Administrator danych osobowych, a nie użytkownik nośnika, jest odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, które zapewnią odpowiednie bezpieczeństwo danych nośnika np. telefonu służbowego.

W sprawie decyzji  wydanej przez Urząd Ochrony Danych Osobowych (decyzja z dnia 13 lipca 2021 r., DKN.5131.22.2021) postępowanie wykazało, że administrator  naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie.

Moim zdaniem z powyższą decyzją UODO należy się zgodzić. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.), dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Zgodnie z treścią art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i  cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i  organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Niewątpliwie z komentowanych przepisów wynika, że służbowy sprzęt, który pracodawca przekazuje pracownikowi np. telefon wymaga takiego zabezpieczenia aby przypadkowa utrata sprzętu zapewniała mimo utraty bezpieczeństwo danych. Zatem to na administratorze danych osobowych znajdujących się na służbowym sprzęcie pracowników spoczywa obowiązek odpowiedniego zabezpieczenia sprzętu a tym samych znajdujących się na nim danych.