W wyniku wyroku Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie stwierdzono, że dane osobowe przechowywane w prywatnym komputerze pracownika wykonującego pracę zdalną podlegają ochronie zgodnie z Rozporządzeniem o Ochronie Danych Osobowych (RODO). Orzeczenie to było rezultatem decyzji Prezesa Urzędu Ochrony Danych Osobowych, który nałożył karę upomnienia na Rzecznika Finansowego w związku z kradzieżą laptopa tego pracownika.
POLECAMY: Sprzedaż długu a RODO
Według informacji zawartych w komunikacie, naruszenie ochrony danych osobowych miało miejsce w kontekście kradzieży prywatnego komputera byłego pracownika Rzecznika Finansowego. W komputerze tym przechowywane były dane osobowe, które były przetwarzane w trakcie pracy zdalnej. Brak przeprowadzenia przez administratora analizy ryzyka spowodował, że dane te nie zostały należycie zabezpieczone, a dodatkowo nie sprawdzono, czy po zakończeniu świadczenia pracy pracownik skutecznie usunął dane z komputera.
Rzecznik Finansowy złożył odwołanie od decyzji Prezesa UODO, argumentując, że skradziony komputer należał do byłego pracownika, a brak było dowodów na to, że na dysku twardym znajdowały się dane osobowe. Podkreślono również, że w postępowaniu administracyjnym nie ustalono, czy komputer był zabezpieczony hasłem. Ponadto zaznaczono, że osoba, która wcześniej pracowała dla Rzecznika Finansowego, jest radcą prawnym, co oznacza, że jest odrębnym administratorem danych. Wartość tych argumentów nie została jednak podzielona przez Wojewódzki Sąd Administracyjny w Warszawie.
Sąd ten jednoznacznie stwierdził, że administratorem danych w tym przypadku był Rzecznik Finansowy, a nie jego pracownik. W oparciu o definicję administratora zawartą w RODO, którym jest osoba decydująca o celach i sposobach przetwarzania danych osobowych, Sąd uznał, że pracownik nie jest odrębnym podmiotem prawnym, a jego działania są działaniami pracodawcy, za które ten ponosi odpowiedzialność. Nawet w przypadku działań naruszających zakres obowiązków pracowniczych czy status radcy prawnego byłego pracownika, nie zmienia to faktu, że pracodawca odpowiada za te działania.
Wojewódzki Sąd Administracyjny zgodził się z Prezesem UODO, że administrator danych powinien przeprowadzić analizę ryzyka związanej z pracą zdalną pracowników, zarówno przy użyciu prywatnych, jak i służbowych komputerów. Sąd uznał, że administrator, zaniedbując obowiązki wynikające z RODO dotyczące analizy ryzyka i wdrożenia odpowiednich rozwiązań technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanym danym, próbował przerzucić odpowiedzialność za to na pracownika.
„Pomimo iż pracownik był zobowiązany do łączenia się przez VPN, korzystania z odpowiednich programów do szyfrowania plików oraz stosowania haseł do logowania znanych wyłącznie jemu i ich cyklicznej zmiany, to z umowy zawartej pomiędzy stronami nie wynika, by pracownik był zobowiązany do szyfrowania dysku twardego” – dodano.
W odpowiedzi na zarzut Rzecznika Finansowego, że Prezes Urzędu Ochrony Danych Osobowych (UODO) nie udowodnił w procesie, iż komputer nie był należycie zabezpieczony, Wojewódzki Sąd Administracyjny (WSA) wskazał, że ciężar dowodowy w tej sytuacji spoczywa na administratorze, a to on powinien być w stanie udowodnić, że prywatny laptop pracownika był właściwie zabezpieczony przed potencjalnym nieuprawnionym dostępem do przechowywanych na nim danych osobowych.
WSA, wydając swoje orzeczenie, podkreślił również, że administrator versław również nie sprawdził, czy pracownik skutecznie usunął dane z komputera.
