Sąd podtrzymuje karę UODO za brak ochrony danych osobowych na prywatnym komputerze pracownika
Ochrona danych osobowych przetwarzanych przez pracownika na prywatnym komputerze w celach służbowych to obowiązek pracodawcy jako administratora danych osobowych. Stanowisko takie przedstawił Wojewódzki Sąd Administracyjny w Warszawie, podtrzymując decyzję Prezesa UODO w sprawie nałożenia na Rzecznika Finansowego kary upomnienia.
Rzecznik Finansowy z karą za brak środków bezpieczeństwa
Prezes UODO ukarał Rzecznika finansowego upomnieniem za brak właściwych środków bezpieczeństwa danych i nieprzeprowadzenie analizy ryzyka. Nieprawidłowości wiązały się z korzystaniem przez pracowników Rzecznika z prywatnych komputerów w pracy zdalnej. Oczywiście taka praktyka nie jest zakazana, ale Rzecznik Finansowy jako administrator danych osobowych nie wdrożył adekwatnych rozwiązań w zakresie bezpieczeństwa danych np. procedur i zabezpieczenia na wypadek kradzieży urządzeń. Niestety do takiego zdarzenia doszło w przypadku jednego z byłych pracowników Rzecznika (konkretnie radcy prawnego), którego komputer został skradziony.
Administrator nie zweryfikował, czy pracownik po zakończeniu zatrudnienia skutecznie i trwale usunął dane osobowe z komputera.
Pracodawca administratorem danych osobowych na prywatnym komputerze pracownika
Karę upomnienia nałożoną przez Prezesa UODO podtrzymał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 5 października 2023 r. Sąd zaznaczył, że administratorem danych osobowych przetwarzanych przez byłego już pracownika był nadal Rzecznik Finansowy. Ustanie stosunku pracy nie zmieniło tego stanu rzeczy. Niezależnie od wykonywanego zawodu pracownik nie występuje jako odrębny podmiot prawa. Działa on bowiem w imieniu pracodawcy, który za te działania ponosi odpowiedzialność.
W ocenie sądu administrator danych osobowych odpowiada za swojego pracownika nawet wówczas, gdy pracownik wykroczył poza powierzonych mu zadań i obowiązków służbowych.
Ochrona danych osobowych na prywatnym komputerze pracownika obowiązkiem pracodawcy
Sąd podkreślił, że Rzecznik Finansowy powinien był w pierwszej kolejności przeprowadzić analizę ryzyka przetwarzania danych osobowych w związku z:
-
pracą zdalną pracowników,
-
korzystaniem przez pracowników z prywatnych, jak i służbowych komputerów.
Wyniki tej analizy powinny dać odpowiedź na pytanie, jakie środki bezpieczeństwa wdrożyć na wypadek kradzieży komputera z danymi osobowymi. Środki te powinny zapobiegać negatywnemu wpływowi kradzieży komputera na bezpieczeństwo procesu przetwarzania danych osobowych.
Zdaniem sądu to administrator danych powinien wykazać, że prywatny komputer pracownika został odpowiednio zabezpieczony przed nieuprawnionym dostępem do danych osobowych, które się na nim znajdowały.
Administratorowi zarzucono też brak weryfikacji, czy pracownik w związku z ustaniem zatrudnienia usunął dane osobowe przetwarzane wcześniej w celach służbowych.
-
wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 5 października 2023 r.
-
Uodo.gov.pl
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
- Kopia dokumentacji pracowniczej jako szczególne uprawnienie dostępu do danych osobowych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
