W dniu 11 lutego 2021 r. Prezes Urzędu Ochrony Danych Osobowych, wydał decyzję, na mocy której, ukarał Krajową Szkołę Sądownictwa i Prokuratury- Administratora danych osobowych, karą 100 tysięcy złotych za wyciek kilkudziesięciu tysięcy danych osobowych m.in sędziów, prokuratorów, asesorów prokuratury, referendarzy sądowych.
Sprawa dotyczy nieprawidłowo przeprowadzonej migracji bazy danych w ramach współpracy z podmiotem, który dostarczał usługę hostingu. Według Prezesa Urzędu Danych Osobowych Administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania danych. Administrator nie przetestował i nie dokonał oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej.
W decyzji uznano, że Administrator niewłaściwie uwzględnił ryzyka związane ze zmianami w procesie przetwarzania danych osobowych. Administrator nie zobowiązał umownie podmiotu przetwarzającego do przetwarzania danych osobowych na udokumentowane polecenie, co jest wymogiem RODO. Sprawa ujrzała światło dzienne po tym jak Komenda Głowna Policji poinformowała KSSiP o tym, że w Internecie pojawiły się dane osobowe związane z domeną kssip.gov.pl. Po tym wydarzeniu KSSiP jako Administrator danych osobowych zdecydował się zgłosić naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych. Zgłoszony incydent polegał na uzyskaniu przez nieznane osoby nieupoważnionego dostępu do kopii bazy danych witryny szkoleniowej KSSIP.
W opisywanym przypadku wielką rolę odgrywa też zakres i poziom usług wynikający z umowy hostingowej. Kwestię tę podkreślono w uzasadnieniu decyzji o nałożeniu na Administratora kary. Jak podkreślono, z korespondencji pomiędzy podmiotem przetwarzającym, a Administratorem wynika, że:
„pracownicy KSSiP, zarówno przed naruszeniem ochrony danych, jak i po jego stwierdzeniu, nie mieli pełnej świadomości, jak kształtują się prawa i obowiązki, pomiędzy administratorem a podmiotem przetwarzającym……… Administrator kilkukrotnie oczekiwał wykonywania zadań wykraczających poza zakres tej umowy. Charakter usługi hostingu, wskazanej w umowie, nie zobowiązywał podmiotu przetwarzającego do ingerencji w kod źródłowy aplikacji, która jest narzędziem służącym do przetwarzania danych osobowych. Podmiot przetwarzający nie znał struktury i konfiguracji autorskich aplikacji instalowanych przez administratora w zasobach, w tym nie miał obowiązku, bez wiedzy administratora i na udokumentowane jego polecenie, prowadzenia czynności konfiguracyjnych………. Jedynie na udokumentowane polecenie administratora podmiot przetwarzający może dokonywać ingerencji w zakresie wynikającym z charakteru świadczonych usług i zawartej umowy.”
Prezes Urzędu Ochrony Danych Osobowych kilkukrotnie wskazał w wydanej decyzji na obowiązki Administratora w przetwarzaniu danych osobowych. Chodzi przede wszystkim o stosowanie środków technicznych i organizacyjnych, o których mowa w art. 24 i 32 RODO. Dla organu wydającego decyzję niezwykle ważną kwestią był też obowiązek weryfikacji podmiotu, któremu powierza się przetwarzanie danych osobowych i zapewnienie bezpiecznego przetwarzania danych osobowych. Dlatego też odpowiedzialnością za wyciek danych obciążony został Administrator danych osobowych.
W omawianej decyzji niezwykle ciekawą jest też kwestia umorzenia postępowania wobec podmiotu przetwarzającego. Zdaniem PUODO podmiot przetwarzający wypełniał obowiązki wynikające z umowy powierzenia i umowy głównej, a także stosował przyjęte przez siebie środki organizacyjne mające na celu zapewnienie bezpieczeństwa systemów informatycznych. Zdaniem urzędu to Administrator nie podjął się analizy, czy wskazując podmiotowi przetwarzającemu miejsce do wykonania kopii zapasowej bazy danych, nie naraża danych osobowych w niej zawartych na naruszenie ich poufności. Nie poinformował też podmiotu przetwarzającego o istotności podejmowanych działań, pod kątem ochrony danych osobowych. Umorzenie postępowania wobec podmiotu przetwarzającego jest o tyle ciekawe, że wcześniej pracownik tegoż podmiotu usłyszał zarzuty karne związane z nielegalnym udostępnieniem danych osobowych z bazy danych KSSIP. W świetle decyzji PUODO, ani podmiot świadczący usługi hostingowe ani jego pracownicy nie ponoszą winy za wyciek danych.
https://www.uodo.gov.pl/decyzje/DKN.5130.2024.2020