KSSiP przegrała spór z UODO o 100 tys. zł kary za naruszenie RODO

W czwartek Naczelny Sąd Administracyjny (NSA) ostatecznie oddalił skargę kasacyjną Krajowej Szkoły Sądownictwa i Prokuratury (KSSiP), która kwestionowała 100 tys. zł kary za naruszenie przepisów o ochronie danych osobowych.

Problemy instytucji odpowiedzialnej za szkolenie kadr sądów powszechnych i prokuratury w Polsce zaczęły się w kwietniu 2020 r., gdy zgłosiła prezesowi Urzędu Ochrony Danych Osobowych ( UODO) naruszenie ochrony danych osobowych. A konkretnie chodziło o gigantyczny wyciek danych tysięcy prawników do sieci. Ze zgłoszenia wynikało, że szkoła jako administrator została na początku kwietnia 2020 r. zaalarmowana przez Komendę Główną Policji o pojawieniu się w internecie danych osobowych związanych z domeną kssip.gov.pl.

Czytaj więcej

Sądy i trybunały

Wyciek z KSSiP: Prawnicy dostają pogróżki. Żądanie pieniędzy i groźby śmierci

Kilkuset sędziów i prokuratorów dostało wiadomości z pogróżkami - w środku żądanie pieniędzy i gr...

Najgorsze obawy szybko się potwierdziły. KSSiP ustaliła, że do wycieku danych doszło kilka tygodni wcześniej w trakcie testowej migracji do nowej platformy szkoleniowej ekssip.kssip.gov.pl. W wyniku naruszenia w sieci pojawiły się dane osobowe ponad 50 tysięcy m.in. sędziów, prokuratorów, asesorów, kuratorów sądowych, asystentów, pracowników sądów i resortu sprawiedliwości. 

Upublicznione informacje obejmowały nie tylko imię i nazwisko, adres e-mail, nazwę użytkownika, PESEL, numer telefonu, jednostkę, wydział czy adres, ale także dane o charakterze technicznym jak adres IP, datę pierwszego i ostatniego logowania, oraz niejawne hasło.

Wyciek danych z baz KSSiP

Prezes UODO poważnie zajął się sprawą i ustalił, że KSSiP powierzyła przetwarzanie danych osobowych, których dotyczył wyciek zewnętrznej firmie. Kontrahent został wyłoniony w trybie przetargowym i miał zająć się tzw. hostingiem. Migracją danych ze strony szkoły zajmowało się dwóch pracowników, którzy mailowo zlecali kolejne etapy informatykowi spółki.

Ostatecznie nie udało się jednoznacznie ustalić na jakim etapie doszło do naruszenia, ale prezes UODO i tak nałożył na KSSiP 100 tys. zł kary za naruszenie obowiązków administratora. Przy czym nie była to kara za sam wyciek, ale to, że szkoła nie dopilnowała procesu migracji danych. W ocenie UODO administrator rażąco zaniedbał swoich obowiązków, bo nie zastosował m.in. odpowiednich środków technicznych i organizacyjnych mających zagwarantować zdolność do ciągłego zapewnienia poufności usług przetwarzania.

Kto ponosi odpowiedzialność za wyciek danych przy migracji

KSSiP nie zgodziła się z taką oceną. Przekonywała, że to nie ona ponosi winę za feralną sytuację. W jej ocenie wywiązała się z obowiązków administratora i wdrożyła adekwatne środki techniczne służące ochronie przetwarzanych danych osobowych. Podkreślała, że do procesu migracji zaangażowała zewnętrzna firmę przetwarzająca i to jej pracownik popełnił błąd, bo chciał ułatwić sobie życie i umieścił umieścił tymczasową kopię bazy w katalogu publicznym. Nie zgadzała się też z wysokością samej kara.

Ta argumentacja nie przekonała jednak ani UODO, ani Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie. W ocenie sądu z ustaleń wynika, że za całość operacji związanych z wykonaniem kopii bazy danych i przekazaniem jej do serwera docelowego, odpowiedzialna była KSSiP. Pracownik wykonawcy realizował zadania wynikających z umowy o świadczenie usług, tj. m.in. w ramach wsparcia technicznego.

Czytaj więcej

Samorząd i administracja

RODO: przetwarzania danych osobowych w postępowaniu administracyjnym

Przetwarzaniem jest m.in. ich zbieranie, utrwalanie i wykorzystywanie danych. Administrator danyc...

WSA zauważył, że w sprawie wyraźnie wskazano jakie procedury zostały złamane i jakie przepisy naruszono. A urzędnicy słusznie uznali, że odpowiedzialność w tym zakresie spoczywa na administratorze danych a nie na przetwarzającym. 

Ostatecznie podstaw do uchylenia kary nie dopatrzył się też NSA. Zgodził się, że skarżąca nie podjęła wystarczających działań w celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu. Zwłaszcza nie zweryfikowała w feralnym okresie  we wskazanej przez nią lokalizacji nadal znajduje się kopia bazy danych. Sąd podkreślił, że KSSiP nie zdecydowała się na zaangażowanie przetwarzającego w proces migracji i nie udzielała mu pełnych informacji o podejmowanych czynnościach i oczekiwanych rezultatach. W konsekwencji jak tłumaczył sędzia NSA Zbigniew Ślusarczyk administrator nie upewnił się, że przetwarzane dane osobowe są odpowiednio zabezpieczone.

Czy administratora można ukarać za błąd pracownika kontrahenta

Sąd przypomniał, że sporna odpowiedzialność jest kwestią obiektywną, a nie związaną z wykazaniem czyjejś winy. W sprawie chodzi o karę za niedopełnienie procedur, brak odpowiedniego zabezpieczenia oraz organizacji. I choć jak zaznaczył NSA odpowiedzialność administratora za naruszenie ochrony danych osobowych nie ma charakteru absolutnego, to jest kategorią obiektywną. I to administrator ponosi odpowiedzialność także za działania osób i podmiotów od siebie niezależnych przy pomocy których przetwarza dane osobowe.

Ponadto jak podkreślił sąd w spornym przypadku przetwarzający nie wykroczył poza umowę. Jego pracownik nawet nie wiedział, że chodzi o migrację danych. Dostał konkretne zlecenie od pracowników KSSiP, które ma wykonać. Przy czym nawet jeżeli w wyniku błędu pracownik spółki nie usunął wykonalnej kopii, to zadniem NSA i tak na administratorze nadal ciąży obowiązek weryfikacji, czy wskazana lokalizacja zapewnia bezpieczeństwo przetwarzania.

Czytaj więcej

Dane osobowe

Pesele z adresami na śmietniku. Jest skarga kasacyjna ws. kary dla banku

Prezes Urzędu Ochrony Danych Osobowych złożył do NSA skargę kasacyjną w sprawie wyroku WSA w War...

To administrator jest inicjatorem podejmowanych działań jako podmiot decydujący o celach i sposobach przetwarzania. Okoliczność, czy wyciek danych nastąpił w wyniku błędu pracownika spółki, czy innych czynników nie ma znaczenia dla odpowiedzialności administratora z art. 32 RODO. Skorzystanie z usług przetwarzającego, nie zwalnia administratora z odpowiedzialności za naruszenie ochrony danych osobowych. 

NSA nie miał też wątpliwości co do wysokości samej kary. Skala naruszania była duża i gdyby chodziło o podmiot prywatny sankcja szłaby w miliony. KSSiP i tak został więc potraktowany łagodniej, bo skorzystał z tego, że kary dla podmiotu publicznego są limitowane do 100 tys. zł. Wyrok jest prawomocny.