W dniu 5 października 2021 roku Wojewódzki Sąd Administracyjny (WSA) w Warszawie wydał wyrok w sprawie skargi złożonej przez ID Finance Poland na decyzję prezesa Urzędu Ochrony Danych Osobowych przychylając się do skargi i uchylając decyzję organu nadzorczego nakładającą na spółkę karę w wysokości 1 mln złotych.
Jak doszło do nałożenia kary?
W dniu 14 marca 2020 r. Spółka zgłosiła organu nadzorczemu naruszenie poufności danych swoich klientów, które polegało na tym, że 3 marca tego roku miała miejsce awaria serwera i wraz z jego restartem zostały zresetowane ustawienia oprogramowania odpowiadającego za bezpieczeństwo serwera, w skutek czego dane ponad 200 tysięcy klientów spółki znajdujące się na serwerze były publicznie dostępne.
Następnie osoba nieuprawniona skopiowała te dane i usunęła je z serwera. Za zwrot wykradzionych informacji zażądała okupu.
Restartu serwera dokonała inna spółka, która była związana z ID Finance Poland (występującą w roli administratora danych w rozumieniu RODO), umową powierzenia przetwarzania danych w celu realizacji usług z zakresu hostingu.
Organ nadzorczy stwierdził, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych do ciągłego zapewnienia m.in. poufności i integralności systemu przetwarzaniach danych osobowych oraz za spóźnioną reakcję administratora na ryzyko naruszenia ochrony danych.
Organ nadzorczy podkreślił także, że odpowiedzialność administratora za zapewnienie bezpieczeństwa przetwarzania danych poprzez powierzenie ich przetwarzania innemu podmiotu nie zostaje wyłączona.
Sąd w uzasadnieniu wskazał, że gdy administrator danych przetwarzając dane nie korzysta z usług innego podmiotu, czyli podmiotu przetwarzającego, to na nim spoczywa pełna odpowiedzialność za przestrzeganie przepisów mających zapewnić bezpieczeństwo danych. Natomiast, w przypadku powierzenia przetwarzania danych innemu podmiotowi, należy brać pod uwagę obowiązki obu podmiotów uczestniczących w tym procesie i uwzględnić ich indywidualne przyczynienie się do powstania naruszenia.
Spółka jako administrator danych nie posiadając organizacyjnych ani technicznych możliwości zgodnego z RODO przetwarzania danych, powierzyła je innemu wyspecjalizowanemu w tej materii podmiotowi. Na mocy umowy spółka zobowiązała podmiot przetwarzający do stosowania odpowiednich środków bezpieczeństwa w celu ochrony danych oraz do zgłaszania administratorowi bez zbędnej zwłoki podejrzenia naruszenia ochrony danych.
W ocenie Sądu, naruszenie ochrony danych nastąpiło z przyczyn leżących po stronie podmiotu przetwarzającego, którego przyczyną był błąd pracownika tego podmiotu.
Ponadto podmiot przetwarzający stwierdził powstanie naruszenia dopiero 13 marca 2020 r., a więc 9 dni pod uzyskaniu od administratora informacji o prawdopodobnym naruszeniu. Administrator danych 14 marca zgłosił naruszenie do organu nadzorczego.
Reasumując, Sąd stwierdził, że w niniejszej sprawie zarzutów nie można przypisać jedynie administratorowi danych czyli spółce ID Finance Poland, a zatem nie można na nią nałożyć kary pieniężnej.
Organ nadzorczy w zaskarżonej decyzji przerzucił zatem wszelką odpowiedzialność za naruszenie przepisów RODO na administratora danych.
Dopiero wniesienie skargi do sądu spowodowało zniesienie kary.
W sytuacji gdy dana firma nie jest zatem wyspecjalizowana w danym obszarze, warto skorzystać z usług profesjonalnego podmiotu przetwarzającego oraz zadbać o prawidłowo skonstruowaną umowę powierzenia. Należy jednak liczyć się z tym, że w sytuacjach kiedy naruszenie ochrony danych powstanie w wyniku działań bądź zaniechań podmiotu przetwarzającego Urząd Ochrony Danych Osobowych nałoży na nią jako administratora danych karę za niespełnienie obowiązków administratora wynikających z przepisów, a dopiero na drodze postępowania sądowego decyzja nakładająca tę karę może zostać uchylona.
Niniejsza sprawa stanowi także formę precedensu dla sądów orzekających w podobnych sytuacjach w przyszłości oraz przestrogę dla przedsiębiorców działających w usługach dla biznesu w roli podmiotów przetwarzających.