Dane osobowe to w dzisiejszych czasach jedna z najważniejszych rzeczy, jakie posiada każdy z nas. Chodzi tu zarówno o numery telefonów czy też adres mailowy, a także numer dowodu osobistego, numer identyfikacyjny PESEL bądź adres zameldowania. Aktualnie robiąc nawet drobne zakupy internetowe, konieczne jest udostępnienie prywatnych danych. Istnieją podmioty, które odpowiedzialne są za ich przetwarzanie. Pojawia się jednak pytanie, kto odpowiada w przypadku, gdy powyżej wymienione informacje wyciekną ze strzeżonych baz danych.
Wyciek danych osobowych – jak do tego doszło?
Na początku 2020 roku doszło do wypłynięcia danych wrażliwych około 140 tysięcy klientów ID Finance Poland. Spółka od kilku lat oferowała szybkie kredyty przy wykorzystaniu strony internetowej moneyman.pl. Pracownicy techniczni w miejsce usunięcia danych zauważyli tekst prezentujący żądanie okupu w zamian za przywrócenie wszystkich zagarniętych informacji. Spółka ID Finance Poland zdecydowała się na zgłoszenie całej sytuacji do prezesa Urzędu Ochrony Danych Osobowych. W wyniku przeprowadzenia audytu RODO stwierdzono winę spółki i nałożono na nią karę w wysokości ponad 1 000 000 złotych. UODO stwierdził, że ID Finance Poland nie zastosowało odpowiednich środków organizacyjnych oraz technicznych, które miałyby za zadanie zapobiec wyciekowi danych wrażliwych swoich klientów. Wkrótce potem doszło do uchylenie decyzji przez Wojewódzki Sąd Administracyjny w Warszawie, uznając, że odpowiedzialność za całą sytuację spoczywa na białoruskim przedsiębiorstwie odpowiedzialnym za przetwarzanie gromadzonych danych osobowych. Ten wyrok zaskoczył bardzo wiele osób, ponieważ dotychczas praktycznie wszystkie decyzje wydawane przez Urząd Ochrony Danych Osobowych stwierdzały, że odpowiedzialność za wyciek danych osobowych spoczywa na administratorze.
Niecodzienny wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie
Wydany przez Wojewódzki Sąd Administracyjny w Warszawie wyrok zaskoczył wszystkich. Sędzia podkreślił jednak, że jego zdaniem Urząd Ochrony Danych Osobowych w trakcie prowadzenia czynności wyjaśniających praktycznie w ogóle nie wziął pod uwagę roli odgrywanej przez białoruskiego procesora. Wyrok został oparty na 32 artykule ustawy o RODO, który wskazuje zarówno na administratora, jak i organ odpowiedzialny za przetwarzanie gromadzonych danych osobowych. W procesie o wyciek danych osobowych bezspornie uczestniczyły dwa wspomniane wyżej podmioty. Sąd Administracyjny w Warszawie podkreślił, że nie można pominąć udziału jednego z nich, szczególnie że przyczyną wycieku danych osobowych był popełniony przez pracownika białoruskiego przedsiębiorstwa błąd i to właśnie na jego barkach spoczywał obowiązek poinformowania o całym zajściu podmiotu administracyjnego. Jak widać, wyrok wydany przez Wojewódzki Sąd Administracyjny w Warszawie znacznie odbiega od decyzji wydanej przez Urząd Ochrony Danych Osobowych. Daje to nadzieję odnośnie tego, że za wyciek danych osobowych nie odpowiada tylko podmiot administrujący, ale również procesor.
Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!
- UODO ukarał Stołeczny Ośrodek dla Osób Nietrzeźwych - 1 lipca 2022
- Publiczne podawanie wagi niezgodne z zapisami RODO - 28 czerwca 2022
- Organy ochrony danych podejmują współpracę w sprawie platformy Vinted - 18 czerwca 2022