Istotny wyrok w zakresie ochrony danych osobowych. NSA oddalił bowiem skargę kasacyjną Prezesa Sądu Rejonowego w Zgierzu od wyroku WSA w Warszawie, podtrzymując tym samym decyzję Prezesa UODO w sprawie nałożenia kary za brak odpowiednich zabezpieczeń.
Cała sprawa miała swój początek już w lutym 2020 r. Doszło wtedy do naruszenia ochrony danych osobowych, kiedy to kurator sądowy w Zgierzu zgubił niezaszyfrowanego pendrive’a z danymi osobowymi 400 osób. Ich zakres obejmował m.in.: imiona, nazwiska, dane adresowe, numery PESEL, jak również dane o zdrowiu i wyrokach skazujących.
Prezes Sądu Rejonowego dokonał zgłoszenia do organu nadzorczego oraz zawiadomił osoby dotknięte naruszeniem. Po analizie treści zawiadomień organ uznał jednak, że są one obarczone licznymi wadami. Przede wszystkim osoby te nie zostały poinformowane o możliwych konsekwencjach, jakie mogą je spotkać w związku z zaistnieniem naruszenia. Dodatkowo nie zostało wskazane co zrobił administrator, by zminimalizować skutki naruszenia.
W związku z naruszeniem Prezes UODO wszczął postępowanie. W trakcie tego postępowania ustalono, że administrator niewłaściwie wdrożył zabezpieczenia techniczne i organizacyjne. Ich praktyczne wprowadzenie zostało bowiem nałożone wyłącznie na pracowników sądu. Decyzja ta była oparta o m.in.: procedury funkcjonujące wówczas w sądzie w Zgierzu. Dodatkowo administrator nie prowadził regularnych szkoleń z zakresu ochrony danych osobowych, przez co nie mógł on stwierdzić, iż jego pracownicy są odpowiednio przygotowani do ochrony danych osobowych.
W konsekwencji Prezes UODO stwierdził naruszenie przepisów RODO (art. 5 ust. 1 lit. f), art. 25 ust, 1, art. 32 ust. 1 lit. b i lit. d) i nałożył na podmiot karę w wysokości 10 tys. zł. W odpowiedzi administrator zaskarżył ją do WSA. Ten jednak przychylił się do argumentacji organu i oddalił skargę. Administrator wniósł więc skargę kasacyjną do NSA, który również oddalił skargę.
W uzasadnieniu do wyroku NSA wskazał, że wyposażenie kuratorów sądowych w szyfrowane nośniki pamięci zminimalizowałoby ryzyko naruszenia zasad poufności danych osobowych. Przychylił się również nad następującymi punktami uzasadnienia wyroku WSA w Warszawie:
- To administrator powinien wdrożyć organizacyjne i techniczne środki bezpieczeństwa;
- Błędem było wydanie przez administratora niezabezpieczonych nośników danych i pozostawienie kwestii zabezpieczeń pracownikom;
- Treść zawiadomienia nie spełniała odpowiednich wymogów formalnych;
- Brak regularnych szkoleń nie pozwala na uznanie, iż w organizacji stosowany jest odpowiedni poziom ochrony danych osobowych.