Kara nałożona na KSSIP utrzymana

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę KSSIP na decyzję o wymierzeniu przez UODO kary w wysokości 100 tys. zł. Kara została nałożona w związku z nienależytą realizacją obowiązków ciążących na KSSIP jako administratorze.

Wyciek danych

Sprawa dotyczyła wycieku do internetu danych w postaci telefonów, adresów e-mail, imion, nazwisk tysięcy sędziów, prokuratorów, asystentów, referendarzy i asesorów. Administrator zlecił stworzenie kopii bazy danych w związku z testową migracją do swojej nowej platformy szkoleniowej. Miejsce to okazało się nienależycie zabezpieczone. Jak wskazał UODO, administrator nie podjął się analizy, czy wskazując podmiotowi przetwarzającemu miejsce do wykonania kopii zapasowej bazy danych, nie naraża danych osobowych w niej zawartych na naruszenie ich poufności. Organ zauważył też uchybienia w samej umowie powierzenia przetwarzania. Należał do nich brak kategorii osób, których dane miały być przetwarzane oraz niedoprecyzowanie rodzaju danych osobowych przez wskazanie ich kategorii. Ponadto ukarany podmiot nie zawarł w umowie zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.

Postępowanie i kara

W toku postępowania przed sądem KSSIP wskazywała, że to podmiot przetwarzający – zewnętrzna firma hostingowa – jest winny naruszenia. Jej pracownik wykonał na zlecenie administratora kopię bazy danych, następnie – pomimo żądania administratora, aby bazę usunąć – pozostawił ją na serwerze.

Sąd nie podzieliły tej argumentacji i umorzył postępowanie wobec podmiotu przetwarzającego. WSA przychylił się do stanowiska, że to KSSIP jest inicjatorem podejmowanych działań, jako podmiot decydujący o celach i sposobach przetwarzania. W związku z tym, to na KSSIP ciążył obowiązek przetestowania i oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych jej platformy szkoleniowej, czego KSSIP nie uczyniła. Sąd dodał, że administrator nie poinformował podmiotu przetwarzającego o istotności podejmowanych działań, pod kątem ochrony danych osobowych. WSA podkreślił też, że administrator nie zweryfikował, czy wykonano zleconą czynność. Mimo to, na marginesie warto wspomnieć, że wobec wskazanego pracownika toczy się wciąż postępowanie karne.

Leave a Reply