Urząd Ochrony Danych Osobowych wykrył, że Krajowa Szkoła Sądownictwa i Prokuratury naruszyła przepisy ogólnego rozporządzenia ochrony danych. Audyt ochrony danych osobowych wykazał, że nie zrealizowano obowiązków administracyjnych. Zaniedbanie to wyceniono na karę administracyjną w wysokości 100 tys. zł.
Co się stało?
Zadajesz sobie pytanie, co dokładnie się wydarzyło? Przechodząc do szczegółów, stanowisko UODO jest takie, że nie zastosowano właściwych środków technicznych i organizacyjnych. Przez właściwe środki należy rozumieć propozycje, które zapewniają poufność usług przetwarzania. Podkreślono także, że KSSIP nie przetestowała i nie oceniła skuteczności wykonanych kroków. Na tym historia się nie kończy, gdyż doszło do zaniedbania prawnego mającego związek z administratorem i podmiotem przetwarzającym. Zaniedbanie polegało na tym, że nie doszło do umownego zobowiązania dotyczącego przetwarzania danych osobowych.
Można też odnieść się do tego, że cała sytuacja rozpoczęła się na Komendzie Głównej Policji. Ktoś zauważył, że krąż ą dane osobowe związane z domeną kssip.gov.pl. Wykryte naruszenie miało związek ze sporą grupą ludzi – chodziło o ponad 50 tys. osób. Dokładnie mówiąc, były to osoby, które podlegały szkoleniu ustawicznemu. Nie można też zapomnieć o tym, że problem dotyczył m.in. sędziów, prokuratorów czy referendarzy sądowych.
Co powinno się stać?
Skoro wiadomo, co się stało, pora nawiązać do prawidłowego działania – jak powinni reagować administratorzy? Oczywiście administrator ma za zadanie wdrożyć właściwe środki techniczne i organizacyjne (co zresztą już zostało wspomniane). Szczegółów nie musimy poruszać, wszak kluczowe jest to, że przetwarzanie danych ma się odbywać zgodnie z RODO. Ponadto nie jest tak, że stosuje się jakieś środki i koniec tematu – trzeba liczyć się, z tym że konieczne będzie uaktualnienie. Wszystko zależy od tego, co się dzieje.
Jeżeli przedstawione informacje wydają się niezrozumiałe, spokojnie, da się to wytłumaczyć. Mówiąc wprost – konieczne jest przeanalizowanie czynników i okoliczności związanych z przetwarzaniem. Najbardziej wyrazistym przykładem jest chyba określenie ryzyka, z jakim wiąże się funkcjonowanie.
Czy podmiotowi coś grozi?
Być może pojawiło się pytanie, czy odbyło się postępowanie względem podmiotu? Od razu wyjaśniając, sprawa jest prosta – administrator powinien podjąć się analizy dotyczącej tego, czy miejsce do wykonania kopii zapasowej bazy danych jest odpowiednie. Nie trzeba chyba dodawać, że taka sytuacja nie wystąpiła.
Niektórzy mogą też nawiązać do wspierania administratora i jak się można domyślić, temat ten również podlegał ocenie UODO. Opinia UODO jest taka, że nie pojawiły się podstawy, aby coś zarzucić. Warto również podkreślić, że podjęto decyzję o umorzeniu postępowania.
- UODO ukarał Stołeczny Ośrodek dla Osób Nietrzeźwych - 1 lipca 2022
- Publiczne podawanie wagi niezgodne z zapisami RODO - 28 czerwca 2022
- Organy ochrony danych podejmują współpracę w sprawie platformy Vinted - 18 czerwca 2022