Nieprawidłowości w zakresie analizy ryzyka RODO i środków bezpieczeństwa danych nie zwalniają z odpowiedzialności za naruszenie ochrony danych, nawet jeśli jego współprzyczyną był błąd pracownika. Na stanowisku takim stanął Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę Szkoły Głównej Handlowej w Warszawie na decyzję w sprawie kary w wysokości 35 tys. zł.
Opracowanie: Michał Kowalski
Do wycieku danych osobowych w Szkole Głównej Handlowej doszło wskutek niewłaściwych zabezpieczeń danych osobowych w aplikacji służącej do rekrutacji na wymiany studenckie. Dane te wyciekły w 2022 r. podczas przenoszenia systemu na nowy serwer. Wyciek polegał zaś na przypadkowym ujawnieniu w sieci danych należących do prawie 1,5 tys. studentów, absolwentów i byłych studentów SGH.
W ocenie Prezesa UODO wyciek był konsekwencją nieprawidłowości w zakresie przeprowadzenia analizy ryzyka, doboru adekwatnych środków bezpieczeństwa i testowania ich skuteczności. Uczelnia z kolei argumentowała, że wyciek był wywołany wyłącznie błędem pracownika, któremu nie można było zapobiec.
Argumentacja ta nie spotkała się jednak z aprobatą Prezesa UODO, który nałożył na uczelnię administracyjną karę pieniężną w wysokości 35 tys. zł.
Nie mogąc zgodzić się z decyzją organu nadzorczego, SGH skierowała skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Sąd zgodził się jednak ze stanowiskiem Prezesa UODO i podtrzymał decyzję. WSA zaznaczył, że uczelnia nie wykazała faktu wdrożenia technicznych i organizacyjnych środków bezpieczeństwa danych osobowych na poziomie odpowiednim do ryzyka wiążącego się z przetwarzaniem danych w aplikacji. Nie udowodniła też, że regularnie testowała mierzyła i oceniała skuteczność tych środków w systemie rekrutacyjnym na wymiany studenckie.
Zdaniem WSA przyczyną naruszenia ochrony danych był nie tylko błąd ludzki, ale również nieprawidłowości w zakresie środków bezpieczeństwa danych osobowych.
wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie II SA/Wa 178/24
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
