Czy administrator ponosi odpowiedzialność za zgubienie nośnika z danymi osobowymi?
Utrata nośnika zawierającego dane osobowe należy do najczęstszych incydentów w organizacjach. Choć mogłoby się wydawać, że odpowiedzialność za zgubienie nośnika spoczywa wyłącznie na osobie, która go utraciła, to w rzeczywistości obejmuje ona także administratora. Na nim ciąży obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, mających zapobiegać takim zdarzeniom lub minimalizować ich skutki. Na podstawie wyroku NSA analizujemy zakres odpowiedzialności administratora w przypadku utraty pendrive’a z danymi osobowymi przez pracownika.
Tło sprawy
Sprawa dotyczyła nałożenia na administratora danych osobowych (sąd rejonowy) kary pieniężnej w wysokości 30 tys. zł za naruszenie polegające na zgubieniu trzech nośników danych (pendrive) – jednego służbowego (szyfrowanego) oraz dwóch prywatnych (nieszyfrowanych). Nośniki zawierały dane osobowe nieustalonej liczby osób.
Administrator nie zgodził się z nałożoną karą, twierdząc, że kara pieniężna jest nieadekwatna do popełnionego naruszenia. Twierdził, że w tej sytuacji Prezes UODO powinien zastosować jedynie upomnienie. W związku z tym wniósł skargę do WSA.
Stanowisko sądów w sprawie zgubienia nośnika danych osobowych
WSA podtrzymał decyzję Prezesa UODO, co zostało następnie potwierdzone przez NSA w wyniku złożonej przez administratora danych osobowych skargi kasacyjnej. Zdaniem sądów kara pieniężna była konieczna. Na jej nałożenie i wysokość miały wpływ w szczególności poniższe okoliczności:
- charakter naruszenia miał poważny wymiar i dużą wagę;
- sprawa dotyczyła potencjalnie szerokiego kręgu odbiorców – nie ustalono dokładnego zakresu osób, których dane mogły zostać naruszone, co zwiększało ryzyko ich bezprawnego wykorzystania;
- długi okres naruszenia: od 25 maja 2018 r. do października 2020 r.;
- zagubione nośniki zawierały dokumenty obejmujące projekty orzeczeń, uzasadnień oraz zarządzeń wydanych w okresie od grudnia 2004 r. do sierpnia 2020 r.;
- wśród danych osobowych mogły znajdować się informacje szczególnej kategorii, w tym dane dotyczące stanu zdrowia;
- nie zastosowano odpowiednich środków technicznych i organizacyjnych, zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci;
- nośniki danych nie zostały odnalezione – ryzyko ich ujawnienia nadal istniało.
Dodatkowo NSA uznał, że nałożona sankcja spełnia cel kary w rozumieniu RODO – jest skuteczna, proporcjonalna i odstraszająca.
Zdaniem sądu odstąpienie od nałożenia kary i poprzestanie na upomnieniu, powinno mieć miejsce wyłącznie w sytuacjach, gdy naruszenie ma niewielki charakter lub gdy kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie.
W opisywanej sprawie administrator danych osobowych nie jest osobą fizyczną, dlatego z założenia nie można zastosować łagodniejszej sankcji z uwagi na jej potencjalną dotkliwość finansową.
Wnioski dla administratorów
- Zagubienie nośnika danych może stanowić poważne naruszenie RODO (nawet jeśli nie doszło do faktycznego wycieku danych). Sam fakt utraty kontroli nad nośnikiem rodzi ryzyko nieuprawnionego dostępu i wykorzystania danych osobowych.
- „Posiadanie” procedur nie jest wystarczające – kluczowe jest ich realne wdrożenie i konsekwentne stosowanie w praktyce.
- Jeżeli administrator danych osobowych zezwala na korzystanie z nośników zewnętrznych, powinien wdrożyć odpowiednie środki techniczne i organizacyjne – m.in.:
- obowiązek szyfrowania danych, w tym zapewnienie odpowiedniego programu pracownikom/współpracownikom,
- ograniczenie dostępu do portów USB (korzystanie z nośników zewnętrznych tylko za zgodą administratora danych osobowych),
- monitorowanie użycia nośników zewnętrznych,
- stosowanie polityki „czystego biurka”.
- Czynnikiem ryzyka jest również czynnik ludzki – pracownik lub współpracownik może nieumyślnie doprowadzić do naruszenia ochrony danych. Regularne szkolenia z zakresu ochrony danych osobowych oraz budowanie świadomości zagrożeń i odpowiedzialności w zakresie przetwarzania danych osobowych wśród pracowników oraz współpracowników są niezbędne.
Nie ulega wątpliwości, że w świetle RODO za naruszenie ochrony danych osobowych to administrator ponosi odpowiedzialność wobec organu nadzorczego oraz osób, których dane dotyczą. Do jego obowiązków należy nie tylko przeszkolenie pracowników, ale również wdrożenie odpowiednich środków organizacyjnych i technicznych zapewniających właściwy poziom bezpieczeństwa danych.
W omawianym przypadku takimi środkami mogą być m.in. szyfrowanie nośników oraz określenie zasad korzystania z urządzeń przenośnych.
Jeśli potrzebują Państwo wsparcia w powyższym zakresie lub mają pytania do tego tematu – zachęcamy do kontaktu.
