Pracodawca odpowiada za wyciek danych z laptopa skradzionego pracownikowi. Precedensowy wyrok NSA

W piątek Naczelny Sąd Administracyjny (NSA) wydał precedensowy wyrok dotyczący tego, kto odpowiada za wyciek danych osobowych z komputera skradzionego pracownikowi. 

Ochrona danych kandydatów na studia

O tym, jak kosztowna może być niefrasobliwość w zabezpieczaniu danych osobowych, przekonała się jedna z warszawskich uczelni. Konkretnie chodziło o ogromną bazę danych kandydatów na studia w Szkole Głównej Gospodarstwa Wiejskiego (SGGW), która trafiła w niepowołane ręce w związku z kradzieżą. Uczelnia sama poinformowała o tym prezesa Urzędu Ochrony Danych Osobowych (UODO). I tak zaczęły się jej kłopoty.

Gdy ruszyła urzędnicza machina, potwierdziła, że naruszenie ochrony danych osobowych kandydatów na studia faktycznie było związane z kradzieżą przenośnego prywatnego komputera pracownika uczelni. Był to adiunkt pełniący również funkcję sekretarza uczelnianej komisji rekrutacyjnej. Skradzionego laptopa używał do celów prywatnych i służbowych.

Czytaj więcej

Dane osobowe

Wyciek danych studentów: PUODO wszczął postępowanie wobec SGGW

Po kontroli przeprowadzonej w Szkole Głównej Gospodarstwa Wiejskiego GGW w związku naruszeniem ochrony danych, Prezes UODO wszczął postępowanie administracyjne. Chodzi o wyciek danych studentów po kradzieży laptopa jednego z pracowników uczelni.

Okazało się, że pechowy pracownik naukowy na ten prywatny sprzęt regularnie zaciągał dane z uczelnianego Systemu Obsługi Kandydatów (SOK) służącego do przetwarzania danych w związku z naborem na studia I i II stopnia oraz jednolite studia magisterskie. Były to m.in. imiona, nazwiska kandydatów, ich nazwiska rodowe, imiona rodziców, numer PESEL, płeć, narodowość, obywatelstwo, adres zamieszkania, serię i numer dowodu osobistego bądź innego dokumentu tożsamości, w tym paszportu, numery telefonu, a także informacje o dotychczasowym wykształceniu oraz informacje o kwalifikacji na studia.

Kradzież laptopa – kto odpowiada za dane?

Co prawda kontrolerzy ustalili, że SGGW jako administrator danych nie miała pojęcia o tej praktyce. Sama operacja zaimportowania danych nie była też rejestrowana w SOK. A pobrane zestawy danych służyły adiunktowi do pracy rekrutacyjnej, m.in. do sporządzania raportów końcowych z zestawieniami statystycznymi.

Niemniej stało się jasne, że w skradzionym laptopie naukowca mogły znaleźć się dane 100 tys. kandydatów na studia z ostatnich pięciu lat. Prezesowi UODO nie zostało więc nic innego, jak z urzędu wszcząć postępowanie w celu ustalenia zgodności przetwarzania danych osobowych z RODO. A jego wyniki okazały się druzgocące dla uczelni. 

UODO zarzucił szkole m.in. brak należytego nadzoru, niewystarczającą ocenę zastosowanych środków technicznych i organizacyjnych, a także zbagatelizowanie zagrożeń. I w sumie za wszystkie przewinienia założył 50 tys. zł kary. Przy czym przy jej wymarzaniu wzięto pod uwagę dobrą współpracę ukaranej oraz wdrożenie działań zaradczych. Zapewne istotną okolicznością łagodzącą było też to, że jak na tak duży wyciek nie było dowodów, aby osoby, których dane skradziono, doznały szkody majątkowej.

Czytaj więcej

Dane osobowe

TSUE o RODO: nawet nieistotną szkodę trzeba naprawić

Samo naruszenie RODO nie daje prawa do odszkodowania, ale szkoda niemajątkowa musi zostać naprawiona niezależnie od jej wagi . Odpowiedzialność nie ogranicza się jedynie do „istotnych szkód”.

Administrator danych – pracodawca czy pracownik

Uczelnia nie bagatelizowała problemu, ale do odpowiedzialności się nie poczuwała. W skardze na karę przekonywała, że odpowiedzialność za naruszenie przepisów RODO ponosi jej pracownik. W jej ocenie to jego bowiem powinno się uznać za administratora wykradzionych z laptopem danych osobowych kandydatów na studentów. Skarżąca podkreślała, że w tym zakresie pracownik zaimportował na swój prywatny komputer dane z baz uczelnianych bez wiedzy i zgody pracodawcy. Działał więc bezprawnie, poza zakresem upoważnienia do przetwarzania danych osobowych oraz z naruszeniem polityki bezpieczeństwa, określonych w zarządzeniu rektora. 

Ta tłumaczenia nie przekonały jednak Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie. Ten nie miał bowiem cienia wątpliwości, że w spornym przypadku administratorem danych osobowych była uczelnia, a nie jej pracownik. 

Czytaj więcej

Dane osobowe

Wyciek danych studentów i absolwentów SGH. Jest decyzja sądu

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Szkoły Głównej Handlowej w Warszawie na decyzję Prezesa UODO w sprawie kary za zignorowanie obowiązków administratora danych osobowych studentów i absolwentów.

Sąd zauważył, że z istoty stosunku pracy w stosunkach zewnętrznych pracownik co do zasady nie występuje jako odrębny podmiot prawa. Jego działania są działaniami pracodawcy i to pracodawca ponosi za nie odpowiedzialność, zachowując w stosunku do pracownika regres w postaci możliwości egzekwowania od niego odpowiedzialności odszkodowawczej, porządkowej lub dyscyplinarnej.

Przy czym zdaniem WSA w sprawie nie miało znaczenia naruszające czy wykraczające poza zakres powierzonych adiunktowi zadań i obowiązków pracowniczych, w tym przypadku polegających na przetwarzaniu danych kandydatów na studia. Przepisy RODO obowiązki w zakresie przestrzegania zasad przetwarzania danych osobowych nakładają na administratora i jego obarczają odpowiedzialnością za ich naruszenie.

Kradzież danych a odpowiedzialność 

Ostatecznie przegraną uczelni przypieczętował NSA. Podkreślił, że w sprawie stan faktyczny jest bezsporny. A co do meritum rację przyznał UODO.

Co prawda NSA zwrócił uwagę na wątpliwości, jakie budzi polskie tłumaczenie kluczowego dla sprawy pojęcia administratora, które w oryginalnej wersji nie obejmuje osób fizycznych. Niemniej w ocenie sądu bez względu na to, jak Polska przetłumaczyła tekst RODO i objęcie pojęciem administratora w naszej wersji osób fizycznych, nie oznacza, że w pewnych warunkach i okolicznościach każda osoba fizyczna staje się administratorem.

Przede wszystkim chodzi bowiem o podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Tymczasem w ocenie NSA pracownik, który wszedł w posiadanie pewnych danych osobowych, nawet w ramach upoważnienia udzielonego przez pracodawcę, nie staje się administratorem, bo to nie on ustala cel ich przetwarzania.

Czytaj więcej

Dane osobowe

Polska na podium pod względem liczby zgłoszonych naruszeń danych osobowych

Ponad 14,2 tys. naruszeń RODO zgłoszono w naszym kraju w 2024 r. Więcej było tylko w Niemczech (prawie 27,8 tys.) oraz Holandii 33,4 – wynika z dorocznego raportu z okazji Europejskiego Dnia Ochrony Danych Osobowych.

Przy czym – jak podkreślił sąd – to, że danej osobie zostało udzielone upoważnienie do przetwarzania danych osobowych, w pewnym zakresie nie uprawnia jej do wychodzenia poza jego granice w jakikolwiek sposób. W spornej sprawie upoważnienie nie obejmowało uprawnienia do przeniesienia danych na jakikolwiek nośnik informacyjny, ani w ogóle do zaciągania danych z systemu.

Zatem jeśli nawet tak jak w spornej sprawie pracownik prowadzi proces obsługi kandydatów w procesie rekrutacyjnym, to sam celu przetwarzania ich danych nie ustala. To zadanie pracodawcy, który ceduje na pracownika pewne obowiązki związane z przetwarzaniem danych osobowych. Ma też kontrolować i we właściwy sposób nadzorować wykonywanie tych obowiązków.

Zabezpieczenie baz danych osobowych

A NSA zgodził się, że w spornej sprawie uczelnia nie podołała powinnościom odpowiedniego zabezpieczenia systemu rekrutacyjnego pod kątem ochrony danych osobowych, który zwalniałby z odpowiedzialności administratora. Uczelnia nie wiedziała o możliwości skopiowania i przeniesienia danych na inny nośnik w sposób niekontrolowany. I sam ten fakt zdaniem sądu świadczy, że sprawowany nadzór nad danymi nie był prawidłowy i przesądza o odpowiedzialności uczelni.

Jak podkreśliła sędzia sprawozdawca Hanna Knysiak-Sudyka, administrator powinien mieć pełną kontrolę nad tym, w jaki sposób dane, szczególnie w systemach informatycznych, mogą być z nich przenoszone na inne nośniki. To kwestia poziomu zabezpieczeń.