Ochrona danych osobowych przetwarzanych przez pracownika na prywatnym komputerze w celach służbowych to obowiązek pracodawcy jako administratora danych osobowych. Stanowisko takie przedstawił Wojewódzki Sąd Administracyjny w Warszawie, podtrzymując decyzję Prezesa UODO w sprawie nałożenia na Rzecznika Finansowego kary upomnienia.
Prezes UODO ukarał Rzecznika finansowego upomnieniem za brak właściwych środków bezpieczeństwa danych i nieprzeprowadzenie analizy ryzyka. Nieprawidłowości wiązały się z korzystaniem przez pracowników Rzecznika z prywatnych komputerów w pracy zdalnej. Oczywiście taka praktyka nie jest zakazana, ale Rzecznik Finansowy jako administrator danych osobowych nie wdrożył adekwatnych rozwiązań w zakresie bezpieczeństwa danych np. procedur i zabezpieczenia na wypadek kradzieży urządzeń. Niestety do takiego zdarzenia doszło w przypadku jednego z byłych pracowników Rzecznika (konkretnie radcy prawnego), którego komputer został skradziony.
Administrator nie zweryfikował, czy pracownik po zakończeniu zatrudnienia skutecznie i trwale usunął dane osobowe z komputera.
Karę upomnienia nałożoną przez Prezesa UODO podtrzymał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 5 października 2023 r. Sąd zaznaczył, że administratorem danych osobowych przetwarzanych przez byłego już pracownika był nadal Rzecznik Finansowy. Ustanie stosunku pracy nie zmieniło tego stanu rzeczy. Niezależnie od wykonywanego zawodu pracownik nie występuje jako odrębny podmiot prawa. Działa on bowiem w imieniu pracodawcy, który za te działania ponosi odpowiedzialność.
W ocenie sądu administrator danych osobowych odpowiada za swojego pracownika nawet wówczas, gdy pracownik wykroczył poza powierzonych mu zadań i obowiązków służbowych.
Sąd podkreślił, że Rzecznik Finansowy powinien był w pierwszej kolejności przeprowadzić analizę ryzyka przetwarzania danych osobowych w związku z:
pracą zdalną pracowników,
korzystaniem przez pracowników z prywatnych, jak i służbowych komputerów.
Wyniki tej analizy powinny dać odpowiedź na pytanie, jakie środki bezpieczeństwa wdrożyć na wypadek kradzieży komputera z danymi osobowymi. Środki te powinny zapobiegać negatywnemu wpływowi kradzieży komputera na bezpieczeństwo procesu przetwarzania danych osobowych.
Zdaniem sądu to administrator danych powinien wykazać, że prywatny komputer pracownika został odpowiednio zabezpieczony przed nieuprawnionym dostępem do danych osobowych, które się na nim znajdowały.
Administratorowi zarzucono też brak weryfikacji, czy pracownik w związku z ustaniem zatrudnienia usunął dane osobowe przetwarzane wcześniej w celach służbowych.
wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 5 października 2023 r.
Uodo.gov.pl
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
