Nieprawidłowości w zakresie analizy ryzyka RODO i środków bezpieczeństwa danych nie zwalniają z odpowiedzialności za naruszenie ochrony danych, nawet jeśli jego współprzyczyną był błąd pracownika. Na stanowisku takim stanął Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę Szkoły Głównej Handlowej w Warszawie na decyzję w sprawie kary w wysokości 35 tys. zł.
Opracowanie: Michał Kowalski
Do wycieku danych osobowych w Szkole Głównej Handlowej doszło wskutek niewłaściwych zabezpieczeń danych osobowych w aplikacji służącej do rekrutacji na wymiany studenckie. Dane te wyciekły w 2022 r. podczas przenoszenia systemu na nowy serwer. Wyciek polegał zaś na przypadkowym ujawnieniu w sieci danych należących do prawie 1,5 tys. studentów, absolwentów i byłych studentów SGH.
W ocenie Prezesa UODO wyciek był konsekwencją nieprawidłowości w zakresie przeprowadzenia analizy ryzyka, doboru adekwatnych środków bezpieczeństwa i testowania ich skuteczności. Uczelnia z kolei argumentowała, że wyciek był wywołany wyłącznie błędem pracownika, któremu nie można było zapobiec.
Argumentacja ta nie spotkała się jednak z aprobatą Prezesa UODO, który nałożył na uczelnię administracyjną karę pieniężną w wysokości 35 tys. zł.
Nie mogąc zgodzić się z decyzją organu nadzorczego, SGH skierowała skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Sąd zgodził się jednak ze stanowiskiem Prezesa UODO i podtrzymał decyzję. WSA zaznaczył, że uczelnia nie wykazała faktu wdrożenia technicznych i organizacyjnych środków bezpieczeństwa danych osobowych na poziomie odpowiednim do ryzyka wiążącego się z przetwarzaniem danych w aplikacji. Nie udowodniła też, że regularnie testowała mierzyła i oceniała skuteczność tych środków w systemie rekrutacyjnym na wymiany studenckie.
Zdaniem WSA przyczyną naruszenia ochrony danych był nie tylko błąd ludzki, ale również nieprawidłowości w zakresie środków bezpieczeństwa danych osobowych.
wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie II SA/Wa 178/24
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
