Czy administrator danych osobowych może ponosić odpowiedzialność za incydent bezpieczeństwa spowodowany przez firmę hostingową? (wyrok w/s wycieku danych z KSSiP)

przez

Czy administrator danych osobowych może ponosić wyłączną odpowiedzialność za incydent, którego przyczyną był błąd podmiotu przetwarzającego? Czy klient, zlecając profesjonaliście świadczenie usług informatycznych, może i konsekwencji prawnych? Czy jednak podstawowe powinności wynikające z RODO dotyczą administratora, zatem powołanie się na uchybienie podmiotu przetwarzającego nie zawsze będzie skuteczne? Dlaczego więc Krajowa Szkoła Sądownictwa i Prokuratury dostała karę za wyciek danych jej użytkowników, do którego doszło przy migracji wykonywanej przez firmę prowadzącą hosting danych?

Żytawa
Dawna szkoła budowlana w Żytawie (fot. Olgierd Rudak, CC BY-SA 4.0)

wyrok Naczelnego Sądu Administracyjnego z 12 czerwca 2025 r. (III OSK 1394/22)
Korzystanie przez administratora w procesie przetwarzania danych osobowych ze wsparcia profesjonalnego podmiotu przetwarzającego, określane „transferem ryzyka”, nie implikuje wcale stanu „przeniesienia odpowiedzialności” z administratora na podmiot przetwarzający w zakresie obowiązków ciążących na nim na mocy przepisów RODO.

opis stanu faktycznego:

  • sprawa zaczęła się udostępnienia w internecie danych 50,2 tys. użytkowników (sędziów, prokuratorów, referendarzy, asesorów, asystentów, etc.,etc.) platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, o czym administrator dowiedział się od policji, grubawo po fakcie;
  • w toku postępowania instytucja broniła się, iż do incydentu doszło wskutek błędu firmy hostingowej, której zlecono m.in. migrację danych ze starej do nowej bazy (jej pracownik, w celu ułatwienia sobie pracy, umieścił tymczasową, niezabezpieczoną kopię w otwartym katalogu publicznym, po czym jej nie usunął), zatem odpowiedzialność za naruszenie powinien ponosić wyłącznie podmiot, któremu powierzono przetwarzanie danych, a nie administrator;
  • jednak Prezes Urzędu Ochrony Danych Osobowych uznał, że to administrator odpowiada za integralność i poufność danych, ich prawidłowe zabezpieczenie, jak też legalność przetwarzania…

art. 24 ust. 1 RODO
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

art. 28 ust. 1 RODO
Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

  • …jak też właściwy dobór podmiotu przetwarzającego — oraz umowę, która nie odpowiadała wymogom art. 28 ust. 3 RODO — zatem postępowanie przeciwko firmie hostingowej zostało umorzone, a Krajowa Szkoła Sądownictwa i Prokuratury dostała 100 tys. zł kary za wyciek danych osobowych (decyzja PUODO DKN.5130.2024.2020);

wyrok WSA:

  • WSA uznał te argumenty za zasadne: zgodnie z RODO to administrator ustala „cele i sposoby” przetwarzania danych, a więc na nim przede wszystkim spoczywa odpowiedzialność za prawidłowość podejmowanych czynności;
  • administratora nie zwalnia z podstawowych obowiązków, także w zakresie wdrożenia zabezpieczeń, zawarcie umowy powierzenia przetwarzania danych — zwłaszcza takiej, która nie określa m.in. celów przetwarzania i nie wskazuje wyraźnie, iż procesor może przetwarzać dane wyłącznie na polecenie administratora;
  • ba: jeśli administrator nakazał usunięcie kopii bazy po migracji, to powinien sprawdzić, czy dane rzeczywiście zostały skasowane;
  • biorąc więc pod uwagę, że za rozliczalność i zgodność z prawem przetwarzania zawsze odpowiada administrator — skarga na decyzję została umorzona (wyrok WSA w Warszawie z 26 stycznia 2022 r., II SA/Wa 1384/21, w wydaniu którego uczestniczył m.in. Tomasz Szmydt);

skarga kasacyjna:

  • w skardze kasacyjnej od tego orzeczenia szkoła podkreśliła, że wykonanie prac przy migracji bazy zleciła profesjonalnemu podmiotowi, zlecenie transferu bazy danych obejmowało jej upublicznienia w internecie, a więc nie sposób przypisać jej odpowiedzialności ani za zły wybór hostingu, ani za naruszenia z winy pracownika;
  • a jeśli nawet umowa nie zawierała wszystkich elementów wymaganych prawem, to resztę można było sobie dośpiewać na podstawie cywilistycznych dyrektyw wykładni oświadczeń woli;
  • zaś kara może być nałożona wyłącznie po stwierdzeniu rzeczywistych przyczyn incydentu, a nie wybiórczej lektury przepisów RODO;

wyrok Naczelnego Sądu Administracyjnego:

  • (pomijając, że skarga kasacyjna została sporządzona „niestarannie”): chociaż odpowiedzialność administratora za naruszenie ochrony danych osobowych ma charakter odpowiedzialności obiektywnej, a nie absolutnej…
  • …chociaż wdrożenie odpowiednich środków administracyjnych i organizacyjnych, po analizie ryzyka, jest zarówno obowiązkiem administratora jak i podmiotu przetwarzającego…
  • …to przecież podstawowe nakazy w zakresie bezpieczeństwa przetwarzania, w tym w fazie projektowania (privacy by design, privacy by default) dotyczą wyłącznie administratora — adresatem art. 24 ust. 1 RODO i art. 25 ust. 1 RODO jest administrator danych osobowych, a nie podmiot przetwarzający;
  • pamiętając zatem, że środki „odpowiednie” to nie takie, które są skuteczne w każdym przypadku, lecz adekwatne do zagrożeń, obiektywnie wymagalne od administratora — obowiązkiem administratora jest zweryfikowanie bezpieczeństwa środowiska przetwarzania; w tym przypadku: sprawdzenie, czy przy okazji migracji jakaś kopia bazy danych się nie ostała tam gdzie nie trzeba;
  • sęk w tym, że nie doszłoby do wycieku, gdyby KSSiP prawidłowo zastosowała się do powinności w zakresie zapewnienia integralności i poufności bazy;

To administrator jest inicjatorem podejmowanych działań jako podmiot decydujący o celach i sposobach przetwarzania. Okoliczność, czy „wyciek” danych nastąpił w wyniku błędu pracownika [podmiotu przetwarzającego] czy też na skutek innych czynników, jest irrelewantna pod kątem odpowiedzialności administratora z art. 32 RODO.

  • administrator nie jest zwolniony z tej odpowiedzialności tylko przez to, że skorzystał z usług podmiotu przetwarzającego: mierznie, testowanie i ocena wdrożonych środków leży po stronie administratora, a więc trzeba było prowadzić audyty i sprawdzać poszczególne etapy migracji — zaś przeciwna wykładnia regulacji oznaczałaby niedopuszczalne yłączenie administratora spod reżimu RODO (por. „Dlaczego NSA uchylił nałożoną na Morele.net karę za wyciek danych?”);
  • niezależnie od tego NSA uznał, że umorzenie postępowania w/s firmy informatycznej było prawidłowe: skoro PUODO w gruncie rzeczy nie stwierdził niedopatrzeń po jego stronie — a nie miał wątpliwości, iż źródłem wycieku było naruszenie procedur po stronie administratora — to prawidłowo uznano, że karę za wyciek powinna płacić tylko Krajowa Szkoła Sądownictwa i Prokuratury.

Biorąc pod uwagę taką interpretację NSA oddalił skargę kasacyjną ukaranej instytucji.

subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

12 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
12
0
komentarze są tam :-)x