Reklama

Polityka i prawo

Krajowa Szkoła Sądownictwa i Prokuratury ukarana za naruszenie RODO

Fot. Darpaw/Wikimedia Commons/CC 4.0
Fot. Darpaw/Wikimedia Commons/CC 4.0

Karę w wysokości 100 tys. zł nałożył Urząd Ochrony Danych Osobowych (UODO) na Krajową Szkołę Sądownictwa i Prokuratury (KSSIP) w związku z naruszeniem przepisów RODO. Placówka nie zrealizowała ciążących na niej obowiązków administratora.

Jak twierdzi UODO, administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. „KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględniła ryzyka, jakie wiąże się ze zmianami w procesie przetwarzania danych osobowych” – tłumaczy Urząd w oficjalnym komunikacie.

Co więcej, administrator naruszył obowiązujące przepisy, ponieważ powierzył przetwarzanie danych osobowych podmiotowi przetwarzającemu bez umownego zobowiązania go do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.

UODO przypomina, że Krajowa Szkoła Sądownictwa i Prokuratury zgłosiła do Urzędu naruszenie ochrony danych osobowych, w związku z powiadomieniem przez Komendę Główną Policji o pojawieniu się w Internecie informacji związanych z domeną kssip.gov.pl. W komunikacie podkreślono, że incydent polegał na uzyskaniu przez osoby trzecie nieupoważnionego dostępu do kopii bazy danych witryny szkoleniowej KSSIP powstałej w trakcie testowej migracji do nowej platformy szkoleniowej. „Naruszenie dotyczyło danych osobowych ponad 50 tys. osób, użytkowników podlegających szkoleniu ustawicznemu, których dane osobowe zgromadzono na platformie szkoleniowej KSSiP. Osoby te piastują stanowiska m.in. sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych” – wskazuje UODO.

Zgodnie z treścią komunikatu administrator wdraża odpowiednie środki techniczne i organizacyjne, tak aby przetwarzanie danych osobowych odbywało się zgodnie z RODO. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny proporcjonalności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże.

UODO zaznaczyło, że na zasobach informatycznych KSSiP znajdowała się kopia bazy danych, której istnienie i bezpieczeństwo, po wykonaniu czynności migracyjnych, w żaden sposób nie zostało zweryfikowane przez administratora, co jest jego prawnym obowiązkiem wynikającym z przepisów o ochronie danych osobowych. W tym kontekście Krajowa Szkoła Sądownictwa i Prokuratury nie podjęła wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu.

Ponadto, Urząd tłumaczy, że w przypadku powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie należy określić przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora.

W sprawie KSSiP umowa powierzenia w sposób niewystarczający określała zakres powierzanych danych. Szkoła nie zawarła w dokumencie kategorii osób oraz nie doprecyzowała rodzaju danych osobowych przez wskazanie ich kategorii. Dodatkowo placówka nie uwzględniła w porozumieniu zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.

Równie istotny jest fakt – na co zwraca uwagę UODO – że model współpracy administratora z podmiotem przetwarzającym był nieskuteczny. „Brak zrozumienia przez administratora roli, jaką on pełni w relacji z podmiotem przetwarzającym, doprowadziły do naruszenia ochrony danych osobowych” – czytamy w komunikacie. „KSSiP, zarówno przed naruszeniem ochrony danych, jak i po jego stwierdzeniu, nie miała pełnej świadomości, jak kształtują się prawa i obowiązki, pomiędzy administratorem a podmiotem przetwarzającym” – dodaje Urząd.

UODO podkreśla, że podmiot przetwarzający wypełniał obowiązki wynikające z umowy powierzenia i umowy głównej, a także stosował przyjęte przez siebie środki organizacyjne mające na celu zapewnienie bezpieczeństwa systemów informatycznych, w związku z czym postępowanie wobec niego zostało umorzone. To administrator nie podjął się analizy, czy wskazując podmiotowi przetwarzającemu miejsce do wykonania kopii zapasowej bazy danych, nie naraża danych osobowych w niej zawartych na naruszenie ich poufności.

Zdaniem Urzędu nie ma również podstaw do zarzucenia podmiotowi przetwarzającemu naruszenia obowiązku wspierania administratora w wywiązywaniu się z obowiązków.

SZP/UODO

image

Reklama
Reklama

Komentarze