Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę spółki Panek SA, która próbowała zakwestionować wysoką karę finansową nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych. Sprawa pokazuje, jak ważne jest nie tylko samo wdrożenie środków ochrony danych, ale także ich bieżąca kontrola i dokumentowanie działań związanych z bezpieczeństwem.
Jak doszło do naruszenia?
W 2020 roku podczas uruchamiania nowej strony internetowej spółki doszło do poważnego incydentu – udostępniono folder zawierający pliki z danymi klientów pochodzące ze starej wersji witryny.
Problem w tym, że dane były widoczne publicznie i mogły zostać poddane indeksowaniu przez wyszukiwarki. Znalazły się wśród nich m.in. imiona, nazwiska, adresy e-mail, telefony, adresy zamieszkania, dane do logowania oraz numery PESEL. Naruszenie objęło ponad 7 tysięcy osób.
Panek SA zgłosiła sprawę do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, lecz PUODO uznał, że zastosowane środki bezpieczeństwa, służące w szczególności weryfikacji działań podmiotu przetwarzającego dane pod kątem bezpieczeństwa informacji były niewystarczające i w konsekwencji nałożył na spółkę karę ponad 1,5 mln zł. Wspomniany podmiot przetwarzający, któremu powierzono część działań technicznych również został ukarany administracyjną karą pieniężną.
Argumenty spółki kontra stanowisko sądu
Spółka Panek SA broniła się, twierdząc m.in., że:
- odpowiedzialność za incydent powinna spoczywać na podmiocie przetwarzającym,
- organ nie ustalił w pełni przyczyny zdarzenia,
- samo powierzenie obsługi zewnętrznemu dostawcy stanowi wystarczający środek organizacyjny,
- a kara została naliczona nieprawidłowo.
WSA nie zgodził się z tymi argumentami. Sąd w wydanym wyroku podniósł, że zgodnie z brzmieniem Rozporządzenia o ochronie danych osobowych, tj. RODO to administrator danych odpowiada za wybór takiego podmiotu przetwarzającego dane w jego imieniu, który zapewni odpowiedni poziom bezpieczeństwa stosowanych środków technicznych i organizacyjnych, w tym działanie zgodne z przepisami RODO oraz ich kontrolę.
Powierzenie części działań podmiotowi przetwarzającemu nie zwalnia administratora z odpowiedzialności, ponieważ to administrator jest odpowiedzialny za dobór podmiotu, któremu powierza proces przetwarzania danych w jego imieniu oraz jego monitorowanie i audytowanie. Innymi słowy – administrator nie może „umywać rąk” i przerzucać odpowiedzialności.
Zarządzanie ryzykiem to podstawa
WSA podkreślił, że zarządzanie ryzykiem to fundamentalny proces ochrony danych osobowych, którego najważniejsze elementy to:
- stałe monitorowanie ryzyka,
- dokumentowanie działań i wniosków,
- rozliczalność – możliwość pokazania, jakie środki zostały podjęte i dlaczego.
Co z wysokością kary?
Spółka zarzucała też, że kara została naliczona nieproporcjonalnie. Sąd jednak uznał, że Prezes UODO działał w zgodzie z RODO i wytycznymi Europejskiej Rady Ochrony Danych. Co więcej – kara mieści się w granicach określonych przepisami prawa, więc trudno mówić o arbitralności.
Jakie wnioski warto wyciągnąć z tej lekcji?
Najważniejsze to:
- Administrator ponosi pełną odpowiedzialność za dobór podmiotów przetwarzających dane w jego imieniu – polecenie przetwarzania danych w imieniu administratora innemu podmiotowi nie zwalnia go z odpowiedzialności za proces ich przetwarzania, w tym naruszenie spowodowane z winy podmiotu przetwarzającego.
- Audyt i kontrola podmiotów przetwarzających to obowiązek administratorów danych.
- Zarządzanie ryzykiem musi być procesem ciągłym.
- Dokumentowanie działań stanowi dowód rzetelności i podstawę wykazania rozliczalności wobec organu nadzorczego.
Jeśli masz pytania z zakresu RODO, chętnie pomożemy. Napisz do nas: bok@asystahr.pl
