To administrator danych powinien określić sposób zabezpieczenia danych osobowych, a nie jego pracownik – tak wynika z wyroku Naczelnego Sądu Administracyjnego. NSA w wyroku o sygnaturze III OSK  2654/22 oddalił skargę kasacyjną Prezesa Sądu Rejonowego w Zgierzu od wyroku WSA w Warszawie i tym samym podtrzymał decyzję Prezesa Urzędu Ochrony Danych Osobowych, który nałożył na stronę skarżącą wyrok karę za brak odpowiedniego zabezpieczenia danych osobowych.

Sprawa dotyczyła zgubionego przez kuratora sądowego (będącego pracownikiem sądu) pendrive z danymi osobowymi 400 osób. Wśród zgubionych danych były imiona i nazwiska, daty urodzenia, adresy zamieszkania lub pobytu, numery PESEL, dane o zarobkach oraz majątku, numeru dowodów osobistych, telefonów, dane o zdrowiu i wyrokach skazujących. Naruszenie ochrony danych zostało zgłoszone przez administratora do Prezesa Urzędu Ochrony Danych Osobowych, a osoby, których dane znajdowały się na nośniku zostały powiadomione o incydencie. Jednak w ocenie PUODO nie zostało to wykonane prawidłowo, ponieważ administrator danych nie poinformował osób poszkodowanych o możliwych konsekwencjach naruszenia ochrony danych osobowych. Zabrakło też informacji o powziętych przez administratora krokach mających na celu zminimalizowanie skutków naruszenia.

Jednak kara w wysokości 10 000 złotych została nałożona na Prezesa Sądu nie za powyższe uchybienia, lecz po ustaleniu przez Urząd Ochrony Danych Osobowych, że administrator nie wdrożył właściwych zabezpieczeń technicznych i organizacyjnych. Zgodnie z procedurami obowiązującymi w sądzie w Zgierzu to jego pracownicy byli odpowiedzialni za zabezpieczenie służbowych nośników danych. Prezes UODO podkreślił, że to na administratorze danych osobowych spoczywa sposób zabezpieczenia danych osobowych, a nie na jego pracownikach. Samo przeszkolenie pracowników w zakresie ochrony danych bez wdrożenia zabezpieczeń technicznych w postaci szyfrowania czy sprawdzania nośników danych jest niewystarczające.