Wyrok WSA z 3 lipca 2025 r. w sprawie Delta KTW i InterSYS (sygn. akt II SA/Wa 2056/24) potwierdza, że brak analizy ryzyka, nieadekwatne środki ochrony danych oraz niewłaściwy nadzór nad podmiotem przetwarzającym skutkują dotkliwymi karami administracyjnymi. Sprawdź, jakie wnioski płyną z tego orzeczenia dla praktyki ochrony danych osobowych.
Wojewódzki Sąd Administracyjny w Warszawie oddalił skargi spółek Delta KTW oraz InterSYS, potwierdzając decyzję Prezesa UODO o nałożeniu kar za poważne naruszenia przepisów RODO. Sąd w pełni podzielił argumentację organu nadzorczego, podkreślając wagę właściwej analizy ryzyka i wdrożenia adekwatnych środków technicznych oraz organizacyjnych.
Sąd wskazał, że administrator danych (Delta KTW Sp. z o.o.) nie przeprowadził wymaganej analizy ryzyka dla procesów przetwarzania danych osobowych, co doprowadziło do naruszenia zasady poufności i rozliczalności. Wdrożone środki ochrony nie były poprzedzone rzetelną oceną ryzyka, co uniemożliwiło skuteczną reakcję na incydent ransomware.
Brak regularnych testów, pomiarów i oceny wdrożonych środków bezpieczeństwa uniemożliwił szybkie przywrócenie dostępności danych po ataku. Administrator nie przeprowadził również właściwego nadzoru nad podmiotem przetwarzającym, ograniczając się jedynie do zawarcia umowy powierzenia bez audytów czy inspekcji.
Sąd potwierdził, że administrator nie wywiązał się z obowiązku informacyjnego wobec osób, których dane dotyczą – nie przekazał im informacji o możliwych konsekwencjach naruszenia oraz środkach zaradczych, co narusza art. 34 ust. 2 RODO.
Nadzór nad podmiotem przetwarzającym – rola i odpowiedzialność
Wspólnicy InterSYS s.c., jako podmiot przetwarzający, mieli świadomość podatności systemu, ale nie poinformowali administratora o konieczności aktualizacji oprogramowania. Sąd uznał, że takie zaniechanie wyklucza możliwość uznania, że procesor wywiązał się z obowiązku wsparcia administratora zgodnie z art. 28 ust. 3 lit. f) RODO.
Zdaniem sądu wysokość nałożonych kar została uznana za prawidłowo uzasadnioną, skuteczną i odstraszającą, co ma kluczowe znaczenie dla praktyki ochrony danych osobowych w Polsce.
Sprawa dotyczy decyzji Prezesa UODO o sygnaturze DKN.5131.1.2021.
Przeczytaj także:
serwis UODO
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl