Prezes Urzędu Ochrony Danych Osobowych ukarał KSSiP karą w wysokości
100 tysięcy złotych za to, że jej zaniedbania doprowadziły do wycieku danych tysięcy sędziów i prokuratorów, w tym ich imion i nazwisk, numerów telefonów i prywatnych adresów e-mail. Wyciek ujawniono w kwietniu 2020 r.
Prokuratura ustaliła, że odpowiedzialnym jest pracownik
spółki zewnętrznej, z którą
KSSiP zawarła umowę o świadczenie usługi zarządzania zasobami
serwerowymi.
Sprawę badał także Urząd Ochrony Danych Osobowych. Nie dopatrzył się
winy firmy, której pracownik usłyszał zarzuty prokuratorskie. Stwierdził za to wiele nieprawidłowości po stronie szkoły: "Niezastosowanie odpowiednich środków technicznych i organizacyjnych, (...) niewłaściwe uwzględnienie ryzyka związanego ze zmianami w procesie przetwarzania. Powierzenie tego procesu firmie, bez umownego zobowiązania podmiotu przetwarzającego do przetwarzania danych wyłącznie na udokumentowane polecenie administratora". Prezes UODO nałożył na KSSiP karę administracyjną w wysokości 100 tys. złotych.
Czytaj więcej
Kilkuset sędziów i prokuratorów dostało wiadomości z pogróżkami - w środku żądanie pieniędzy i groźby śmierci. Prawnicy mówią, że to efekt wycieku danych z Krajowej Szkoły Sądownictwa i Prokuratury - informuje tvn24.pl.
Jak informuje UODO, w wyniku nieupoważnionego dostępu do pliku z kopią bazy danych nieznane osoby ujawniły te dane w Internecie. Kopia bazy danych powstała natomiast w związku z testową migracją do nowej platformy szkoleniowej KSSiP. KSSiP próbowała przekonać UODO, a potem sąd, że to pracownik firmy zewnętrznej wykonał na zlecenie administratora kopię bazy danych i pozostawił ją na serwerze.
W wyroku, który zapadł 26 stycznia 2022 r. WSA podkreślił jednak, że UODO słusznie przyjął, iż skoro administrator podjął decyzję, że wspomniana kopia bazy danych powinna zostać usunięta, to jego obowiązkiem była weryfikacja, czy czynność ta została wykonana. Sąd zwrócił przy tym uwagę, że nawet jak pracownik podmiotu przetwarzającego nie usunął wykonanej kopii, to na administratorze nadal ciążył obowiązek weryfikacji czy wskazana lokalizacja zapewnia bezpieczeństwo przetwarzania danych osobowych. Zaznaczył, że to administrator jest inicjatorem podejmowanych działań, jako podmiot decydujący o celach i sposobach przetwarzania. Sąd zwrócił też uwagę, że z umowy o świadczenie usług między administratorem a podmiotem przetwarzającym wynika odpowiedzialność administratora za bezpieczeństwo, który w razie konieczności korzysta z pomocy podmiotu przetwarzającego
