WSA w całości oddalił skargę KSSIP na decyzję UODO

WSA w wyroku z 26 stycznia 2022 r.* zgodził się z całą argumentacją, jaką przedstawił organ nadzorczy w decyzji nakładającej administracyjną karę pieniężną w wysokości 100 tys. zł na KSSIP w związku z naruszeniem ochrony danych.

W sprawie tej doszło do ujawnienia danych osobowych związanych z domeną kssip.gov.pl. W wyniku nieupoważnionego dostępu do pliku z kopią bazy danych nieznane osoby ujawniły te dane w Internecie. Kopia bazy danych powstała natomiast w związku z testową migracją do nowej platformy szkoleniowej. W toku postępowania przed organem nadzorczym, jak i przed sądem, KSSIP starała się udowodnić, że odpowiedzialność za wskazany incydent spoczywa na podmiocie przetwarzającym. To pracownik tej firmy wykonał na zlecenie administratora kopię bazy danych i pozostawił ją na serwerze.

WSA podkreślił jednak, że UODO słusznie przyjął, iż skoro administrator podjął decyzję, że wspomniana kopia bazy danych powinna zostać usunięta, to jego obowiązkiem była weryfikacja, czy czynność ta została wykonana. Sąd zwrócił przy tym uwagę, że nawet jak pracownik podmiotu przetwarzającego nie usunął wykonanej kopii, to na administratorze nadal ciążył obowiązek weryfikacji czy wskazana lokalizacja zapewnia bezpieczeństwo przetwarzania danych osobowych. Zaznaczył, że to administrator jest inicjatorem podejmowanych działań, jako podmiot decydujący o celach i sposobach przetwarzania. Sąd zwrócił też uwagę, że z umowy o świadczenie usług między administratorem a podmiotem przetwarzającym wynika odpowiedzialność administratora za bezpieczeństwo, który w razie konieczności korzysta z pomocy podmiotu przetwarzającego.

Zarzuty UODO dotyczące braków kompleksowych postanowień w umowie powierzenia przetwarzania danych również zostały podzielone przez sąd. Organ nadzorczy prawidłowo wskazał więc, że treść umowy powierzenia w sposób niewystarczający określała zakres powierzanych danych. Umowa ta nie zawierała kategorii osób oraz nie doprecyzowała rodzaju danych osobowych przez wskazanie ich kategorii. Ponadto KSSIP nie zawarła w umowie zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.

WSA nie zgodził się z zarzutem skarżącego, że postępowanie przed UODO powinno być zawieszone do czasu zakończenia postępowania karnego wszczętego w związku z naruszeniem. Sąd zaznaczył, że UODO nie dubluje uprawnień prokuratury i sądu karnego, a ocenia działanie administratora poprzez analizę stanu faktycznego i wykładnię przepisów o ochronie danych osobowych.

*Sygn. Akt II SA/Wa 1384/21

Źródło: https://uodo.gov.pl/pl/138/2342




 

Wypróbuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Uzyskaj dostęp

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: [email protected]
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Polityka prywatności