To prezes sądu, jako administrator danych, odpowiada za wprowadzenie zabezpieczeń, które uniemożliwią do nich dostęp. Nie może on przerzucać tego obowiązku na pracowników – uznał prezes Urzędu Ochrony Danych Osobowych, nakładając 10 tys. zł kary.
Decyzja jest wynikiem zgubienia przenośnej pamięci pendrive przez kuratora z Sądu Rejonowego w Zgierzu. Na nośniku tym znajdowały się dane 400 osób objętych nadzorem kuratorskim czy wywiadem środowiskowym. Co gorsza, informacje te nie były w żaden sposób zabezpieczone. Nie wiadomo, czy ktoś uzyskał do nich dostęp – pendrive’a nie odnaleziono.
UODO interesowało, jakie zabezpieczenia wprowadzono, aby chronić poufność danych. Prezes sądu wyjaśnił, że wdrożył zasady przetwarzania danych, które są na bieżąco aktualizowane. Dodatkowo zorganizował szkolenia dla pracowników oraz dyżury inspektora ochrony danych. Nakazał też wszystkim, żeby we własnym zakresie stosowali zabezpieczenia uniemożliwiające dostęp do przechowywanych danych.
Zdaniem UODO działania te nie były wystarczające. Przede wszystkim dlatego, że to na administratorze danych, a nie jego pracownikach ciąży obowiązek wprowadzenia odpowiednich środków organizacyjnych i technicznych, które zapewniłyby poufność informacji.
– Administrator pozostawił faktyczne zabezpieczanie nośnika jego użytkownikowi, nie wskazując żadnych przykładowych oraz adekwatnych zabezpieczeń, które pracownik może zastosować. Należy mieć na uwadze, że pracownicy, tak jak to miało miejsce w tym przypadku, mogą nie posiadać wiedzy, jak należy zabezpieczać nośniki z danymi osobowymi. Stosowane przez prezesa sądu działania nie mogą zatem zostać uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych – wyjaśnia Adam Sanocki, rzecznik prasowy UODO.
Ustalając wysokość kary pieniężnej, UODO uwzględnił jako okoliczność łagodzącą dobrą współpracę prezesa sądu w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.