KSSIP z karą pieniężną za naruszenie przepisów RODO

Zdaniem UODO administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględniła ryzyka, jakie wiąże się ze zmianami w procesie przetwarzania danych osobowych.

Ponadto należy wskazać, że administrator powierzył przetwarzanie danych osobowych podmiotowi przetwarzającemu bez umownego zobowiązania go do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.

Przypomnijmy, KSSIP zgłosiła UODO naruszenie ochrony danych osobowych, w związku z powiadomieniem przez Komendę Główną Policji o pojawieniu się w Internecie danych osobowych związanych z domeną kssip.gov.pl. Zgłoszony incydent polegał na uzyskaniu przez nieznane osoby nieupoważnionego dostępu do kopii bazy danych witryny szkoleniowej KSSIP powstałej w trakcie testowej migracji do nowej platformy szkoleniowej. Naruszenie dotyczyło danych osobowych ponad 50 tys. osób, użytkowników podlegających szkoleniu ustawicznemu, których dane osobowe zgromadzono na platformie szkoleniowej KSSiP. Osoby te piastują stanowiska m.in.: sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych.

Środki organizacyjne i techniczne

Administrator wdraża odpowiednie środki techniczne i organizacyjne, tak aby przetwarzanie danych osobowych odbywało się zgodnie z RODO. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny proporcjonalności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże.

Na zasobach informatycznych KSSiP znajdowała się kopia bazy danych, której istnienie i bezpieczeństwo, po wykonaniu czynności migracyjnych, w żaden sposób nie zostało zweryfikowane przez administratora, co jest jego prawnym obowiązkiem wynikającym z przepisów o ochronie danych osobowych. KSSIP, w związku ze zmianami w procesie przetwarzania, nie podjęła wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu.

Powierzenie przetwarzania danych musi być dokładnie określone

W sytuacji powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie powierzenia przetwarzania danych osobowych należy określić przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora.

Treść umowy powierzenia w tej sprawie w sposób niewystarczający określała zakres powierzanych danych. KSSiP, powierzając przetwarzanie danych osobowych podmiotowi przetwarzającemu, nie zawarła w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz nie doprecyzowała rodzaju danych osobowych przez wskazanie ich kategorii. Ponadto ukarany podmiot nie zawarł w umowie zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.

Model współpracy administratora z podmiotem przetwarzającym był nieskuteczny. Brak zrozumienia przez administratora roli, jaką on pełni w relacji z podmiotem przetwarzającym, doprowadziły do naruszenia ochrony danych osobowych. KSSiP, zarówno przed naruszeniem ochrony danych, jak i po jego stwierdzeniu, nie miała pełnej świadomości, jak kształtują się prawa i obowiązki, pomiędzy administratorem a podmiotem przetwarzającym.

Postępowanie względem podmiotu przetwarzającego umorzone

Podmiot przetwarzający wypełniał obowiązki wynikające z umowy powierzenia i umowy głównej, a także stosował przyjęte przez siebie środki organizacyjne mające na celu zapewnienie bezpieczeństwa systemów informatycznych. To administrator nie podjął się analizy, czy wskazując podmiotowi przetwarzającemu miejsce do wykonania kopii zapasowej bazy danych, nie naraża danych osobowych w niej zawartych na naruszenie ich poufności.

W opinii UODO nie ma również podstaw do zarzucenia podmiotowi przetwarzającemu naruszenia obowiązku wspierania administratora w wywiązywaniu się z obowiązków. W konsekwencji postępowanie w powyższym zakresie zostało umorzone.

Decyzja dostępna jest pod linkiem: https://www.uodo.gov.pl/decyzje/DKN.5130.2024.2020




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Polityka prywatności