Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Krajowej Szkoły Sądownictwa i Prokuratury (KSSIP) na decyzję o wymierzeniu przez Urząd Ochrony Danych Osobowych (UODO) kary w wysokości 100 tys. zł. Kara została nałożona w związku z nienależytą realizacją obowiązków ciążących na KSSIP jako administratorze.
Sprawa dotyczyła wycieku do internetu danych w postaci telefonów, adresów e-mail, imion i nazwisk tysięcy sędziów, prokuratorów, asystentów, referendarzy i asesorów. Administrator zlecił stworzenie kopii bazy danych w związku z testową migracją do swojej nowej platformy szkoleniowej. Miejsce to okazało się nienależycie zabezpieczone, jednak jak wskazał UODO, administrator nie podjął się analizy, czy wskazując podmiotowi przetwarzającemu miejsce do wykonania kopii zapasowej bazy danych, nie naraża danych osobowych w niej zawartych na naruszenie ich poufności. Organ zauważył też uchybienia w samej umowie powierzenia przetwarzania. Należał do nich brak kategorii osób, których dane miały być przetwarzane oraz niedoprecyzowanie rodzaju danych osobowych przez wskazanie ich kategorii. Ponadto ukarany podmiot nie zawarł w umowie zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.
W toku postępowania przed sądem KSSIP wskazywała, że to podmiot przetwarzający – zewnętrzna firma hostingowa – jest winny naruszenia, ponieważ pracownik tej firmy wykonał na zlecenie administratora kopię bazy danych, a następnie – pomimo żądania administratora, aby bazę usunąć – pozostawił ją na serwerze. Sąd nie podzieliły tej argumentacji i umorzył postępowanie wobec podmiotu przetwarzającego. WSA przychylił się do stanowiska organu, że to KSSIP jest inicjatorem podejmowanych działań, jako podmiot decydujący o celach i sposobach przetwarzania i w związku z tym, to na KSSIP ciążył obowiązek przetestowania i oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych jej platformy szkoleniowej, czego KSSIP nie uczyniła. Sąd dodał, że administrator nie poinformował podmiotu przetwarzającego o istotności podejmowanych działań, pod kątem ochrony danych osobowych. WSA podkreślił też, że administrator nie zweryfikował, czy zlecona czynność usunięcia danych została wykonana. Mimo to, na marginesie warto wspomnieć, że wobec wskazanego pracownika toczy się wciąż postępowanie karne.
Materiał Partnera beinsured.pl:
