Wojewódzki Sąd Administracyjny wyrokiem z 5 października 2023 roku podtrzymał decyzję Prezesa UODO o nałożeniu kary upomnienia na Rzecznika Finansowego za brak odpowiednich środków mających zapewnić bezpieczeństwo przetwarzanych danych osobowych.
Sprawa, w której orzekał WSA dotyczyła naruszenia ochrony danych osobowych w związku z kradzieżą prywatnego komputera byłego pracownika Rzecznika Finansów, w którym to komputerze przechowywane były dane osobowe przetwarzane podczas pracy zdalnej. Dane nie były skutecznie zabezpieczone, a do tego administrator nie upewnił się, czy pracownik po zakończeniu świadczenia pracy skutecznie i trwale usunął je z komputera.
Prezes UODO uznał, że brak odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych należy ukarać i nałożył na Rzecznika Finansów karę upomnienia, od której ten się odwołał, argumentując, że skradziony komputer należał do byłego już pracownika, który – jako radca prawny jest odrębnym administratorem danych. WSA nie miał jednak wątpliwości, że administratorem danych w tym przypadku był Rzecznik Finansowy, a nie jego pracownik, gdyż zgodnie z definicją RODO administratorem danych jest ten, kto decyduje o celach i sposobach przetwarzania danych osobowych. Dodatkowo administrator nie sprawdził, czy pracownik skutecznie usunął dane z komputera.