Zapisy umowy powierzenia pod lupą Prezesa UODO

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z 11.2.2021 r. dotyczy nałożenia maksymalnej kary pieniężnej na Krajową Szkołę Sądownictwa i Prokuratury z powodu wycieku danych osobowych sędziów i prokuratorów podczas testowej migracji danych. Prezes UODO skrytykował treść umowy powierzenia przetwarzania danych oraz działania administratora w zakresie ochrony danych osobowych. Decyzja ta podkreśla konieczność precyzyjnego określenia zakresu danych w umowie powierzenia i skutecznego zarządzania ryzykiem w procesach przetwarzania danych.

Tematyka: Prezes UODO, umowa powierzenia, wyciek danych, Krajowa Szkoła Sądownictwa i Prokuratury, ochrona danych osobowych, zarządzanie ryzykiem, kara pieniężna

Decyzją z 11.2.2021 r. (DKN.5130.2024.2020) Prezes Urzędu Ochrony Danych Osobowych po raz kolejny
nałożył na podmiot publiczny – tym razem Krajową Szkołę Sądownictwa i Prokuratury - maksymalną karę
pieniężną dopuszczalną przez przepisy dotyczące ochrony danych osobowych, w wysokości 100.000
złotych.
Kontrola UODO
Testowa migracja danych na nową platformę szkoleniową KSSIP skutkowała wyciekiem informacji personalnych
sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych, asystentów sędziów,
asystentów prokuratorów, kuratorów zawodowych oraz urzędników sądów i prokuratury.
Ujawnione zostały dane, takie jak: imię i nazwisko, adres e-mail, nazwa użytkownika, numer telefonu, jednostka,
wydział, adres jednostki, miejscowość, numer ewidencyjny PESEL.
Zgłoszenie naruszenia ochrony danych osobowych skierowane do Prezesa UODO spowodowało podjęcie przez
organ nadzorczy czynności kontrolnych, mających na celu ustalenie przyczyn wycieku danych.
Problematyczna w sprawie okazała się treść umowy powierzenia przetwarzania danych jaką KSSIP zawarła
z podmiotem świadczącym usługi związane z hostingiem platformy szkoleniowej.
Zdaniem Prezesa UODO, umowa:
• w sposób niewystarczający doprecyzowywała zakres powierzanych danych,
• nie zawierała postanowień, które choćby w ogólny sposób zobowiązywały podmiot przetwarzający do działania
wyłącznie na udokumentowane polecenie administratora,
• nie nakładała na procesora obowiązków związanych z monitorowaniem bezpieczeństwa danych osobowych.
Ponadto, w ocenie organu nadzorczego, KSSIP jako administrator danych w niedostateczny sposób zaangażowała
podmiot przetwarzający w proces migracji i nie udzieliła pełnych informacji o podejmowanych czynnościach
i oczekiwanych rezultatach, jak i o istotności podejmowanych działań, pod kątem ochrony danych osobowych.
Przyczyny wycieku danych
Jak wskazano w decyzji: „W ocenie Prezesa UODO model współpracy administratora z podmiotem przetwarzającym
był nieskuteczny. Nieporozumienia wynikające z przedstawionej korespondencji i brak zrozumienia przez
administratora roli, jaką pełni w relacji z podmiotem przetwarzającym, doprowadziły do naruszenia ochrony danych
osobowych.”
Prezes UODO nie miał zarzutów do działań podmiotu przetwarzającego. Stwierdził, że procesor wypełniał obowiązki
wynikające z umowy powierzenia i umowy głównej, a także stosował przyjęte przez siebie środki organizacyjne
mające na celu zapewnienie bezpieczeństwa systemów informatycznych.
W ocenie Prezesa UODO to KSSiP nie wywiązała się ze swoich obowiązków, jako administrator danych poprzez nie
dokonanie właściwej analizy i oceny ryzyk związanych z przeprowadzanym procesem migracji. Za niewystarczające,
uznał Prezes UODO, ograniczenie analizy ryzyk do oceny kwalifikacji hostingodawcy. Korzystanie z usług
profesjonalnego hostingodawcy, posiadającego niezbędne certyfikaty (w tym ISO), samo w sobie nie ogranicza ryzyk
związanych z bezpieczeństwem danych. Działanie takie, Prezes UODO uznał za nieadekwatne do charakteru
podejmowanych czynności w związku z migracją, jak i charakteru zawartej umowy usługi hostingu. Przede wszystkim
jednak, jak stwierdził Prezes UODO, KSSIP jako administrator nie upewniła się, że przetwarzane dane osobowe
będą odpowiednio zabezpieczone.
Działania KSSIP Prezes UODO ocenił jako rażące zaniedbanie obowiązków i naruszenie przepisów RODO poprzez
niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zagwarantować zdolność do
ciągłego zapewnienia poufności usług przetwarzania oraz brak przetestowania i oceny skuteczności środków
technicznych i organizacyjnych, a tym samym niewłaściwe uwzględnienie ryzyka związanego ze zmianami
w procesie przetwarzania.
Powołując się na orzecznictwo sądów administracyjnych, Prezes UODO wskazał, że dla procesów związanych
z ochrona danych fundamentalne jest wprowadzenie takich rozwiązań, które będą adekwatne do poziomu ryzyk
i które uwzględniają charakter wykorzystywanych mechanizmów przetwarzania danych osobowych. Analiza



prowadzonych procesów przetwarzania danych i ocena ryzyka spoczywa na administratorze. To administrator jest
odpowiedzialny za to, aby zastosowane środki i procedury były adekwatne do oszacowanego ryzyka.
Wynika z tego, że w tym zakresie, administrator nie może przerzucać odpowiedzialności na podmiot przetwarzający,
nawet jeśli podmiot ten jest profesjonalistą w zakresie prowadzonej przez siebie działalności.
Nałożona kara
Mając na względzie kategorie danych osobowych, których dotyczyło naruszenie ochrony danych osobowych,
charakter i wagę naruszenia oraz wysoki stopień odpowiedzialności administratora, Prezes UODO zdecydował
o nałożeniu na KSSIP maksymalnej kary pieniężnej, w wysokości 100.000 złotych.
Wpływ na wysokość kary miała liczba poszkodowanych osób (powyżej 50 tys., w tym ponad 40 tys. rekordów
obejmowało numery PESEL), funkcje pełnione przez te osoby oraz możliwe konsekwencje zaistniałego naruszenia.
Zdaniem Prezesa UODO, ryzyko niezgodnego z prawem posłużenia się danymi osób pełniących funkcje związane
z wymiarem sprawiedliwości jest wysokie. Może bowiem skutkować nie tylko szkodą majątkową, ale także kradzieżą
tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również działania podjęte przez
KSSIP w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, takie jak: skierowanie do
Prokuratury Krajowej zawiadomienia o możliwości popełnienia przestępstwa, zgłoszenie naruszenia Prezesowi
UODO w terminie, podjęcie czynności mających na celu ustalenie okoliczności w jakich doszło do wycieku danych,
poinformowanie osób, których dane dotyczą o incydencie. Jednakże z uwagi na to, że KSSIP jest podmiotem
publicznym, wystąpienie tych okoliczności nie miało bezpośredniego wpływu na wysokość nałożonej kary.

Komentarz
Niniejsza decyzja jest doskonałym dowodem na fakt, że Prezes UODO podczas kontroli bierze podczas kontroli pod
lupę wszystko, co może mieć związek z odpowiednim stosowaniem przez administratora środków ochrony danych
osobowych. W tym przypadku mamy do czynienia z niezwykle szczegółową analizą umowy powierzenia
przetwarzania danych. Prezes UODO wskazuje przede wszystkim, że umowy powierzenia powinny być na tyle
precyzyjne, aby podmiot przetwarzający wiedział jakie kategorie danych, w jakim zakresie będzie przetwarzał. Istotne
jest także odpowiednie sformułowanie obowiązków ciążących na podmiocie przetwarzającym. Zbyt ogólne
postanowienia umowy mogą powodować, iż oczekiwania administratora wobec podmiotu przetwarzającego będą
szersze niż wynika to z umowy, czy poleceń administratora dotyczących procesów przetwarzania danych.
Ponadto, organ nadzorczy zwrócił także uwagę na kwestie zarządzania ryzykiem przy procesach związanych
z przetwarzaniem danych. Jak wynika z decyzji, administrator powinien rozpatrzyć możliwe ryzyka w sposób
możliwie jak najszerszy. Przy czym nie chodzi tylko o ryzyko związane z doborem podmiotu przetwarzającego, ale
wszelkich okoliczności faktycznych, technicznych i organizacyjnych, które mogą mieć jakikolwiek wpływ na
bezpieczeństwo danych osobowych.

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z 11.2.2021 r., DKN.5130.2024.2020

Decyzja Prezesa UODO stanowi ważny sygnał dla podmiotów przetwarzających dane osobowe, że organ nadzorczy bacznie analizuje umowy powierzenia oraz zarządzanie ryzykiem związanym z ochroną danych osobowych. Nałożona kara pieniężna ma skłonić do bardziej świadomego i odpowiedzialnego podejścia do przetwarzania danych osobowych.