Sędzia Sądu Rejonowego Szczecin-Centrum w Szczecinie zgubił trzy nośniki danych typu pendrive – jeden służbowy, szyfrowany, oraz dwa nieszyfrowane, prywatne. Wszystkie zawierały dane osobowe nieustalonej liczby osób. W ten sposób doszło do naruszenia poufności danych – stwierdził Prezes Urzędu Ochrony Danych Osobowych i nałożył na Sąd, jako administratora danych, karę pieniężną w wysokości 30 tys. zł.
Czytaj więcej
Rzecznik dyscyplinarny jednej z izb adwokackich jednak będzie musiał zapłacić ponad 23 tys. zł kary za niewdrożenie "środków technicznych i organiz...
Organ nadzorczy stwierdził naruszenie wielu przepisów RODO, m.in. obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych i ściśle z nim skorelowany obowiązek zapewnienia poufności przetwarzanych danych osobowych.
Sąd nie widział powagi naruszenia RODO
Szczeciński sąd nie pogodził się z decyzją PUODO i wniósł skargę do sądu administracyjnego. Kwestionował wysokość kary, wskazując na niewielki stopień naruszenia. Jego zdaniem wystarczyłoby upomnienie.
WSA był innego zdania i podtrzymał decyzję PUODO, bo naruszenie miało poważny charakter i dotyczyło potencjalnie szerokiego kręgu osób, wobec których sporządzane były projekty orzeczeń, uzasadnień i zarządzeń od grudnia 2004 r. do sierpnia 2020 r.
Czytaj więcej
Ograniczenie się przez administratora tylko do szkolenia dla pracowników, pomijając przy tym zastosowanie zabezpieczeń technicznych, nie może być u...
Stanowisko WSA podtrzymał z kolei NSA w wyroku z 26 czerwca 2025 r. (sygn. akt III OSK 1312/24). Jak podkreślił, odstąpienie od nałożenia kary i poprzestanie na upomnieniu powinno się ograniczać wyłącznie do takich przypadków, w których naruszenie jest niewielkie lub grożąca osobie fizycznej kara pieniężna stanowiłaby dla niej nieproporcjonalne obciążenie.
Wciąż jest ryzyko ujawnienia wielu danych, które były na zgubionych pendrive'ach
NSA zauważył także, że ryzyko ujawnienia danych nadal istnieje, bowiem zagubione nośniki danych nadal nie zostały odnalezione. Poza tym w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się danymi osobowymi, które były na zgubionych nośnikach, bo nieznany jest cel, dla którego osoba bądź osoby nieuprawnione mogą podjąć działania zmierzające do wykorzystania tych danych.
Nie bez znaczenia dla oceny sprawy było również to, że nie został ustalony zakres osób, których mogło dotyczyć naruszenie oraz brak zapewnienia odpowiedniego zabezpieczenia pomimo świadomości zagrożeń z tym związanych – administrator, czyli sąd, na długo przed zgubieniem nośników dysponował oprogramowaniem, które wyłączało możliwość korzystania z nieautoryzowanych nośników danych na służbowych komputerach. Na ostateczny werdykt wpłynął także długi czas trwania naruszenia i kategorie naruszonych danych osobowych, które potencjalnie mogły ujawniać dane o stanie zdrowia, a więc dane szczególnie chronione na gruncie RODO.
