, a sąd podzielił to stanowisko.
Czytaj więcej
Krajowa Szkoła Sądownictwa i Prokuratury nie zastosowała odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić bezpieczeństwo przetwarzania danych – potwierdził Wojewódzki Sąd Administracyjny w Warszawie.
Zdaniem UODO, na co również zwrócił uwagę WSA, administrator naruszył m.in. zasadę poufności i integralności danych osobowych, ponieważ nie wprowadził odpowiednich środków organizacyjnych i technicznych adekwatnych do sposób i celów przetwarzania danych, po które to Prezes Sądu sięgnął dopiero po utracie nośnika danych. W konsekwencji zaniechanie to umożliwiło osobom nieuprawnionym dostęp do danych osobowych.
- Tak zorganizowany proces określania i wdrażania zabezpieczeń przetwarzanych danych osobowych, pozbawia administratora dostępu do podstawowych informacji. Skutkiem tego jest brak wiedzy, jakie zabezpieczenia funkcjonują w organizacji i czy będą one skuteczne w razie potencjalnych zagrożeń - uznał WSA.
Sąd przyznał rację organowi, że nałożona administracyjna kara pieniężna spełni swoją funkcję zarówno represyjną, jak i prewencyjną.
sygn. II SA/Wa 3309/21
