WSA w Warszawie oddalił skargę burmistrza Wronek na decyzję nakładającą 10 tys. zł kary za to, że nie stosował on odpowiednich środków organizacyjnych, które zapobiegłyby naruszeniu ochrony danych.
Sprawa dotyczyła nieautoryzowanego skopiowania przez urzędnika magistratu danych zapisanych na komputerze służbowym na prywatny nośnik danych. Chodziło m.in. o personalia, numery rachunków bankowych, numery PESEL, informacje o rozliczeniach opłat za czynsze, wodę, ścieki, energię elektryczną, najem lokali.
Burmistrz Wronek sam poinformował UODO i o incydencie.
W rezultacie organ nałożył na burmistrza 10 tys. zł administracyjnej kary pieniężnej za brak odpowiednich środków organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych w zarządzanej przez niego gminie.
W ustnym uzasadnieniu wyroku, w którym sąd oddalił skargę burmistrza WSA podkreślił rolę analizy ryzyka, którą administrator nie tylko powinien przeprowadzić dla procesu przetwarzania danych objętych naruszeniem, ale powinien to robić regularnie.
WSA potwierdził więc słuszność decyzji Prezesa UODO, który ukarał administratora danych za to, że nie przeprowadził on odpowiedniej analizy ryzyka. Zdaniem UODO, gdyby taka analiza została przeprowadzona odpowiednio wcześnie, nie doszłoby do naruszenia ochrony danych, które polegało na skopiowaniu przez pracownika danych osobowych ze służbowego komputera na prywatny pendrive. Następnie nośnik ten z niezabezpieczonymi danymi w trakcie przebywania pracownika na zwolnieniu lekarskim został dostarczony do urzędu przez osobę, która nie była w tym miejscu zatrudniona.
W toku postępowania administracyjnego Prezes UODO zwrócił uwagę, że gdyby administrator przewidział możliwość użycia przenośnych nośników pamięci, przeprowadzenie prawidłowej analizy mogłoby wskazywać ewentualne ryzyka wynikające z ich niewłaściwego użycia np. skopiowania przez pracownika danych zapisanych na komputerze służbowym na prywatny nośnik danych. Rezultaty przeprowadzonej analizy pozwoliłyby określić oraz wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa tych danych.
Obecnie UODO czeka na pisemne uzasadnienie wyroku WSA.
mp/