Zdaniem UODO administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. KSSIP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględniła ryzyka, jakie wiąże się ze zmianami w procesie przetwarzania danych osobowych.
Ponadto należy wskazać, że administrator powierzył przetwarzanie danych osobowych podmiotowi przetwarzającemu bez umownego zobowiązania go do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.
Przypomnijmy, KSSIP zgłosiła UODO naruszenie ochrony danych osobowych, w związku z powiadomieniem przez Komendę Główną Policji o pojawieniu się w Internecie danych osobowych związanych z domeną kssip.gov.pl. Zgłoszony incydent polegał na uzyskaniu przez nieznane osoby nieupoważnionego dostępu do kopii bazy danych witryny szkoleniowej KSSIP powstałej w trakcie testowej migracji do nowej platformy szkoleniowej. Naruszenie dotyczyło danych osobowych ponad 50 tys. osób, użytkowników podlegających szkoleniu ustawicznemu, których dane osobowe zgromadzono na platformie szkoleniowej KSSiP. Osoby te piastują stanowiska m.in.: sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych.
Środki organizacyjne i techniczne
Administrator wdraża odpowiednie środki techniczne i organizacyjne, tak aby przetwarzanie danych osobowych odbywało się zgodnie z RODO. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny proporcjonalności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże.
Na zasobach informatycznych KSSiP znajdowała się kopia bazy danych, której istnienie i bezpieczeństwo, po wykonaniu czynności migracyjnych, w żaden sposób nie zostało zweryfikowane przez administratora, co jest jego prawnym obowiązkiem wynikającym z przepisów o ochronie danych osobowych. KSSIP, w związku ze zmianami w procesie przetwarzania, nie podjęła wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu.
Powierzenie przetwarzania danych musi być dokładnie określone
W sytuacji powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie powierzenia przetwarzania danych osobowych należy określić przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora.
Treść umowy powierzenia w tej sprawie w sposób niewystarczający określała zakres powierzanych danych. KSSiP, powierzając przetwarzanie danych osobowych podmiotowi przetwarzającemu, nie zawarła w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz nie doprecyzowała rodzaju danych osobowych przez wskazanie ich kategorii. Ponadto ukarany podmiot nie zawarł w umowie zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora.
Model współpracy administratora z podmiotem przetwarzającym był nieskuteczny. Brak zrozumienia przez administratora roli, jaką on pełni w relacji z podmiotem przetwarzającym, doprowadziły do naruszenia ochrony danych osobowych. KSSiP, zarówno przed naruszeniem ochrony danych, jak i po jego stwierdzeniu, nie miała pełnej świadomości, jak kształtują się prawa i obowiązki, pomiędzy administratorem a podmiotem przetwarzającym.
Postępowanie względem podmiotu przetwarzającego umorzone
Podmiot przetwarzający wypełniał obowiązki wynikające z umowy powierzenia i umowy głównej, a także stosował przyjęte przez siebie środki organizacyjne mające na celu zapewnienie bezpieczeństwa systemów informatycznych. To administrator nie podjął się analizy, czy wskazując podmiotowi przetwarzającemu miejsce do wykonania kopii zapasowej bazy danych, nie naraża danych osobowych w niej zawartych na naruszenie ich poufności.
W opinii UODO nie ma również podstaw do zarzucenia podmiotowi przetwarzającemu naruszenia obowiązku wspierania administratora w wywiązywaniu się z obowiązków. W konsekwencji postępowanie w powyższym zakresie zostało umorzone.
Decyzja dostępna jest pod linkiem: https://www.uodo.gov.pl/decyzje/DKN.5130.2024.2020