Rzeczpospolita
Prawo

Ważny wyrok sądu ws. ochrony danych osobowych podczas pracy zdalnej

Dane osobowe w prywatnym komputerze pracownika, wykonującego pracę zdalną podlegają RODO - wynika z wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie.

Publikacja: 07.12.2023 14:09

Ważny wyrok sądu ws. ochrony danych osobowych podczas pracy zdalnej

Foto: Adobe Stock

mat

Kanwą orzeczenia była decyzja Prezesa Urzędu Ochrony Danych Osobowych, w której nałożono karę upomnienia na Rzecznika Finansowego.

Skradziony laptop radcy prawnego

Jak czytamy w komunikacie, do naruszenia ochrony danych osobowych doszło w związku z kradzieżą prywatnego komputera byłego pracownika RF. W komputerze tym przechowywane były dane osobowe przetwarzane podczas pracy zdalnej. Fakt nieprzeprowadzenia przez administratora analizy ryzyka sprawił, że dane te nie zostały odpowiednio zabezpieczone. Ponadto administrator nie upewnił się, czy pracownik po zakończeniu świadczenia pracy skutecznie i trwale usunął dane z komputera.

Rzecznik Finansowy zaskarżył decyzję Prezesa UODO. Podniósł w niej, iż skradziony komputer należał do byłego już pracownika, a Prezes UODO nie udowodnił, że na jego dysku twardym faktycznie znajdowały się dane osobowe. Wytknięto również, że w postępowaniu administracyjnym nie ustalono, czy komputer był chroniony hasłem. Wskazano także, że osoba świadcząca w przeszłości pracę dla Rzecznika Finansowego jest radcą prawnym, a więc odrębnym administratorem danych.

Czytaj więcej

Praca i wakacje w jednym. Jak pracownicy chronią dane osobowe podczas workation
Dane osobowe
Praca i wakacje w jednym. Jak pracownicy chronią dane osobowe podczas workation

Administrator danych powinien przeprowadzić analizę ryzyka w związku z pracą zdalną

W komunikacie podkreślono, że żaden z powyższych argumentów nie został podzielony przez WSA w Warszawie.

Wojewódzki Sąd Administracyjny nie miał wątpliwości, że administratorem danych w tym przypadku był Rzecznik Finansowy, a nie jego pracownik. Sąd rozstrzygając tę kwestię, przywołał definicję administratora zawartą w RODO, zgodnie z którą jest nim ten, kto decyduje o celach i sposobach przetwarzania danych osobowych. WSA podkreślił przy tym, że pracownik nie występuje jako odrębny podmiot prawa, a jego działania są działaniami pracodawcy, za które pracodawca ponosi odpowiedzialność. Jak podkreślono, nie zmienia tej sytuacji prawnej nawet działanie naruszające lub wykraczające poza zakres powierzonych pracownikowi zadań i obowiązków pracowniczych czy też status radcy prawnego byłego pracownika.

WSA w Warszawie zgodził się z Prezesem UODO, że administrator danych powinien przeprowadzić analizę ryzyka w związku z pracą zdalną pracowników i korzystaniem przez nich zarówno z prywatnych, jak i służbowych komputerów. Sąd uznał, że administrator uchybiając obowiązkom RODO w zakresie analizy ryzyka, jak i wdrożenia odpowiednich rozwiązań technicznych i organizacyjnych mających zapewniać bezpieczeństwo przetwarzanym danym, starał się przerzucić odpowiedzialność za to na pracownika. "Pomimo iż pracownik był zobowiązany do łączenia się przez VPN, korzystania z odpowiednich programów do szyfrowania plików oraz stosowania haseł do logowania znanych wyłącznie jemu i ich cyklicznej zmiany, to z umowy zawartej pomiędzy stronami nie wynika, by pracownik był zobowiązany do szyfrowania dysku twardego" - dodano.

Odpowiadając na zarzut RF, że Prezes UODO nie udowodnił w postępowaniu, iż komputer nie był odpowiednio chroniony, WSA wskazał, iż ciężar dowodowy w tym przypadku spoczywa po stronie administratora i to on powinien być w stanie wykazać, że prywatny laptop pracownika został odpowiednio zabezpieczony przed potencjalnym nieuprawnionym dostępem do danych osobowych, które się na nim znajdowały.

W swoim orzeczeniu WSA zwrócił też uwagę, że administrator nie zweryfikował również, czy pracownik skutecznie usunął dane z komputera.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Praca Dane Osobowe Sądy i Trybunały Sądy Administracyjne WSA Urzędnicy Rzecznik Finansowy Praca zdalna Urząd Ochrony Danych Osobowych (UODO)
Biskup senior senior diecezji świdnickiej Ignacy Dec
Dobra osobiste
Ksiądz pozwał biskupa. Jest wyrok Sądu Najwyższego w bezprecedensowej sprawie
Jak wygląda nowoczesny leasing
Materiał Promocyjny
Jak wygląda nowoczesny leasing
Jarosław Kaczyński, Radosław Sikorski
Dobra osobiste
Lex Kaczyński do kosza. Nakazane przeprosiny muszą coś znaczyć
Egzamin radcowski, czyli zawodowy egzamin dla radców prawnych
Aplikacje i egzaminy
Pierwszy dzień egzaminów zawodowych za nami. Znamy zadania z prawa karnego
Oskarżony Paweł K. na sali Sądu Rejonowego w Olsztynie
Prawo karne
Koniec głośnego procesu adwokata. Prokurator: Zachowanie jakby miał 13 lat
Kroki praktycznego wdrożenia i operowania projektem OZE w wymiarze lokalnym
Materiał Partnera
Kroki praktycznego wdrożenia i operowania projektem OZE w wymiarze lokalnym
Ryszard Cyba (C) został skazany na dożywocie przez łódzki sąd, który zezwolił na publikację nazwiska
Prawo karne
Gdzie jest zabójca posła PiS? Prokuratura: zwolniony, ale nie uwolniony
Suzuki Moto Road Show już trwa. Znajdź termin w swoim mieście
Materiał Promocyjny
Suzuki Moto Road Show już trwa. Znajdź termin w swoim mieście
e-Wydanie