Aktualny

WSA potwierdza decyzję Prezesa UODO: Kara za brak analizy ryzyka i nieprawidłową ochronę danych

Dodano: 9 lipca 2025
WSA potwierdza decyzję Prezesa UODO: Kara za brak analizy ryzyka i nieprawidłową ochronę danych

Wyrok WSA z 3 lipca 2025 r. w sprawie Delta KTW i InterSYS (sygn. akt II SA/Wa 2056/24) potwierdza, że brak analizy ryzyka, nieadekwatne środki ochrony danych oraz niewłaściwy nadzór nad podmiotem przetwarzającym skutkują dotkliwymi karami administracyjnymi. Sprawdź, jakie wnioski płyną z tego orzeczenia dla praktyki ochrony danych osobowych.

WSA potwierdza kary za brak analizy ryzyka RODO

Wojewódzki Sąd Administracyjny w Warszawie oddalił skargi spółek Delta KTW oraz InterSYS, potwierdzając decyzję Prezesa UODO o nałożeniu kar za poważne naruszenia przepisów RODO. Sąd w pełni podzielił argumentację organu nadzorczego, podkreślając wagę właściwej analizy ryzyka i wdrożenia adekwatnych środków technicznych oraz organizacyjnych.

Analiza ryzyka RODO – kluczowy obowiązek administratora danych

Sąd wskazał, że administrator danych (Delta KTW Sp. z o.o.) nie przeprowadził wymaganej analizy ryzyka dla procesów przetwarzania danych osobowych, co doprowadziło do naruszenia zasady poufności i rozliczalności. Wdrożone środki ochrony nie były poprzedzone rzetelną oceną ryzyka, co uniemożliwiło skuteczną reakcję na incydent ransomware.

Środki bezpieczeństwa danych osobowych – wymagania i konsekwencje zaniedbań

Brak regularnych testów, pomiarów i oceny wdrożonych środków bezpieczeństwa uniemożliwił szybkie przywrócenie dostępności danych po ataku. Administrator nie przeprowadził również właściwego nadzoru nad podmiotem przetwarzającym, ograniczając się jedynie do zawarcia umowy powierzenia bez audytów czy inspekcji.

Obowiązki administratora danych wobec osób, których dane dotyczą

Sąd potwierdził, że administrator nie wywiązał się z obowiązku informacyjnego wobec osób, których dane dotyczą – nie przekazał im informacji o możliwych konsekwencjach naruszenia oraz środkach zaradczych, co narusza art. 34 ust. 2 RODO.

  1. Nadzór nad podmiotem przetwarzającym – rola i odpowiedzialność

Wspólnicy InterSYS s.c., jako podmiot przetwarzający, mieli świadomość podatności systemu, ale nie poinformowali administratora o konieczności aktualizacji oprogramowania. Sąd uznał, że takie zaniechanie wyklucza możliwość uznania, że procesor wywiązał się z obowiązku wsparcia administratora zgodnie z art. 28 ust. 3 lit. f) RODO.

Zdaniem sądu wysokość nałożonych kar została uznana za prawidłowo uzasadnioną, skuteczną i odstraszającą, co ma kluczowe znaczenie dla praktyki ochrony danych osobowych w Polsce.

Sprawa dotyczy decyzji Prezesa UODO o sygnaturze DKN.5131.1.2021.

Źródło:

serwis UODO

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x