WSA potwierdza decyzję Prezesa UODO: Kara za brak analizy ryzyka i nieprawidłową ochronę danych

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargi spółek Delta KTW oraz InterSYS, potwierdzając decyzję Prezesa UODO o nałożeniu kar za poważne naruszenia przepisów RODO. Sąd w pełni podzielił argumentację organu nadzorczego, podkreślając wagę właściwej analizy ryzyka i wdrożenia adekwatnych środków technicznych oraz organizacyjnych.

Sąd wskazał, że administrator danych (Delta KTW Sp. z o.o.) nie przeprowadził wymaganej analizy ryzyka dla procesów przetwarzania danych osobowych, co doprowadziło do naruszenia zasady poufności i rozliczalności. Wdrożone środki ochrony nie były poprzedzone rzetelną oceną ryzyka, co uniemożliwiło skuteczną reakcję na incydent ransomware.

Brak regularnych testów, pomiarów i oceny wdrożonych środków bezpieczeństwa uniemożliwił szybkie przywrócenie dostępności danych po ataku. Administrator nie przeprowadził również właściwego nadzoru nad podmiotem przetwarzającym, ograniczając się jedynie do zawarcia umowy powierzenia bez audytów czy inspekcji.

Sąd potwierdził, że administrator nie wywiązał się z obowiązku informacyjnego wobec osób, których dane dotyczą – nie przekazał im informacji o możliwych konsekwencjach naruszenia oraz środkach zaradczych, co narusza art. 34 ust. 2 RODO.

2. Nadzór nad podmiotem przetwarzającym – rola i odpowiedzialność

Wspólnicy InterSYS s.c., jako podmiot przetwarzający, mieli świadomość podatności systemu, ale nie poinformowali administratora o konieczności aktualizacji oprogramowania. Sąd uznał, że takie zaniechanie wyklucza możliwość uznania, że procesor wywiązał się z obowiązku wsparcia administratora zgodnie z art. 28 ust. 3 lit. f) RODO.

Zdaniem sądu wysokość nałożonych kar została uznana za prawidłowo uzasadnioną, skuteczną i odstraszającą, co ma kluczowe znaczenie dla praktyki ochrony danych osobowych w Polsce.

Sprawa dotyczy decyzji Prezesa UODO o sygnaturze DKN.5131.1.2021.