WSA oddala skargę na decyzję w sprawie kary dla KSSIP
W 2021 r. Prezes UODO wymierzył Krajowej Szkole Sądownictwa i Prokuratury karę w wysokości 100 tys. zł za niedostateczne zabezpieczenia przetwarzania danych osobowych. Teraz zaś orzeczenie to zostało podtrzymane przez Wojewódzki Sąd Administracyjny w Warszawie.
Pismo nie musi wskazywać podstawy udostępnienia danych
Ponad rok temu Prezes UODO ukarał Krajową Szkołę Sądownictwa i Prokuratury za niewystarczające zabezpieczenia techniczne i organizacyjne w zakresie przetwarzania danych osobowych. W efekcie doszło do nieupoważnionego dostępu do pliku z kopią bazy danych ze strony kssip.gov.pl. Kopia ta powstała w następstwie testowej migracji do nowej platformy szkoleniowej. Wyciek objął aż 50 tys. osób m.in. na stanowiskach sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych.
WSA zgadza się ze stanowiskiem PUODO
Wojewódzki Sąd Administracyjny podtrzymał decyzję Prezesa UODO. Wskazał, że skoro administrator zadecydował o usunięciu kopii bazy danych powstałej podczas wspomnianej testowej migracji, to powinien zweryfikować, czy do tego usunięcia doszło. Jeśli zaś usunięcie nie nastąpiło, to administrator nadal miał obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych w tej lokalizacji.
Według sądu to administrator, a nie jedynie jego pracownik powinien podejmować działania w zakresie bezpieczeństwa danych, ponieważ decyduje o celach sposobach przetwarzania.
Braki w umowie powierzenia
WSA zgodził się również z zarzutami dotyczącymi braku wyczerpujących rozwiązań w umowie powierzenia przetwarzania danych. Brakowało w szczególności precyzyjnego określenia zakresu powierzanych danych. Nie wskazano też kategorii osób i rodzaju danych osobowych przez wskazanie ich kategorii. Administrator nie zobowiązał też podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.
Postępowanie nie powinno być zawieszone
Sąd nie poparł natomiast zarzutu KSSIP, że postępowanie przed PUODO powinno zostać zawieszone do czasu zakończenia postępowania karnego wszczętego w związku z naruszeniem.
Prezes UODO ocenia działanie administratora poprzez analizę stanu faktycznego i wykładnię przepisów o ochronie danych osobowych. Nie jest to więc postępowanie dublujące się z postępowaniem karnym.
- wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 26 stycznia 2022 r. (II SA/Wa 1384/21)
- Stowarzyszenie z karą UODO w wyniku ujawnienia danych osobowych przez wolontariusza
- Ujawnienie danych osobowych o wynikach testu na COVID-19 – Prezes UODO cofa skargę kasacyjną
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
