arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
02.09.2021

Za wdrożenie odpowiednich środków technicznych i organizacyjnych odpowiedzialny jest administrator danych osobowych, a nie pracownicy

Adam Warawko

Wydaną ostatnio decyzją administracyjną Prezes Urzędu Ochrony Danych Osobowych nałożył karę pieniężną na Prezesa Sądu Rejonowego w Zgierzu za niewdrożenie odpowiednich środków technicznych i organizacyjnych dotyczących służbowych nośników elektronicznych.

Decyzja o nałożeniu administracyjnej kary pieniężnej na Prezesa Sądu Rejonowego w Zgierzu to pokłosie zgłoszenia do organu nadzorczego zagubienia niezaszyfrowanego pendriva zawierającego dane kilkuset osób. W wyniku przeprowadzonej kontroli administrator wykazywał, że m.in. wdrożył system z zasadami przetwarzania danych osobowych, dokumentacja była aktualizowana na bieżąco przez IOD oraz przeprowadzane były szkolenia pracowników. Jednakże, jak się okazało, w dokumentacji znajdowały się zapisy o tym, że obowiązek zabezpieczenia nośników spoczywa na ich użytkownikach. Oznaczało to, że de facto użytkownik nośnika zobowiązany był do wdrożenia odpowiednich zabezpieczeń we własnym zakresie. Zgodnie z dokonanymi przez organ nadzoru ustaleniami administrator nie wskazał również żadnych przykładowych oraz adekwatnych zabezpieczeń, które pracownik może zastosować.

Co do konieczności stosowania właściwych zabezpieczeń przepisy są dość precyzyjne, w kontekście tego na kim spoczywa takowy obowiązek – to administrator danych, nie zaś pracownik lub osoba wykonująca zadania służbowe, jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO. Artykuł 24 ust. 1 RODO stanowi bowiem, że: uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Podkreślenia wymaga, że przeprowadzanie szkoleń pracowników w zakresie ochrony danych osobowych jest konieczne i potrzebne, jednak nie można ich uznać za wystarczające środki organizacyjne w tym konkretnym przypadku. Nie mogą one również zastąpić rozwiązań o charakterze technicznym.

Po przeprowadzonym postępowaniu organ nadzorczy uznał, że administrator nie wdrożył odpowiednich środków i ponosi odpowiedzialność za wydanie swoim pracownikom niezabezpieczonego sprzętu służbowego, przez co naruszył zasadę m.in. poufności.

Administrator danych osobowych należycie wywiązał się natomiast z ciążących na nim obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem decyzji. Dobra współpraca z organem nadzorczym prowadzona w celu usunięcia naruszenia i złagodzenia jego ewentualnych negatywnych skutków oraz konkretne i szybkie działania podjęte przez Prezesa Sądu w postaci: wydania zarządzenia określającego szczegółowe zasady postępowania z urządzeniami przenośnymi; wprowadzenia ewidencjonowania i szyfrowania użytkowanych przenośnych pamięci oraz powiadomienia osób fizycznych o wystąpieniu naruszenia ochrony ich danych osobowych poprzez zamieszczenie komunikatu o stwierdzonym naruszeniu ochrony danych osobowych stanowiły istotne okoliczność łagodzące. Omawiana sytuacja pokazuje jak ważną kwestią jest podjęcie współdziałania z organem i szybka reakcja na zaistniałe naruszenie, ponieważ w znaczącym stopniu może to wpłynąć na wysokość kary administracyjnej i znacząco obniżyć jej wymiar.