Sąd: kurator zgubił dane osobowe, ale odpowiada prezes sądu

Ograniczenie się przez administratora tylko do szkolenia dla pracowników, pomijając przy tym zastosowanie zabezpieczeń technicznych, nie może być uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych.

Publikacja: 12.04.2022 15:06

Sąd: kurator zgubił dane osobowe, ale odpowiada prezes sądu

Foto: Adobe Stock

dgk

Tak uznał Wojewódzki Sąd Administracyjny w Warszawie, który oddalił skargę Prezesa Sądu Rejonowego w Zgierzu na decyzję Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu kary pieniężnej w wysokości 10 tys. zł za naruszenie RODO.

Sprawa dotyczyła zgubienia przez kuratora sądowego niezaszyfrowanego nośnika pamięci typu pendrive. Były na nim przechowywane dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. PUODO ukarał Prezesa Sądu, który jego zdaniem nie dopełnił swoich obowiązków jako administrator danych. Decyzję PUODO Prezes Sądu zaskarżył.

W uzasadnieniu wyroku z 15 lutego 2022 r. WSA uznał, że PUODO prawidłowo ustalił stan faktyczny sprawy i właściwie ocenił materiał dowodowy. Bezsporne było, że doszło do naruszenia ochrony danych osobowych w wyniku zgubienia niezaszyfrowanego pendrive'a. Administrator wydał do użytku służbowego niezabezpieczone urządzenie i zobowiązał kuratorów do zabezpieczenia nośnika we własnym zakresie.

- Pracownik nie może zastępować administratora w realizacji jego obowiązków. Poza tym pracownik może nie posiadać odpowiedniej wiedzy w zakresie stosowania odpowiednich środków organizacyjnych czy technicznych albo może wdrożyć nieodpowiednie zabezpieczenia i nieadekwatne do zakresu przetwarzanych danych osobowych - stwierdził organ nadzorczy, a sąd podzielił to stanowisko.

Czytaj więcej

KSSiP przegrała z UODO w sądzie

Zdaniem UODO, na co również zwrócił uwagę WSA, administrator naruszył m.in. zasadę poufności i integralności danych osobowych, ponieważ nie wprowadził odpowiednich środków organizacyjnych i technicznych adekwatnych do sposób i celów przetwarzania danych, po które to Prezes Sądu sięgnął dopiero po utracie nośnika danych. W konsekwencji zaniechanie to umożliwiło osobom nieuprawnionym dostęp do danych osobowych.

- Tak zorganizowany proces określania i wdrażania zabezpieczeń przetwarzanych danych osobowych, pozbawia administratora dostępu do podstawowych informacji. Skutkiem tego jest brak wiedzy, jakie zabezpieczenia funkcjonują w organizacji i czy będą one skuteczne w razie potencjalnych zagrożeń - uznał WSA.

Sąd przyznał rację organowi, że nałożona administracyjna kara pieniężna spełni swoją funkcję zarówno represyjną, jak i prewencyjną.

sygn. II SA/Wa 3309/21

Sądy i trybunały
Po co psuć świeżą krew, czyli ostatni tegoroczni absolwenci KSSiP wciąż na lodzie
Nieruchomości
Uchwała wspólnoty musi mieć poparcie większości. Ważne rozstrzygnięcie SN
Edukacja i wychowanie
Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw
Praca, Emerytury i renty
Ile trzeba zarabiać, żeby na konto trafiło 5000 zł
Materiał Promocyjny
Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?
Prawo karne
Śmierć nastolatek w escape roomie. Jest wyrok