W 2021 r. Prezes UODO wymierzył Krajowej Szkole Sądownictwa i Prokuratury karę w wysokości 100 tys. zł za niedostateczne zabezpieczenia przetwarzania danych osobowych. Teraz zaś orzeczenie to zostało podtrzymane przez Wojewódzki Sąd Administracyjny w Warszawie.
Ponad rok temu Prezes UODO ukarał Krajową Szkołę Sądownictwa i Prokuratury za niewystarczające zabezpieczenia techniczne i organizacyjne w zakresie przetwarzania danych osobowych. W efekcie doszło do nieupoważnionego dostępu do pliku z kopią bazy danych ze strony kssip.gov.pl. Kopia ta powstała w następstwie testowej migracji do nowej platformy szkoleniowej. Wyciek objął aż 50 tys. osób m.in. na stanowiskach sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych.
Wojewódzki Sąd Administracyjny podtrzymał decyzję Prezesa UODO. Wskazał, że skoro administrator zadecydował o usunięciu kopii bazy danych powstałej podczas wspomnianej testowej migracji, to powinien zweryfikować, czy do tego usunięcia doszło. Jeśli zaś usunięcie nie nastąpiło, to administrator nadal miał obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych w tej lokalizacji.
Według sądu to administrator, a nie jedynie jego pracownik powinien podejmować działania w zakresie bezpieczeństwa danych, ponieważ decyduje o celach sposobach przetwarzania.
WSA zgodził się również z zarzutami dotyczącymi braku wyczerpujących rozwiązań w umowie powierzenia przetwarzania danych. Brakowało w szczególności precyzyjnego określenia zakresu powierzanych danych. Nie wskazano też kategorii osób i rodzaju danych osobowych przez wskazanie ich kategorii. Administrator nie zobowiązał też podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.
Sąd nie poparł natomiast zarzutu KSSIP, że postępowanie przed PUODO powinno zostać zawieszone do czasu zakończenia postępowania karnego wszczętego w związku z naruszeniem.
Prezes UODO ocenia działanie administratora poprzez analizę stanu faktycznego i wykładnię przepisów o ochronie danych osobowych. Nie jest to więc postępowanie dublujące się z postępowaniem karnym.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
