Wojewódzki Sąd Administracyjny w Warszawie zgodził się z argumentacją UODO co do decyzji nakładającej administracyjną karę pieniężną w wysokości 100 tys. zł na KSSIP w związku z naruszeniem ochrony danych.
Sprawa dotyczyła ujawnienia danych osobowych związanych z domeną kssip.gov.pl. W związku z testową migracją do nowej platformy szkoleniowej powstała kopia bazy danych. Natomiast, w wyniku nieupoważnionego dostępu do pliku z kopią bazy danych nieznane osoby ujawniły te dane w internecie. Krajowa Szkoła Sądownictwa i Prokuratury w toku postępowania przed organem nadzorczym oraz przed sądem próbowała udowodnić, że odpowiedzialność za wskazany incydent spoczywa na podmiocie przetwarzającym. Na zlecenie administratora pracownik firmy wykonał kopię bazy danych i pozostawił ją na serwerze. Jak podkreślił WSA, skoro administrator podjął decyzję, że kopia danych powinna zostać usunięta, to do jego obowiązków należała weryfikacja czy faktycznie się to stało. Administrator był inicjatorem działań, miał więc on rolę podmiotu decydującego o celach i sposobach przetwarzania. Co więcej, Sąd zwrócił uwagę, że z umowy o świadczenie usług pomiędzy administratorem a podmiotem przetwarzającym wynika odpowiedzialność administratora za bezpieczeństwo.
Sąd podzielił również przedstawiane przez UODO zarzuty dotyczące braków kompleksowych postanowień w umowie powierzenia przetwarzania danych. Treść umowy powierzenia, jak wskazał organ nadzorczy, określała zakres powierzanych danych w sposób niewystarczający. W umowie nie były zawarte ani kategorie osób, ani rodzaje danych osobowych przez wskazanie ich kategorii. KSSIP nie zawarła w umowie także zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.
WSA wskazał, że UODO ocenia działanie administratora przez analizę stanu faktycznego i wykładnie przepisów. Organ nie dubluje uprawnień prokuratury i sądu karnego. Warszawski Wojewódzki Sąd Administracyjny nie zgodził się więc z zarzutem strony skarżącej, że postępowanie przed UODO powinno być zawieszone do momentu zakończenia postępowania karnego wszczętego w związku z naruszeniem.
