WSA podtrzymuje karę dla Rzecznika Finansowego za naruszenie ochrony danych osobowych

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Wojewódzki Sąd Administracyjny (WSA) w Warszawie utrzymał w mocy decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO), nakładającą karę upomnienia na Rzecznika Finansowego. Decyzja ta jest wynikiem stwierdzenia braku odpowiednich środków technicznych i organizacyjnych do ochrony przetwarzanych danych osobowych, zwłaszcza w kontekście pracy zdalnej.

Do naruszenia ochrony danych osobowych doszło w związku z kradzieżą prywatnego komputera byłego pracownika Rzecznika Finansowego. W komputerze tym przechowywane były dane osobowe przetwarzane podczas pracy zdalnej świadczonej dla administratora danych.

Jak ustalił UODO, Rzecznik Finansowy nie przeprowadził analizy ryzyka wiążącego się z korzystaniem przez pracowników z prywatnych komputerów podczas pracy zdalnej. W związku z tym nie wdrożył odpowiednich rozwiązań pozwalających należycie chronić przetwarzane dane, takich jak m.in. stosowne procedury i zabezpieczenia na wypadek kradzieży urządzenia.

Skarżąc decyzję UODO, Rzecznik Finansowy twierdził, iż skradziony komputer należał do byłego już pracownika, a UODO nie udowodnił, że na jego dysku twardym faktycznie znajdowały się dane osobowe. Skarżący podnosił też, że w postępowaniu administracyjnym nie ustalono, czy komputer był chroniony hasłem, a także wskazywał, że osoba świadcząca w przeszłości pracę dla Rzecznika Finansowego jest radcą prawnym, a więc odrębnym administratorem danych.

Żaden z powyższych argumentów nie został podzielony przez WSA w Warszawie. Sąd uznał, że administratorem danych w tym przypadku był Rzecznik Finansowy, a nie jego pracownik. Sąd rozstrzygając tę kwestię, przywołał definicję administratora zawartą w RODO, zgodnie z którą jest nim ten, kto decyduje o celach i sposobach przetwarzania danych osobowych.

WSA podkreślił przy tym, że pracownik nie występuje jako odrębny podmiot prawa, a jego działania są działaniami pracodawcy, za które pracodawca ponosi odpowiedzialność. W ocenie Sądu nie zmienia tej sytuacji prawnej nawet działanie naruszające lub wykraczające poza zakres powierzonych pracownikowi zadań i obowiązków pracowniczych czy też status radcy prawnego byłego pracownika.

WSA w Warszawie zgodził się z Prezesem UODO, że administrator danych powinien przeprowadzić analizę ryzyka w związku z pracą zdalną pracowników i korzystaniem przez nich zarówno z prywatnych, jak i służbowych komputerów. Taka analiza wskazałaby na potrzebę zastosowania odpowiednich rozwiązań m.in. na wypadek kradzieży komputera, w którym są przetwarzane dane osobowe.

Sąd uznał, że administrator uchybiając obowiązkom RODO w zakresie analizy ryzyka, jak i wdrożenia odpowiednich rozwiązań technicznych i organizacyjnych mających zapewniać bezpieczeństwo przetwarzanym danym, starał się przerzucić odpowiedzialność za to na pracownika.

Odpowiadając na zarzut skarżącego, że UODO nie udowodnił w postępowaniu, iż komputer nie był odpowiednio chroniony, Sąd wskazał, iż ciężar dowodowy w tym przypadku spoczywa po stronie administratora i to on powinien być w stanie wykazać, że prywatny laptop pracownika został odpowiednio zabezpieczony przed potencjalnym nieuprawnionym dostępem do danych osobowych, które się na nim znajdowały.

W swoim orzeczeniu WSA zwrócił też uwagę, że administrator nie zweryfikował również, czy pracownik skutecznie usunął dane z komputera. Sąd uznał także, że gdyby przyjęte przez Rzecznika Finansowego rozwiązania były skuteczne, to fakt kradzieży komputera jego byłemu pracownikowi nie miałby żadnego wpływu na bezpieczeństwo procesu przetwarzania danych osobowych.

Zdaniem Sądu Prezes UODO prawidłowo zastosował upomnienie, biorąc pod uwagę działania podjęte przez administratora zaraz po naruszeniu ochrony danych osobowych.

Wyrok WSA stanowi istotne potwierdzenie znaczenia analizy ryzyka dla bezpieczeństwa przetwarzania danych osobowych. W przypadku pracy zdalnej, kiedy pracownicy korzystają z prywatnych komputerów, administrator danych powinien podjąć szczególne działania w celu zapewnienia bezpieczeństwa przetwarzanych danych.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

AI i prawo autorskie w firmie. Na co muszą uważać przedsiębiorcy?

Prawo autorskie przez lata kojarzyło się głównie z książkami,...

Większość polskich patentów nie jest komercjalizowana. Tylko co czwarty trafia na rynek

Jakie są losy wynalazków po uzyskaniu ochrony patentowej? Które...

Proces wygrany, reputacja przegrana? Jak przedsiębiorca powinien reagować na krytykę influencera

Spór wokół działalności internetowego twórcy Książulo oraz kolejne publiczne...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce zmian w Policji. Chodzi o odciski palców i profile DNA funkcjonariuszy

Prezes Urzędu Ochrony Danych Osobowych domaga się zmiany przepisów...

Reforma ROP do poprawy. Projekt UC100 może naruszać prawo UE

Projekt ustawy o opakowaniach i odpadach opakowaniowych (UC100) wymaga...

Nowa definicja mobbingu – czy pracodawcy rzeczywiście mają się czego obawiać?

Senat przyjął bez poprawek ustawę zmieniającą przepisy Kodeksu pracy...

Wojanki i Palionki pod lupą UOKiK. Zarzuty dla youtuberów

Prezes Urzędu Ochrony Konkurencji i Konsumentów wszczął postępowania przeciwko...
Coś dla Ciebie

Wybrane kategorie