WSA: pracownik nie może zastępować administratora w realizacji jego obowiązków

Ograniczenie się przez administratora tylko do szkolenia dla pracowników, pomijając przy tym zastosowanie zabezpieczeń technicznych, nie może być uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych. Tak stwierdził WSA w Warszawie, oddalając skargę Prezesa Sądu Rejonowego w Zgierzu na decyzję organu ds. ochrony danych osobowych.

Wojewódzki Sąd Administracyjny (WSA), wyrokiem z 15 lutego 2022 r., utrzymał w mocy decyzję  organu nadzorczego, w której w związku ze stwierdzonym naruszeniem ochrony danych osobowych dokonanym przez Prezesa Sądu Rejonowego w Zgierzu, została nałożona na niego kara pieniężna w wysokości 10 tys. zł. Sprawa dotyczyła zgubienia przez kuratora sądowego niezaszyfrowanego nośnika pamięci typu pendrive. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym.

W uzasadnieniu wyroku z 15 lutego 2022 r. WSA* uznał, że organ nadzorczy w prawidłowo ustalił stan faktyczny sprawy i właściwie ocenił materiał dowodowy, nie popierając tym samym zarzutów skarżącego decyzję administratora. W przedmiotowej sprawie bezsporne było, że doszło do naruszenia ochrony danych osobowych na skutek zgubienia niezaszyfrowanego nośnika danych typu pendrive. Administrator wydał do użytku służbowego niezabezpieczone urządzenie i zobowiązał kuratorów do zabezpieczenia nośnika we własnym zakresie.

Sąd podtrzymał stanowisko organu nadzorczego, że pracownik nie może zastępować administratora w realizacji jego obowiązków. Ponadto pracownik może nie posiadać odpowiedniej wiedzy w zakresie stosowania odpowiednich środków organizacyjnych czy technicznych albo może wdrożyć nieodpowiednie zabezpieczenia i nieadekwatne do zakresu przetwarzanych danych osobowych.

Zdaniem UODO, na co również zwrócił uwagę WSA, administrator naruszył m.in. zasadę poufności i integralności danych osobowych, ponieważ nie wprowadził odpowiednich środków organizacyjnych i technicznych adekwatnych do sposób i celów przetwarzania danych, po które to Prezes Sądu sięgnął dopiero po utracie nośnika danych. W konsekwencji zaniechanie to umożliwiło osobom nieuprawnionym dostęp do danych osobowych.

Zdaniem sądu, tak zorganizowany proces określania i wdrażania zabezpieczeń przetwarzanych danych osobowych, pozbawia administratora dostępu do podstawowych informacji. Skutkiem tego jest brak wiedzy, jakie zabezpieczenia funkcjonują w organizacji i czy będą one skuteczne co do potencjalnych zagrożeń.

WSA przyznał rację organowi, że nałożona administracyjna kara pieniężna spełni swoją funkcję zarówno represyjną, jak i prewencyjną.

* sygn. II SA/Wa 3309/21