KSSIP ukarana za braki w zakresie zabezpieczeń

Krajowa Szkoła Sądownictwa i Prokuratury zgłosiła naruszenie ochrony danych w związku z powiadomieniem przez Komendę Główną Policji o pojawieniu się w Internecie danych osobowych związanych z domeną kssip.gov.pl. Zdarzenie polegało na uzyskaniu przez nieznane osoby nieupoważnionego dostępu do kopii bazy danych witryny szkoleniowej KSSIP powstałej w trakcie testowej migracji do nowej platformy szkoleniowej. Wyciek dotknął aż 50 tys. osób tj. użytkowników podlegających szkoleniu ustawicznemu, których dane osobowe zgromadzono na platformie szkoleniowej KSSiP. Warto zauważyć, że osoby te piastują stanowiska m.in. sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych.

Głównym zarzutem organu nadzorczego było niezastosowanie odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. Jak wskazano w decyzji, Krajowa Szkoła Sądownictwa i Prokuratury nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej KSSiP. W konsekwencji nie uwzględniono w sposób należyty ryzyka, jakie wiąże się ze zmianami w procesie przetwarzania danych osobowych.

To jednak nie jedynie uchybienie stwierdzone przez UODO. KSSiP powierzyła przetwarzanie danych osobowych procesorowi wprawdzie zawierając umowę powierzenia przetwarzania, ale niespełniającą wymogów RODO. W umowie tej:

• niewystarczająco sprecyzowano zakres powierzanych danych,
• nie zawarto kategorii osób,
• nie dookreślono rodzaju danych osobowych przez wskazanie ich kategorii.

W konsekwencji wystąpił brak zrozumienia przez administratora roli, jaką on pełni w relacji z podmiotem przetwarzającym, co doprowadziło do naruszenia ochrony danych.

Opracowanie:

Michał Kowalski

Orzecznictwo:

• decyzja Prezesa UODO z 11 stycznia 2021 r. (DKN.5130.2815.2020)