Kolejny włodarz odpowie za niedopilnowanie urzędnika wynoszącego służbowy laptop

2 listopada 2022 r. prezes Urzędu Ochrony Danych Osobowych (dalej: prezes UODO) nałożył na wójta gminy Dobrzyniewo Duże administracyjną karę pieniężną w wysokości 8 tys. zł (decyzja nr DKN.5131.8.2022) w związku z naruszeniem przepisów RODO (rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; ogólne rozporządzenie o ochronie danych; Dz.Urz. UE z 2016 r. L119, s. 1). Decyzja odbiła się szerokim echem w mediach, a tym, co zwróciło powszechną uwagę, było to, że choć laptop został ukradziony pracownikowi urzędu, który wyniósł go do domu, to konsekwencje finansowe za utratę danych poniósł wójt. Przyjrzyjmy się zatem bliżej, w jakich okolicznościach doszło do ukarania wójta i na co nadzór chciał zwrócić uwagę, uzasadniając swoją decyzję i określając czynniki, jakie wziął pod uwagę przy określaniu wysokości kary.

Przyczyna ukarania

Incydent polegał na tym, że pracownik urzędu gminy wyniósł poza urząd komputer przenośny, na którym znajdowały się pliki zawierające dane osobowe. Robił to od lat, jednak w lutym br. doszło do włamania do jego mieszkania, podczas którego skradziono służbowy laptop. Sprzęt był zabezpieczony przed nieautoryzowanym dostępem jedynie za pomocą hasła. Jednak dysk twardy laptopa nie został zaszyfrowany, a - co ważne - było to niezgodne z wewnętrznymi procedurami, które urząd gminy sam wprowadził w maju 2018 r. Zgodnie z obowiązkiem wynikającym z RODO wójt zgłosił naruszenie do Urzędu Ochrony Danych Osobowych, oceniając je wcześniej jako skutkujące wysokim ryzykiem naruszenia praw osób, których dane dotyczą. W trakcie postępowania prowadzonego przez UODO okazało się, że administrator (wójt gminy) miał pełną świadomość zagrożeń związanych z utratą sprzętu komputerowego wynoszonego poza budynek urzędu. W analizie ryzyka przewidział on takie zdarzenie. Co więcej: ocenił to ryzyko jako nieakceptowalne i wskazał m.in. szyfrowanie dysków twardych jako zabezpieczenie ograniczające te ryzyko. Skradziony laptop nie był jednak w ten sposób zabezpieczony. Brak wdrożenia środka bezpieczeństwa w postaci szyfrowania dysku stanowiło zignorowanie zasad ustalonych przez samego administratora. W dokumentacji wewnętrznej bowiem wskazano, że: „W przypadku przechowywania na komputerze przenośnym danych osobowych lub stanowiących tajemnicę Pracodawcy, użytkownik zobowiązany jest do ich przechowywania na dysku szyfrowanym”. Jak się okazało, wdrożenie nastąpiło dopiero po wystąpieniu naruszenia, które zostało zgłoszone do Urzędu Ochrony Danych Osobowych, a w zasadzie po zainteresowaniu się tym aspektem przez UODO. Wójt, usprawiedliwiając brak wdrożenia przyjętych zabezpieczeń, wskazał na „szereg prac przygotowujących urząd do nowego roku kalendarzowego”, po zakończeniu których zamierzano zaszyfrować twardy dysk przedmiotowego komputera. Mówiąc krótko: był dokument, był plan, nie było wdrożenia.