Ochrona danych osobowych. WSA karze za kradzież prywatnego komputera pracownika
Autor. Christin Hume/ Unsplash
Wojewódzki Sąd Administracyjny podtrzymał decyzję Prezesa UODO, mocą której nałożono karę upomnienia na Rzecznika Finansowego. Chodzi o bezpieczeństwo przetwarzania danych osobowych i podkreślenie, że dane w prywatnym komputerze pracownika też powinny być odpowiednio chronione. Na czym polegał incydent?
Jak informuje Urząd Ochrony Danych Osobowych w swoim komunikacie, Rzecznik Finansowy nie wdrożył odpowiednich rozwiązań, które pozwalałyby w odpowiedni sposób chronić przetwarzane dane, w związku z korzystaniem przez pracowników z prywatnych komputerów podczas pracy zdalnej. Taka sytuacja miała miejsce w przypadku komputera jednego z pracowników administratora i przez to doszło do naruszenia ochrony danych osobowych.
Rzecznik Finansowy powinien - zdaniem UODO - wdrożyć odpowiednie procedury i zabezpieczenia na wypadek kradzieży urządzenia.
Wcześniej Prezes UODO udzielił Rzecznikowi Finansowemu upomnienia, a teraz Wojewódzki Sąd Administracyjny w Warszawie podtrzymał je wyrokiem z 5 października br.
Jak doszło do naruszenia danych?
Do naruszenia ochrony danych osobowych doszło w związku z kradzieżą prywatnego komputera byłego pracownika Rzecznika Finansowego. Na urządzeniu przechowywane były dane osobowe, które pracownik przetwarzał w czasie pracy zdalnej dla administratora danych.
Administrator nie wziął jednak pod uwagę ryzyka i finalnie dane te nie zostały odpowiednio zabezpieczone. Nie upewnił się również czy pracownik - po zakończeniu pracy - skutecznie i trwale usunął dane z komputera. W efekcie Prezes UODO nałożył karę upomnienia na administratora.
Czytaj też
Skarga Rzecznika Finansowego
Rzecznik Finansowy zakarżył decyzję do organu nadzorczego, ponieważ twierdził, że skradziony komputer należał do byłego pracownika, a - jego zdaniem - „Prezes UODO nie udowodnił, że na jego dysku twardym faktycznie znajdowały się dane osobowe”, a także, że „w postępowaniu administracyjnym nie ustalono, czy komputer był chroniony hasłem oraz że osoba świadcząca w przeszłości pracę dla Rzecznika Finansowego jest radcą prawnym, a więc odrębnym administratorem danych”.
Czytaj też
WSA zgadza się z PUODO
Argumenty te nie zostały uznane przez Wojewódzki Sąd Administracyjny w Warszawie. „Wojewódzki Sąd Administracyjny nie miał wątpliwości, że administratorem danych w tym przypadku był Rzecznik Finansowy, a nie jego pracownik” - czytamy w komunikacie.
Jak dodano, WSA w Warszawie zgodził się z Prezesem UODO, że administrator danych powinien przeprowadzić analizę ryzyka w związku z pracą zdalną pracowników i korzystaniem przez nich zarówno z prywatnych, jak i służbowych komputerów.
„Taka analiza wskazałaby na potrzebę zastosowania odpowiednich rozwiązań m.in. na wypadek kradzieży komputera, w którym są przetwarzane dane osobowe. (…) Pomimo iż pracownik był zobowiązany do łączenia się przez VPN, korzystania z odpowiednich programów do szyfrowania plików oraz stosowania haseł do logowania znanych wyłącznie jemu i ich cyklicznej zmiany, to z umowy zawartej pomiędzy stronami nie wynika, by pracownik był zobowiązany do szyfrowania dysku twardego” - zaznaczono.
Co więcej - zdaniem WSA - „ciężar dowodowy w tym przypadku spoczywa po stronie administratora i to on powinien być w stanie wykazać, że prywatny laptop pracownika został odpowiednio zabezpieczony przed potencjalnym nieuprawnionym dostępem do danych osobowych, które się na nim znajdowały”. W orzeczeniu WSA wskazano także, że „administrator nie zweryfikował również, czy pracownik skutecznie usunął dane z komputera”.
Czytaj też
/NB
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: redakcja@cyberdefence24.pl.
SK@NER: Jak przestępcy czyszczą nasze konta?