NSA oddalił skargę kasacyjną KSSiP

Naczelny Sąd Administracyjny oddalił skargę kasacyjną Krajowej Szkoły Sądownictwa i Prokuratury, która nie zgodziła się z karą 100 tys. zł nałożoną przez Prezesa UODO za naruszenie przepisów o ochronie danych osobowych.

Sprawa swoim początkiem sięga roku 2020, kiedy KSSiP zgłosiła do Prezesa UODO naruszenie ochrony danych osobowych. Przyczyną był szeroki wyciek danych nawet tysięcy sędziów, prokuratorów, asesorów sądowych i prokuratorskich do sieci. Nastąpił on w trakcie migracji danych do platformy szkoleniowej. Kategorie danych osobowych, których dotyczyło naruszenie, obejmowały nie tylko imiona, nazwiska, adresy mailowe, ale też hasła dostępu czy adresy IP.

W toku postępowania PUODO ustalił, że proces przetwarzania danych KSSiP zleciła zewnętrznej firmie (podmiotowi przetwarzającemu) i odbywał się on z zaniedbaniem odpowiednich środków technicznych oraz organizacyjnych (m.in. Administrator nie sprawdził, czy kopia danych po przeprowadzeniu migracji została usunięta z serwera).

W związku z zaistniałą sytuacją Prezes UODO nałożył na Krajową Szkołę Sądownictwa i Prokuratury karę administracyjną w wysokości 100 tys. zł. Powodem kary był nie sam fakt naruszenia poufności danych, lecz okoliczność, w której KSSiP nie podjęła wystarczającej weryfikacji środowiska ani nie zaangażowała podmiotu przetwarzającego w ustalenie, czy dane są wystarczająco zabezpieczone.

KSSiP nie zgodziła się z argumentacją PUODO, wskazując, że środki bezpieczeństwa zapewnione w procesie migracji były wystarczające, a błąd, wynikający ze sposobu pracy jednego z informatyków, popełniła firma zewnętrzna. KSSiP nie zgodziła się również z wysokością orzeczonej kary.

Prezes UODO nie przyjął tych wyjaśnień. Podobnie uczynił Wojewódzki Sąd Administracyjny, podkreślając, że odpowiedzialność za proces przetwarzania danych spoczywa przez cały czas na administratorze, a nie na podmiocie przetwarzającym.

Ostatecznie sprawę rozstrzygnął Naczelny Sąd Administracyjny, zaznaczając w wyroku, że KSSiP nie podjęła starań zabezpieczenia całego procesu migracji danych ani nie informowała zewnętrznej firmy o oczekiwaniach dotyczących tej operacji. Według NSA administrator jest inicjatorem działań jako podmiot decydujący o celach oraz sposobach przetwarzania. To, czy do wycieku doszło w efekcie błędu pracownika firmy zewnętrznej, czy z innych przyczyn, nie ma znaczenia dla odpowiedzialności administratora wynikającej z art. 32 RODO.

NSA stwierdził też, że wysokość kary administracyjnej nie budzi wątpliwości. Zauważył również, że wobec skali stwierdzonych uchybień, leżących po stronie Administratora, kara w przypadku podmiotu prywatnego byłaby dalece wyższa (w przypadku podmiotu publicznego istnieje górne ograniczenie ustawowe do 100 tys. zł).

Sygn. akt III OSK 1394/22