Wojewódzki Sąd Administracyjny podtrzymał decyzję Prezesa Urzędu Ochrony Danych Osobowych, w której nałożono karę upomnienia na Rzecznika Finansowego za brak odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych.
Brak analizy ryzyka wiążącego się z korzystaniem przez pracowników z prywatnych komputerów podczas pracy zdalnej doprowadził do tego, że Rzecznik Finansowy nie wdrożył odpowiednich rozwiązań pozwalających należycie chronić przetwarzane dane, takich jak m.in. stosowne procedury i zabezpieczenia na wypadek kradzieży urządzenia. Taka sytuacja miała miejsce w przypadku komputera jednego z pracowników RzF, przez co doszło do naruszenia ochrony danych osobowych. Prezes UODO udzielił więc Rzecznikowi upomnienia, które wyrokiem z 5 października 2023 r. podtrzymał Wojewódzki Sąd Administracyjny w Warszawie.
Rzecznik: To pracownik był administratorem
Skarżąc decyzję PUODO, RzF twierdził, że skradziony komputer należał do byłego już pracownika, a prezes Urzędu nie udowodnił, że na dysku twardym faktycznie znajdowały się dane osobowe. Skarżący podnosił też, że w postępowaniu administracyjnym nie ustalono, czy komputer był chroniony hasłem, a także wskazywał, że osoba świadcząca w przeszłości pracę dla Rzecznika jest radcą prawnym, a więc odrębnym administratorem danych.
WSA: Racja po stronie PUODO
Wojewódzki Sąd Administracyjny w Warszawie nie miał jednak wątpliwości, że administratorem danych w tym przypadku był Rzecznik Finansowy. Rozstrzygając tę kwestię, sąd przywołał definicję administratora zawartą w RODO, zgodnie z którą jest nim ten, kto decyduje o celach i sposobach przetwarzania danych osobowych. WSA podkreślił przy tym, że pracownik nie występuje jako odrębny podmiot prawa, a jego działania są działaniami pracodawcy, za które pracodawca ponosi odpowiedzialność. W ocenie sądu nie zmienia tej sytuacji prawnej nawet działanie naruszające lub wykraczające poza zakres powierzonych pracownikowi zadań i obowiązków pracowniczych czy też status radcy prawnego byłego pracownika.
WSA zgodził się z PUODO, że administrator danych powinien przeprowadzić analizę ryzyka w związku z pracą zdalną pracowników i korzystaniem przez nich zarówno z prywatnych, jak i służbowych komputerów. Wskazałaby ona bowiem na potrzebę zastosowania odpowiednich rozwiązań m.in. na wypadek kradzieży komputera. Sąd uznał, że administrator uchybiając obowiązkom RODO w zakresie analizy ryzyka i wdrożenia odpowiednich rozwiązań mających zapewniać bezpieczeństwo przetwarzanym danym, starał się przerzucić odpowiedzialność za to na pracownika. Z umowy zawartej pomiędzy stronami nie wynikało, by pracownik był zobowiązany do szyfrowania dysku twardego.
Ciężar dowodu po stronie skarżącego
Odpowiadając na zarzut skarżącego, że organ nadzorczy nie udowodnił w postępowaniu, iż komputer nie był odpowiednio chroniony, sąd wskazał, iż ciężar dowodowy w tym przypadku spoczywa po stronie administratora i to on powinien być w stanie wykazać, że prywatny laptop pracownika został odpowiednio zabezpieczony przed potencjalnym nieuprawnionym dostępem do danych osobowych, które się na nim znajdowały.
WSA zwrócił też uwagę, że administrator nie zweryfikował również, czy pracownik skutecznie usunął dane z komputera. Sąd uznał także, że gdyby przyjęte przez Rzecznika rozwiązania były skuteczne, to fakt kradzieży komputera jego byłemu pracownikowi nie miałby żadnego wpływu na bezpieczeństwo procesu przetwarzania danych osobowych.
(AM, źródło: UODO)
