NSA oddalił skargę kasacyjną KSSiP w sprawie kary PUODO za wyciek danych

KSSiP zapłaci 100 tys. zł kary za wyciek danych sędziów i prokuratorów

Źródło: iStock

Naczelny Sąd Administracyjny oddalił skargę kasacyjną Krajowej Szkoły Sądownictwa i Prokuratury, która nie zgodziła się z karą 100 tys. zł nałożoną przez prezesa UODO za naruszenie przepisów o ochronie danych osobowych. Chodzi o sprawę z 2020 r. i głośny medialnie wyciek danych nawet tysięcy sędziów, prokuratorów, asesorów sądowych i prokuratorskich.

W internecie pojawiły się dane z bazy portalu szkolenia.kssip.gov.pl z 21 lutego 2020 r. Mogło do tego dojść – jak informowano wówczas – w trakcie testowej migracji platformy do obecnej platformy szkoleniowej ekssip.kssip.gov.pl. Sędziów poinformowano, że chodzi o takie dane jak: imię i nazwisko, numer telefonu, adres e-mail, miejsce zamieszkania, daty pierwszego i ostatniego logowania, numery ICQ, MSN, Skype, Yahoo, miejsce pracy, hasło (zaszyfrowane) i – co jest sprawdzane – numer PESEL. W toku postępowania PUODO ustalił, że proces przetwarzania danych KSSiP zleciła zewnętrznej firmie (podmiotowi przetwarzającemu) i odbywał się on z zaniedbaniem odpowiednich środków technicznych oraz organizacyjnych (m.in. administrator nie sprawdził, czy kopia danych po przeprowadzeniu migracji została usunięta z serwera). Stąd w 2021 r. zdecydowano o nałożeniu na Szkołę kary administracyjnej w wysokości 100 tys. zł.

Czytaj: Z bazy szkoleniowej KSSiP wyciekły dane sędziów, prokuratorów, referendarzy>>

Ciąg dalszy afery z KSSiP? Sędziowie i kuratorzy dostają groźby>>

Nie chodziło tylko o poufność

Powodem kary był nie sam fakt naruszenia poufności danych, lecz okoliczność, w której KSSiP nie podjęła wystarczającej weryfikacji środowiska ani nie zaangażowała podmiotu przetwarzającego w ustalenie, czy dane są wystarczająco zabezpieczone.

KSSiP nie zgodziła się z argumentacją PUODO, wskazując, że środki bezpieczeństwa zapewnione w procesie migracji były wystarczające, a błąd – wynikający ze sposobu pracy jednego z informatyków – popełniła firma zewnętrzna. KSSiP nie zgodziła się również z wysokością orzeczonej kary.

Prezes UODO nie przyjął tych wyjaśnień. Podobnie uczynił Wojewódzki Sąd Administracyjny, podkreślając, że odpowiedzialność za proces przetwarzania danych spoczywa przez cały czas na administratorze, a nie na podmiocie przetwarzającym.

Na KSSiP spoczywała odpowiedzialność

Ostatecznie sprawę rozstrzygnął Naczelny Sąd Administracyjny, zaznaczając w wyroku, że KSSiP nie podjęła starań zabezpieczenia całego procesu migracji danych ani nie informowała zewnętrznej firmy o oczekiwaniach dotyczących tej operacji. Według NSA administrator jest inicjatorem działań jako podmiot decydujący o celach oraz sposobach przetwarzania. To, czy do wycieku doszło w efekcie błędu pracownika firmy zewnętrznej, czy z innych przyczyn, nie ma znaczenia dla odpowiedzialności administratora wynikającej z art. 32 RODO.

NSA stwierdził też, że wysokość kary administracyjnej nie budzi wątpliwości. Zauważył również, że wobec skali stwierdzonych uchybień, leżących po stronie administratora, kara w przypadku podmiotu prywatnego byłaby dalece wyższa (w przypadku podmiotu publicznego istnieje górne ograniczenie ustawowe do 100 tys. zł).

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.