Naczelny Sąd Administracyjny oddalił skargę kasacyjną Krajowej Szkoły Sądownictwa i Prokuratury, która nie zgodziła się z karą 100 tys. zł nałożoną przez prezesa UODO - poinformował w poniedziałek Urząd Ochrony Danych Osobowych. Chodziło o wyciek danych ze Szkoły z 2020 r.
"NSA stwierdził, że wysokość kary administracyjnej nie budzi wątpliwości. Zauważył również, że wobec skali stwierdzonych uchybień, leżących po stronie administratora, kara w przypadku podmiotu prywatnego byłaby dalece wyższa" - przekazał w poniedziałkowym komunikacie o tej sprawie UODO. Jak przypomniał w odniesieniu do takich kar w przypadku podmiotu publicznego istnieje bowiem górne ograniczenie ustawowe do 100 tys. zł.
O wycieku danych z KSSiP media informowały w kwietniu 2020 r. Do internetu wyciekły wówczas dane tysięcy sędziów i prokuratorów, które miała w swoich zasobach krakowska szkoła. W sieci pojawiły się prywatne adresy mailowe, adresy zamieszkania, numery telefonów, a także hasła logowania. Jak informowano, wyciek dotyczył danych ponad 50 tys. osób.
Ówczesna dyrektor KSSiP Małgorzata Manowska oświadczyła wtedy, że w zakresie usług informatycznych szkoła korzysta z obsługi profesjonalnych podmiotów zewnętrznych. "Prawdopodobne jest, że do wycieku danych osobowych doszło na skutek zaniedbania jednej z tych firm" - mówiła wtedy Manowska.
Jak przypomniał UODO, wyciek nastąpił w trakcie migracji danych do platformy szkoleniowej. "Kategorie danych osobowych, których dotyczyło naruszenie, obejmowały nie tylko imiona, nazwiska, adresy mailowe, ale też hasła dostępu czy adresy IP" - zaznaczono w poniedziałkowym komunikacie.
W toku postępowania prezes Urzędu ustalił, że proces przetwarzania danych KSSiP zleciła zewnętrznej firmie. "Odbywał się on z zaniedbaniem odpowiednich środków technicznych oraz organizacyjnych m.in. administrator nie sprawdził, czy kopia danych po przeprowadzeniu migracji została usunięta z serwera" - wskazano w komunikacie.
W związku z tym w lutym 2021 r. prezes UODO nałożył na KSSiP karę administracyjną 100 tys. zł. "Powodem kary był nie sam fakt naruszenia poufności danych, lecz okoliczność, w której KSSiP nie podjęła wystarczającej weryfikacji środowiska ani nie zaangażowała podmiotu przetwarzającego w ustalenie, czy dane są wystarczająco zabezpieczone" - przypomniano.
KSSiP nie zgodziła się z argumentacją prezesa Urzędu, wskazując, że środki bezpieczeństwa zapewnione w procesie migracji były wystarczające, a błąd, wynikający ze sposobu pracy jednego z informatyków, popełniła firma zewnętrzna. Szkoła zakwestionowała również wysokość kary.
Jak zrelacjonowano w poniedziałkowym komunikacie UODO, Wojewódzki Sąd Administracyjny w Warszawie w styczniu 2022 r. oddalił skargę Szkoły, podkreślając, że odpowiedzialność za proces przetwarzania danych spoczywa przez cały czas na administratorze, a nie na podmiocie przetwarzającym.
DO NSA trafiła skarga kasacyjna od tamtego orzeczenia. "Ostatecznie sprawę rozstrzygnął NSA, zaznaczając w wyroku, że KSSiP nie podjęła starań zabezpieczenia całego procesu migracji danych ani nie informowała zewnętrznej firmy o oczekiwaniach dotyczących tej operacji. Według NSA administrator jest inicjatorem działań jako podmiot decydujący o celach oraz sposobach przetwarzania. To, czy do wycieku doszło w efekcie błędu pracownika firmy zewnętrznej, czy z innych przyczyn, nie ma znaczenia dla odpowiedzialności administratora wynikającej z RODO" - przekazano w poniedziałek na stronie Urzędu.
W czerwcu 2024 r. Prokuratura Regionalna w Lublinie umorzyła śledztwo w sprawie niedopełnienia obowiązków przez dyrektora, sędziów, prokuratorów i urzędników KSSiP w związku z tym wyciekiem. Rok wcześniej do sądu trafiło natomiast oskarżenie wobec pracownika spółki, z którą KSSiP zawarła umowę o świadczenie usługi zarządzania zasobami serwerowymi. (PAP)
mja/ sdd/
