Kara została nałożona na administratora danych za to, że nie stosował on odpowiednich środków organizacyjnych, które zapobiegłyby naruszeniu ochrony danych.
WSA w Warszawie w wyroku o sygn. akt II SA/Wa 1404/23, oddalając skargę administratora na decyzję Prezesa UODO, w motywach ustnych podkreślił rolę analizy ryzyka, którą administrator nie tylko powinien przeprowadzić dla procesu przetwarzania danych objętych naruszeniem, ale powinien to robić regularnie.
WSA potwierdził więc słuszność decyzji Prezesa UODO, który ukarał administratora danych za to, że nie przeprowadził on odpowiedniej analizy ryzyka. Zdaniem UODO, gdyby taka analiza została przeprowadzona odpowiednio wcześnie, nie doszłoby do naruszenia ochrony danych, które polegało na skopiowaniu przez pracownika danych osobowych ze służbowego komputera na prywatny pendrive. Następnie nośnik ten z niezabezpieczonymi danymi w trakcie przebywania pracownika na zwolnieniu lekarskim został dostarczony do urzędu przez osobę, która nie była w tym miejscu zatrudniona.
W toku postępowania administracyjnego Prezes UODO zwrócił uwagę, że gdyby administrator przewidział możliwość użycia przenośnych nośników pamięci, przeprowadzenie prawidłowej analizy mogłoby wskazywać ewentualne ryzyka wynikające z ich niewłaściwego użycia np. skopiowania przez pracownika danych zapisanych na komputerze służbowym na prywatny nośnik danych. Rezultaty przeprowadzonej analizy pozwoliłyby określić oraz wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa tych danych.
Obecnie UODO czeka na pisemne uzasadnienie wyroku WSA.