Ale sądy administracyjne – najpierw WSA w Warszawie, a ostatecznie Naczelny Sąd Administracyjny – uznały, że sprawa jest zbyt poważna, by przejść nad nią do porządku dziennego. Kara 30 tys. zł nałożona przez prezesa UODO została więc utrzymana w mocy.
Czytaj też: 240 000 złotych kary za zgubiony pendrive. To chyba lekka przesada
Historia zaczęła się od zgłoszenia naruszenia ochrony danych osobowych
Sędzia zgubił trzy nośniki: jeden szyfrowany, służbowy, oraz dwa prywatne i nieszyfrowane. Na nich znajdowały się dane nieustalonej liczby osób – od projektów orzeczeń, przez uzasadnienia, po zarządzenia wydawane przez lata, od 2004 do 2020 roku. UODO stwierdził, że doszło do klasycznego naruszenia poufności i winę ponosi administrator danych – w tym wypadku sąd.
Sprawdź polecane oferty
RRSO 21,36%
Argumentacja urzędu była dość prosta: instytucja dysponowała narzędziami, które mogły całkowicie wykluczyć używanie niezabezpieczonych nośników, ale ich nie wdrożyła. Innymi słowy – istniała świadomość ryzyka, a mimo to przez lata tolerowano praktyki, które doprowadziły do wycieku. Co gorsza, do dziś nie wiadomo, kto może posiadać zgubione pendrive’y, ani w jakim celu mógłby użyć znajdujących się tam danych. To oznacza, że realne ryzyko ich nielegalnego wykorzystania wciąż istnieje.
Sąd rejonowy tłumaczył, że kara finansowa jest zbyt wysoka, a wystarczyłoby pouczenie
Jednak WSA przypomniał, że kary przewidziane w RODO muszą być skuteczne, proporcjonalne i odstraszające. W tym przypadku nie było mowy o „błahym” uchybieniu. Naruszenie dotyczyło wielu osób, w tym danych szczególnie chronionych – np. informacji o stanie zdrowia. Do tego doszedł długi okres trwania praktyk, brak odpowiednich zabezpieczeń i fakt, że naruszeń było więcej niż jedno.
Czytaj też: Pracownik zgubił laptopa albo pendrive’a? Największe kłopoty może mieć z tego tytułu pracodawca, ale są sposoby, żeby temu zapobiec
NSA nie zostawił złudzeń: odstąpienie od kary mogłoby być rozważane tylko wtedy, gdyby problem był naprawdę marginalny albo gdyby sankcja groziła nieproporcjonalnym obciążeniem. Tu natomiast mieliśmy do czynienia z poważnym naruszeniem, którego skutki mogą się jeszcze ujawnić. Co więcej, sąd zwrócił uwagę, że kara nie została wymierzona „na ślepo” – prezes UODO szczegółowo uzasadnił swoje stanowisko i wskazał, jakie czynniki przesądziły o wysokości sankcji.
Dane wyciekające z sądu – instytucji, która z definicji przetwarza informacje wrażliwe – to sytuacja absolutnie niedopuszczalna. W czasach, gdy nawet prywatne firmy muszą inwestować w zaawansowane systemy bezpieczeństwa, trudno usprawiedliwiać brak podstawowych procedur w instytucji publicznej.
Czytaj też: Sędzia zgubił pendrive’a z projektami wyroków i wrażliwymi danymi osobowymi z trzech ostatnich lat
Czy 30 tys. zł kary to dużo? Dla dużych korporacji – drobiazg, dla jednostki budżetowej – odczuwalny koszt. Ale właśnie o to chodziło unijnemu ustawodawcy: kara ma boleć na tyle, by podobne sytuacje się nie powtarzały. I patrząc na uzasadnienie NSA, trudno mieć wątpliwości, że była w pełni uzasadniona.
