4 dni temu
Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję prezesa Urzędu Ochrony Danych Osobowych, nakładającą karę na restaurację z Podkarpacia. Powodem było zgubienie przez jej pracownika pendrive’a z niezaszyfrowanymi danymi innego pracownika (w biurze firmy). Prezes UODO zarzucił w swojej decyzji, iż administrator przerzucił obowiązek zabezpieczenia danych na pracowników. Tymczasem w skardze do WSA spółka wskazała, iż istniały wewnętrzne procedury korzystania z zewnętrznych nośników pamięci. Zakładała ona m.in. konieczność szyfrowania pendrive’ów oraz wnioskowania o zgodę na wyniesienie ich poza firmę. Do czasu zaistnienia incydentu nikt o taką zgodę nie wystąpił.
Błąd pracownika
– Z ustnych motywów rozstrzygnięcia wynika, iż WSA nie zgodził się ze stanowiskiem prezesa UODO w zakresie, w jakim uważa on, iż administrator przerzucił na pracowników obowiązki związane z zabezpieczeniem danych na pendrive’ach – mówi radca prawny Damian Chudzik, partner w kancelarii Axelo Prawo i Podatki, reprezentujący firmę przed WSA. – Administrator wgrał na te urządzenia oprogramowanie szyfrujące oraz przygotował krótki filmik instruktażowy, jak to zrobić – dodaje. Wskazuje przy tym iż sąd porównał poziom skomplikowania tej czynności do okresowej zmiany hasła do komputera. Nie można więc mówić, iż pracownicy nie wiedzieli, jak jej dokonać.
– Co więcej, pracownik, który nie zaszyfrował części danych na tym pendrivie, zaszyfrował inne, co potwierdza, iż wiedział, jak należy to zrobić. Było to więc zwykłe przeoczenie, ludzki błąd – podkreśla mec. Chudzik. Zwraca też uwagę, iż były to dane tylko jednego pracownika i do dziś nie nastąpiła żadna próba skorzystania z nich na szkodę tej osoby.
– Administrator zrobił wszystko, co mógł, by takiej sytuacji zapobiec. Zarówno na poziomie organizacyjnym (wewnętrzne procedury), jak i technicznym (wgrane oprogramowanie). Nie zostawił też pracowników samych sobie (film instruktażowy) – wskazuje Damian Chudzik.
Co musi administrator?
Sąd nie zgodził się też z drugim argumentem prezesa UODO, iż administrator nie testował systemu. Inspektor ochrony danych okresowo dokonywał wewnętrznego audytu systemu i w jego ramach kontrolowano też przestrzeganie procedury korzystania z pendrive’ów.
W odpowiedzi na pytanie „Rz” UODO poinformował, iż ewentualne dalsze działania podejmie po przeanalizowaniu pisemnego uzasadnienia wyroku WSA, a do tego czasu nie odniesie się do sprawy.
– Orzeczenie ma istotne znaczenie w rozgraniczaniu obowiązków i odpowiedzialności administratora oraz pracownika przez niego upoważnionego do przetwarzania danych osobowych – komentuje z kolei prof. Grzegorz Sibiga, adwokat z kancelarii Traple, Konarski, Podrecki i Wspólnicy. Podkreśla, iż zawsze część obowiązków w zakresie bezpieczeństwa będzie spoczywała na pracowniku, ale ważne, żeby wykonywał on czynności w infrastrukturze przygotowanej w wyniku analizy ryzyka oraz według wprowadzonych procedur określających jego obowiązki. – W razie dopełnienia tych obowiązków przez administratora błąd człowieka nie powinien powodować odpowiedzialności tego pierwszego – dodaje prof. Sibiga.
– Odpowiedzialność administratora za przetwarzanie danych nie jest nieograniczona. Musi on dostosować poziom ochrony do okoliczności przetwarzania i ryzyk, które mogą wystąpić w jego działalności – mówi z kolei adwokat Paweł Potocki z kancelarii Marszałek i Partnerzy. – Nie ma natomiast obowiązku bezwzględnego zapobieżenia wyciekowi danych – dodaje.
I wskazuje, iż wypełnienie wymagań wskazanych w art. 32 RODO zdejmuje odpowiedzialność za naruszenie w zakresie ochrony danych, bo nie jest możliwe całkowite zapobieżenie wyciekowi. Oczywiście to, czy przyjęte środki były odpowiednie, podlega ocenie właśnie UODO i sądów.
– W ocenie WSA w tej sprawie administrator wypełnił ciążące na nim obowiązki, a więc nie dopuścił się bezprawnego działania czy raczej zaniechania – tłumaczy Paweł Potocki. – Natomiast niedostosowanie się do procedur przez pracownika nie ma związku z przygotowaniem tych mechanizmów. choćby najlepszy system nie działa, gdy osoby odpowiedzialne za jego stosowanie postępują wbrew procedurom. A skoro działanie administratora nie ma charakteru bezprawnego, nie może ponosić za to kary – dodaje ekspert.
