bg
Chcę wiedzieć o...
Strona główna
Artykuły
Skarga KSSIP na decyzję UODO

Skarga KSSIP na decyzję UODO

Dodano: 2022-04-07
Publikator: Urząd Ochrony Danych Osobowych

Wojewódzki Sąd Administracyjny w Warszawie zgodził się z argumentacją UODO co do decyzji nakładającej administracyjną karę pieniężną w wysokości 100 tys. zł na KSSIP w związku z naruszeniem ochrony danych.

Sprawa dotyczyła ujawnienia danych osobowych związanych z domeną kssip.gov.pl. W związku z testową migracją do nowej platformy szkoleniowej powstała kopia bazy danych. Natomiast, w wyniku nieupoważnionego dostępu do pliku z kopią bazy danych nieznane osoby ujawniły te dane w internecie. Krajowa Szkoła Sądownictwa i Prokuratury w toku postępowania przed organem nadzorczym oraz przed sądem próbowała udowodnić, że odpowiedzialność za wskazany incydent spoczywa na podmiocie przetwarzającym. Na zlecenie administratora pracownik firmy wykonał kopię bazy danych i pozostawił ją na serwerze. Jak podkreślił WSA, skoro administrator podjął decyzję, że kopia danych powinna zostać usunięta, to do jego obowiązków należała weryfikacja czy faktycznie się to stało. Administrator był inicjatorem działań, miał więc on rolę podmiotu decydującego o celach i sposobach przetwarzania. Co więcej, Sąd zwrócił uwagę, że z umowy o świadczenie usług pomiędzy administratorem a podmiotem przetwarzającym wynika odpowiedzialność administratora za bezpieczeństwo.

Sąd podzielił również przedstawiane przez UODO zarzuty dotyczące braków kompleksowych postanowień w umowie powierzenia przetwarzania danych. Treść umowy powierzenia, jak wskazał organ nadzorczy, określała zakres powierzanych danych w sposób niewystarczający. W umowie nie były zawarte ani kategorie osób, ani rodzaje danych osobowych przez wskazanie ich kategorii. KSSIP nie zawarła w umowie także zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.

WSA wskazał, że UODO ocenia działanie administratora przez analizę stanu faktycznego i wykładnie przepisów. Organ nie dubluje uprawnień prokuratury i sądu karnego. Warszawski Wojewódzki Sąd Administracyjny nie zgodził się więc z zarzutem strony skarżącej, że postępowanie przed UODO powinno być zawieszone do momentu zakończenia postępowania karnego wszczętego w związku z naruszeniem.

Artykuły powiązane

UODO: Numer PESEL nie powinien widnieć w certyfikacie podpisu elektronicznego

Prezes Urzędu Ochrony Danych Osobowych (UODO) zwrócił się do Ministra Cyfryzacji z wnioskiem o zmianę przepisów dotyc...

Blokada strony internetowej przez ABW bezpodstawna – NSA ostatecznie rozstrzyga

Naczelny Sąd Administracyjny (NSA) w wyroku z 26 września 2024 roku (sygn. akt II GSK 2046/23) uznał, że Agencja Bez...

Meta ukarana 91 mln euro za naruszenie RODO.

Irlandzki organ ochrony danych (DPC) nałożył na Metę karę w wysokości 91 milionów euro za naruszenie przepisów RODO zwią...