Wyciek danych sędziów i prokuratorów ukarany
UODO ogłosił sankcję za naruszenie RODO. Sprawa dotyczy też firmy informatycznej.
Spółka zarządzająca zasobami serwerowymi nie jest odpowiedzialna za wyciek – wynika z oceny UODO.
UODO nałożył 100 tys. zł kary na Krajową Szkołę Sądownictwa i Prokuratury w związku z wyciekiem danych, do jakiego doszło w ub.r.
W kwietniu ub.r. wyszło na jaw, że z uczelni wyciekły dane sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury i referendarzy sądowych (m.in. z takimi danymi jak imię, nazwisko, data urodzenia, numer telefonu, adres e-mail, numery komunikatorów i zaszyfrowane hasło).
Naruszenie dotyczyło ponad 50 tys. przedstawicieli organów ścigania i wymiaru sprawiedliwości. Nieznane osoby uzyskały nieupoważniony dostęp do kopii bazy danych witryny szkoleniowej KSSIP, którą zapisano w trakcie testowej migracji do nowej platformy szkoleniowej.
Wkrótce potem zatrzymano pracownika spółki, z którą KSSiP po przetargu zawarła umowę o świadczenie usługi zarządzania zasobami serwerowymi. Sprawą zajęła się lubelska prokuratura. Jak stwierdzono, w trakcie migracji bazy danych nadano feralnemu katalogowi uprawnienia publiczne, przez co każdy mógł mieć do niego dostęp.
UODO: to uczelnia zawaliła
UODO uznał jednak, że odpowiedzialność za wyciek ponosi uczelnia, a nie spółka, która zarządzała zasobami serwerowymi. Postępowanie wobec niej umorzono.
W ocenie urzędu KSSiP nie wywiązała się z obowiązków administratora, ponieważ nie zastosowano odpowiednich środków technicznych i organizacyjnych (nie testowano ich i nie oceniano skuteczności), które pozwoliłyby zapewnić poufność usług przetwarzania danych. Nie zweryfikowano bezpieczeństwa kopii bazy danych po zakończeniu migracji.
Ponadto administrator powierzył przetwarzanie danych osobowych innemu podmiotowi, nie zobowiązując go do przetwarzania wyłącznie na udokumentowane polecenie administratora. Nie zawarł w umowie powierzenia przetwarzania danych osobowych kategorii osób, nie doprecyzował ponadto rodzaju danych osobowych przez wskazanie ich kategorii.
Nie ma podstaw do zarzutów wobec firmy
Uznano, że zewnętrzna spółka przetwarzająca dane z upoważnienia uczelni wypełniła obowiązki wynikające z umowy powierzenia i umowy głównej, a także stosowała przyjęte przez siebie środki organizacyjne mające na celu zapewnienie bezpieczeństwa systemów informatycznych.
W opinii UODO nie ma również podstaw do zarzucenia podmiotowi przetwarzającemu naruszenia obowiązku wspierania administratora w wywiązywaniu się z jego zadań. W konsekwencji postępowanie w powyższym zakresie zostało umorzone.
Podobne aktualności
59 proc. Polaków widzi w AI zagrożenie dla swoich danych
62 proc. obawia się o bezpieczeństwo swoich danych osobowych bardziej niż 5 lat temu, gdy wchodziło RODO.
Konrad Komornicki zastępcą prezesa UODO
Jest ekspertem ds. bezpieczeństwa informacji i bezpieczeństwa ICT.
