202104.28
0

Krajowa Szkoła Sądownictwa i Prokuratury z siedzibą w Krakowie ukarana przez UODO

Dnia 11 lutego 2021 r. Prezes Urzędu Ochrony Danych Osobowych po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Krajową Szkołę Sądownictwa i Prokuratury z siedzibą w Krakowie (KSSiP), stwierdził naruszenie przez nią przepisów ustawy o ochronie danych osobowych oraz rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Naruszenie polegało, zdaniem Prezesa UODO na:

  • nie zastosowaniu odpowiednich środków technicznych i organizacyjnych mających zapewnić poufność usług przetwarzania, braku przetestowania i oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w posiadaniu Krajowej Szkoły Sądownictwa i Prokuratury,
  • powierzeniu przetwarzania danych osobowych e. Sp. z o.o. bez umownego zobowiązania tej spółki do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, a także bez określenia w umowie kategorii osób oraz bez doprecyzowania rodzaju danych osobowych przez wskazanie ich kategorii.

W związku z powyższym Prezes UODO nałożył na Krajową Szkołę Sądownictwa i Prokuratury z siedzibą w Krakowie, administracyjną karę pieniężną w wysokości 100 000 zł.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Zdaniem Prezesa UODO, treść umowy powierzenia przetwarzania danych osobowych zawartą przez Krajową Szkołę Sądownictwa i Prokuratury ze spółką e. Sp. z o.o., w sposób niewystarczający doprecyzowała zakres powierzanych danych.  Administrator danych, czyli w tym wypadku KSSiP, powierzając przetwarzanie danych osobowych e., uchybiła wymogom prawnym, ponieważ nie zawarła w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz nie doprecyzowała rodzaju danych osobowych przez wskazanie ich kategorii, co stanowi naruszenie art. 28 ust. 3 rozporządzenia 2016/679. Ponadto, KSSiP, powierzając przetwarzanie danych osobowych e., nie zawarła w umowie zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, co stanowi naruszenie wspomnianego rozporządzenia.

O ile strony umowy ustaliły kanały komunikacji oraz wyznaczyły osoby wykonujące czynności związane z realizacją umowy, a wydawane polecenia miały charakter udokumentowany, o tyle, jak wynika  z analizowanej w toku postępowania korespondencji, osoby wyznaczone przez KSSiP nie miały świadomości, jak kształtują się prawa i obowiązki pomiędzy KSSiP a e.. Uprawniona jest konstatacja, że osoby wyznaczone do kontaktu z podmiotem przetwarzającym powinny zostać uprzednio poinformowane o zakresie usług świadczonych przez podmiot przetwarzający, obowiązkach ciążących po stronie administratora, a w porozumieniu z e. posługiwać się pojęciami zrozumiałymi dla obu stron, minimalizującymi ryzyko naruszenia ochrony danych osobowych. KSSiP, zgodnie z przyjętym przez siebie celem i sposobem przetwarzania, zdecydowała, że po zakończeniu procesu migracji danych do nowej lokalizacji, żadna kopia bazy danych nie powinna pozostać w starej lokalizacji.  Skoro administrator danych – KSSiP podjął decyzję, że konkretna kopia bazy danych powinna zostać usunięta, to jego obowiązkiem była weryfikacja, czy czynność ta została wykonana. Nawet jeśli w wyniku błędu pracownik spółki e. nie usunął wykonanej kopii, gdyż nie zastosował się do prośby o jej „przeniesienie”, to na administratorze nadal ciążył obowiązek weryfikacji, czy wskazana lokalizacja zapewniała bezpieczeństwo przetwarzania.

Zgodnie  z umową o świadczenie usług bowiem, to on w pierwszej kolejności odpowiada za bezpieczeństwo środowiska przetwarzania danych, które zostało mu przez spółkę e. udostępnione, i jak wynika z umowy o świadczenie usług, w razie konieczności korzysta z pomocy podmiotu przetwarzającego. W ocenie Prezesa UODO model współpracy KSSiP jako administratora danych z podmiotem przetwarzającym był nieskuteczny. Nieporozumienia wynikające z braku zrozumienia przez administratora roli, jaką pełni w relacji z podmiotem przetwarzającym, doprowadziły do naruszenia ochrony danych osobowych. W oparciu o zgromadzony materiał dowodowy Prezes UODO stwierdził, że KSSiP nie podjęła wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania danych przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu. Decydując się na nieangażowanie podmiotu przetwarzającego, czyli spółki e. w proces migracji danych i nieudzielenie pełnych informacji o podejmowanych czynnościach i oczekiwanych rezultatach, KSSiP, czyli administrator nie upewniła się, że przetwarzane dane osobowe były odpowiednio zabezpieczone. Weryfikacji tej administrator podjął się dopiero w dniu stwierdzenia naruszenia. Stanowi to o rażącym zaniedbaniu obowiązków KSSiP i naruszeniu przepisów art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679 poprzez niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zagwarantować zdolność do ciągłego zapewnienia poufności usług przetwarzania poufnych danych osobowych.

W związku z powyższym, Prezes UODO podjął decyzję jak opisano we wstępie.

foto: pixabay/geralt