Błąd pracownika, a odpowiednie środki organizacyjne

07.11.2021

W pewnym Wojewódzkim Inspektoracie Nadzoru Budowlanego doszło do naruszenia ochrony danych osobowych spowodowane udostępnieniem skanów dokumentów w systemie EZD z danymi osobowymi jednego z pracowników w/w Inspektoratu osobie do tego nieupoważnionej oraz udostępnienie jego danych osobowych zawartych w protokole z dnia […] stycznia 2019 r. poprzez pozostawienie go na drukarce w korytarzu inspektoratu.

Pracodawca (WINB) oświadczył, że do danych osobowych jednego z pracowników, zawartych w zeskanowanym dokumencie w systemie EZD (w tym nazwiska, adresu zamieszkania, nr PESEL, oraz danych zawartych w dokumentach sądowych i komorniczych) miał dostęp inny pracownik inspektoratu, którego upoważnienie nie obejmowało dostępu do tego rodzaju danych osobowych.

Osoba, której dane zostały ujawnione oświadczyła, iż w dniu […] stycznia 2019 r. złożyła wyjaśnienie u Rzecznika Dyscypliny pracowników inspektoratu w sprawie uzyskania wglądu przez jednego z pracowników inspektoratu do jego danych osobowych zawartych w plikach utworzonych w dziale radców prawnych i dziale finansowo-księgowym. 

Na podstawie złożonych wyjaśnień został spisany protokół, zawierający dane osobowe tego pracownika. 

W tym samym dniu znalazł on kopię tego protokołu na korytarzu inspektoratu przy kserokopiarce na 9 piętrze. 

Pracownik ten zwrócił się do WINB o wyjaśnienie sprawy dotyczącej udostępnienia jego danych osobowych, zawartych w protokole poprzez pozostawienie jego kopii na kserokopiarce na 9 piętrze inspektoratu. 

WINB wskazał, że w dniu […] stycznia 2019 r. u Rzecznika Dyscyplinarnego WINB nastąpiła awaria drukarki, w związku z czym drukował on dokumenty na urządzeniu wielofunkcyjnym znajdującym się w korytarzu na 9 piętrze Inspektoratu. Podczas drukowania protokołu z przesłuchania tego pracownika nastąpiła awaria ww. urządzenia. Dokument wydrukował się z opóźnieniem, następnie został odnaleziony przez tego pracownika i przekazany Rzecznikowi Dyscyplinarnemu WINB. 

W związku z tą sytuacją Pracodawca (WINB) wyłączył funkcję drukowania na urządzeniu do czasu naprawienia awarii. WINB oświadczył, że z danymi zawartymi w protokole nie zapoznał się żaden inny pracownik inspektoratu oprócz wnioskodawcy oraz Rzecznika Dyscyplinarnego WINB.

W takim stanie faktycznym Prezes UODO, w decyzji z lutego 2020 r., orzekł:

w pkt 1 – o udzieleniu WINB upomnienia za naruszenie art. 5 ust. 1 lit. f oraz art. 24 ust. 1 rozporządzenia 2016/679, polegające na udostępnieniu skanów dokumentów w systemie EZD z danymi osobowymi wnioskodawcy osobie do tego nieupoważnionej oraz udostępnienie jego danych osobowych zawartych w protokole z dnia […] stycznia 2019 r. poprzez pozostawienie go na drukarce w korytarzu inspektoratu; w pkt 2 – o odmowie uwzględnienia wniosku w pozostałym zakresie. Podstawa prawną był art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm., zwana dalej: k.p.a.), art. 5 ust. 1 li. f, art. 24 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm., zwane dalej: rozporządzeniem 2016/679).

Pracownik, którego dane zostały ujawnione złożył skargę do Wojewódzkiego Sądu Administracyjnego nie będąc pogodzonym z tym, że jego pracodawca otrzymał jedynie upomnienie. 

WSA w Warszawie w wyroku wskazał, że:

W kontekście powyższych regulacji stwierdzić należy, iż administrator danych powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679).

Nie budzi też wątpliwości fakt, że wskutek błędu pracownika inspektoratu, który niezgodnie z obowiązującą procedurą, zeskanował dokumenty dotyczące wnioskodawcy do systemu EZD, dane osobowe wnioskodawcy zostały udostępnione w systemie EZD osobie do tego nieuprawnionej (innemu pracownikowi inspektoratu). Nadto w związku z awarią drukarki będącej w dyspozycji Rzecznika Dyscyplinarnego WINB i przekierowaniem wydruku do innej drukarki, usytuowanej w korytarzu na 9 piętrze inspektoratu, z protokołem z czynności przeprowadzonych z udziałem wnioskodawcy, mogły zapoznać się osoby do tego nieuprawnione.

Poza sporem jest też fakt, iż skarżący podjął odpowiednie działania, mające na celu wyeliminowanie nieprawidłowego udostępnienia danych osobowych wnioskodawcy poprzez zablokowanie nieuprawnionego dostępu do tych danych oraz usunięcie z systemu EZD dokumentów, które zostały w nim umieszczone. Pracownik, który zeskanował dokumenty niezgodnie z procedurą został ukarany upomnieniem, zaś wobec pracownika, który miał dostęp do tych dokumentów niezgodnie ze swoim upoważnieniem i zaniechał powiadomienia o tym swojego przełożonego, wdrożono postępowanie dyscyplinarne. W związku z tym, że pracownik uzyskał nieuprawniony dostęp do dokumentów, zawierających dane osobowe wnioskodawcy, poprzez otwarcie korespondencji na swoim koncie w innym dziale inspektoratu, wskutek niezadziałania blokady dostępu w systemie EZD skarżący zgłosił problem twórcy programu, a następnie dokonał korekty systemu, w tym korekty w zakresie dostępu użytkowników i ich uprawnień. W związku z sytuacją dotyczącą nieuprawnionego udostępnienia protokołu, skarżący wyłączył funkcję drukowania na drukarce. Ponadto o fakcie nieuprawnionego udostępnienia danych poinformował wnioskodawcę i Prezesa UODO.

W kontekście powyższych ustaleń Sąd stwierdził, że zaskarżona decyzja Prezesa UODO jest prawidłowa. Zastosowane upomnienie jest adekwatne do stwierdzonego uchybienia. Organ, wydając zaskarżoną decyzję, nie naruszył przepisów prawa materialnego w stopniu mającym wpływ na wynik sprawy ani przepisów postępowania.