Pracodawca naraża się na konsekwencje wynikające z przepisów RODO w sytuacji, gdy nie zabezpiecza odpowiednio służbowych nośników z danymi, a jedynie poleca swoim pracownikom, by sami to robili. Wszakże to podmiot zatrudniający, jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych. Za brak takich rozwiązań UODO może nałożyć administracyjną karę pieniężną.
Taką karę w wysokości 10 tys. zł UODO nałożył na Prezesa Sądu Rejonowego w Zgierzu z racji naruszenia ochrony danych osobowych polegającego na zagubieniu nieszyfrowanej przenośnej pamięci typu pendrive przez kuratora sądowego. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. Z uwagi na zakres ujawnionych danych osobowych, wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dlatego też administrator opublikował na stronie internetowej Sądu Rejonowego w Zgierzu komunikat o naruszeniu.
Zaginiony i zarazem niezabezpieczony nośnik pamięci nie został do tej pory odnaleziony, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na nim.
W toku postępowania UODO, administrator w składanych wyjaśnianiach wskazał, że wdrożył system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych. Dokumentacja ta jest na bieżąco aktualizowana i audytowana przez powołanego do tego celu inspektora ochrony danych. Ponadto administrator zapewnił, że podejmował działania w postaci szkoleń stacjonarnych oraz e-learningowych dla pracowników Sądu (w tym kuratorów), dotyczące ochrony danych osobowych oraz zapisów wdrożonej dokumentacji, dyżurów pełnionych przez inspektora ochrony danych w siedzibie administratora, dyżurów on-line oraz doraźnych kontroli prowadzonych przez inspektora ochrony danych podczas dyżurów.
🎯 Kadry i Płace Książka 2024 - 📖 prostym, zrozumiałym językiem opisuje między innymi takie zagadnienia jak: RODO aktualizowane na bieżąco przez 365 dni od dnia zakupu.
Jednakże, zgodnie z obowiązującymi u administratora dokumentami, obowiązek zabezpieczenia nośników spoczywa na użytkownikach. Zdaniem UODO takie podejście jest niewłaściwe. Postępowanie wykazało, że administrator naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem braku wprowadzenia odpowiednich środków organizacyjnych i technicznych, w przypadku zagubienia takiego nośnika przez kuratora sądowego, jest umożliwienie osobom nieuprawnionym dostępu do danych osobowych znajdujących się na nim.
Warto dodać, że przeprowadzanie szkoleń pracowników w zakresie ochrony danych osobowych jest konieczne i potrzebne, jednak nie można ich uznać za odpowiednie środki organizacyjne w tym konkretnym przypadku i nie powinny one zastąpić także rozwiązań o charakterze technicznym, których administrator nie przewidział. Ponadto w omawianym przypadku, administrator pozostawił faktyczne zabezpieczanie nośnika jego użytkownikowi, nie wskazując żadnych przykładowych oraz adekwatnych zabezpieczeń, które pracownik może zastosować. Należy mieć na uwadze, że pracownicy, tak jak to miało miejsce w tym przypadku, mogą nie posiadać wiedzy jak należy zabezpieczać nośniki z danymi osobowymi. Stosowane przez Prezesa Sądu działania nie mogą zatem zostać uznane za wdrożenie odpowiednich środków technicznych czy organizacyjnych.
Należy wskazać, że to administrator danych, nie zaś pracownik lub osoba wykonująca zadania służbowe, jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO.
Źródło: UODO