WSA: to administrator a nie pracownik wdraża środki bezpieczeństwa

Na Prezesa Sądu Rejonowego w Zgierzu nałożono karę pieniężną w wysokości 10 tys. zł za naruszenie ochrony danych. Polegało ono na zgubieniu przez kuratora sądowego niezaszyfrowanego pendrive’a. Na nośniku tym znajdowały się dane 400 osób objętych nadzorem kuratorskim i wywiadem środowiskowym.

W ocenie WSA kara została nałożona prawidłowo. Sąd wskazał, że administrator tj. prezes sądu wydał do użytku niezabezpieczone urządzenie, a jednocześnie zobligował kuratorów do zabezpieczenia nośnika we własnym zakresie. Ograniczył się przy tym jedynie do organizacji szkolenia dla pracowników. To nie wystarczyło.

Z orzeczenia można wysnuć wniosek, że administrator nie może cedować obowiązków w zakresie zabezpieczenia danych osobowych na swoich pracowników. Opracowanie i wdrożenie odpowiednich rozwiązań zależy od samego administratora. W przeciwnym razie nie będzie miał on kontroli nad tym, jakie zabezpieczenia są stosowane w samej organizacji.

Poza tym, jak wskazał sąd, prezes sądu uchybił zasadzie poufności i integralności danych osobowych. Zaniechał bowiem wdrożenia organizacyjnych i technicznych środków bezpieczeństwa adekwatnych do sposobu i celów przetwarzania danych. Uczyniono to dopiero po utracie pendrive’a. Niestety skutkiem był dostęp osób nieuprawnionych do nośnika i zgromadzonych na nim danych osobowych.