Sposób zabezpieczenia danych osobowych powinien być określony przez administratora danych, a nie spoczywać na jego pracowniku – tak wynika z wyroku Naczelnego Sądu Administracyjnego. NSA w wyroku o sygnaturze III OSK 2654/22 oddalił skargę kasacyjną Prezesa Sądu Rejonowego w Zgierzu od wyroku WSA w Warszawie i tym samym podtrzymał decyzję Prezesa Urzędu Ochrony Danych Osobowych w sprawie nałożenia kary za brak odpowiedniego zabezpieczenia danych osobowych.
Sprawa dotyczyła zgubionego przez pracownika sądu (kuratora sądowego) pendrive z danymi osobowymi 400 osób. Wśród danych które znajdowały się na zgubionym nośniku były imiona i nazwiska, daty urodzenia, adresy zamieszkania lub pobytu, numery PESEL, dane o zarobkach oraz majątku, numeru dowodów osobistych, telefonów, dane o zdrowiu i wyrokach skazujących. Naruszenie ochrony danych zostało zgłoszone przez administratora do Prezesa UODO, a osoby, których dane znajdowały się na nośniku również dostały informację o incydencie. Jednak w ocenie PUODO nie zostało to wykonane prawidłowo, gdyż administrator nie poinformował osób poszkodowanych o możliwych konsekwencjach naruszenia ochrony danych osobowych. Zabrakło również informacji, jakie administrator powziął kroki by zminimalizować skutki naruszenia.
Jednak kara w wysokości 10 000 złotych została nałożona nie za powyższe uchybienia, lecz po ustaleniu przez Urząd Ochrony Danych Osobowych, że administrator nie wdrożył właściwych zabezpieczeń technicznych i organizacyjnych, gdyż zgodnie z procedurami obowiązującymi w sądzie w Zgierzu to pracownicy byli odpowiedzialni za zabezpieczenie służbowych nośników danych. Prezes UODO uznał, że na administratorze danych osobowych spoczywa sposób zabezpieczenia danych osobowych, a nie na jego pracownikach. Samo przeszkolenie pracowników w zakresie ochrony danych jest niewystarczające bez wdrożenia zabezpieczeń technicznych w postaci szyfrowania czy sprawdzania nośników danych.
