Ochrona danych osobowych przetwarzanych przez pracownika na prywatnym komputerze w celach służbowych to obowiązek pracodawcy jako administratora danych osobowych. Stanowisko takie przedstawił Wojewódzki Sąd Administracyjny w Warszawie, podtrzymując decyzję Prezesa UODO w sprawie nałożenia na Rzecznika Finansowego kary upomnienia.
Prezes UODO ukarał Rzecznika finansowego upomnieniem za brak właściwych środków bezpieczeństwa danych i nieprzeprowadzenie analizy ryzyka. Nieprawidłowości wiązały się z korzystaniem przez pracowników Rzecznika z prywatnych komputerów w pracy zdalnej. Oczywiście taka praktyka nie jest zakazana, ale Rzecznik Finansowy jako administrator danych osobowych nie wdrożył adekwatnych rozwiązań w zakresie bezpieczeństwa danych np. procedur i zabezpieczenia na wypadek kradzieży urządzeń. Niestety do takiego zdarzenia doszło w przypadku jednego z byłych pracowników Rzecznika (konkretnie radcy prawnego), którego komputer został skradziony.
Administrator nie zweryfikował, czy pracownik po zakończeniu zatrudnienia skutecznie i trwale usunął dane osobowe z komputera.
Karę upomnienia nałożoną przez Prezesa UODO podtrzymał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 5 października 2023 r. Sąd zaznaczył, że administratorem danych osobowych przetwarzanych przez byłego już pracownika był nadal Rzecznik Finansowy. Ustanie stosunku pracy nie zmieniło tego stanu rzeczy. Niezależnie od wykonywanego zawodu pracownik nie występuje jako odrębny podmiot prawa. Działa on bowiem w imieniu pracodawcy, który za te działania ponosi odpowiedzialność.
W ocenie sądu administrator danych osobowych odpowiada za swojego pracownika nawet wówczas, gdy pracownik wykroczył poza powierzonych mu zadań i obowiązków służbowych.
Sąd podkreślił, że Rzecznik Finansowy powinien był w pierwszej kolejności przeprowadzić analizę ryzyka przetwarzania danych osobowych w związku z:
pracą zdalną pracowników,
korzystaniem przez pracowników z prywatnych, jak i służbowych komputerów.
Wyniki tej analizy powinny dać odpowiedź na pytanie, jakie środki bezpieczeństwa wdrożyć na wypadek kradzieży komputera z danymi osobowymi. Środki te powinny zapobiegać negatywnemu wpływowi kradzieży komputera na bezpieczeństwo procesu przetwarzania danych osobowych.
Zdaniem sądu to administrator danych powinien wykazać, że prywatny komputer pracownika został odpowiednio zabezpieczony przed nieuprawnionym dostępem do danych osobowych, które się na nim znajdowały.
Administratorowi zarzucono też brak weryfikacji, czy pracownik w związku z ustaniem zatrudnienia usunął dane osobowe przetwarzane wcześniej w celach służbowych.
wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 5 października 2023 r.
Uodo.gov.pl
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
