Do obowiązków administratora należy odpowiednie zabezpieczenie nośnika danych osobowych. W przypadku zgubienie przez pracownika niezaszyfrowanego pendriva z danymi, z poważnymi konsekwencjami musi liczyć się administrator.

Urząd Ochrony Danych Osobowych, decyzją z 13 lipca 2021 r., nałożył karę pieniężną na administratora, który odpowiednio nie zabezpieczył nośnika danych w postaci przenośnej pamięci typu pendrive. Nośnik, na którym znajdowały się niezaszyfrowane dane 400 osób, w tym dane w zakresie imion i nazwisk, dat urodzenia, adresów zamieszkania, numerów ewidencyjnych PESEL oraz serii i numerów dowodów osobistych, zgubił pracownik administratora. Zdaniem UODO, naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Administrator zgłosił naruszenie do UODO. W toku postępowania przedstawił wdrożone przez siebie zasady przetwarzania danych osobowych. Zapewnił także, że podejmował działania w postaci szkoleń w zakresie ochrony danych osobowych dla pracowników, dyżurów pełnionych przez inspektora ochrony danych w siedzibie administratora, dyżurów on-line oraz doraźnych kontroli prowadzonych przez inspektora ochrony danych. Co jednak istotne, z obowiązujących u administratora dokumentów wynikało, że to pracownicy byli zobowiązani do wdrożenia zabezpieczeń nośnika we własnym zakresie. W ocenie UODO takie rozwiązanie jest nieprawidłowe i skutkowało naruszeniem przez administratora zasady poufności i integralności danych osobowych. Pracownicy mogą bowiem nie posiadać odpowiedniej wiedzy o zabezpieczaniu nośników. Administrator nie wskazał przy tym żadnych przykładowych oraz adekwatnych zabezpieczeń, które pracownik mógłby zastosować. Zatem, działań, które podjął administrator, nie można uznać za wdrożenie odpowiednich środków technicznych czy organizacyjnych.

Administrator, określając zasady przetwarzania danych osobowych, powinien pamiętać, że nie może zobowiązać pracownika lub osoby wykonującej zadania służbowe, do wdrożenia we własnym zakresie zabezpieczeń zgodnie z wymaganiami przepisów o ochronie danych osobowych. Ta odpowiedzialność spoczywa bowiem na administratorze.