WSA: organ nadzorczy prawidłowo nałożył karę na podmiot przetwarzający
W tej sprawie, dotyczącej jednej z firm zajmujących się wynajmem aut, warto zwrócić uwagę nie tylko na orzeczenie Sądu oddalające skargę, ale na brak takiej skargi od podmiotu przetwarzającego. Podmiot ten został ukarany przez Prezesa UODO nie wielką – w porównaniu do kary nałożonej na administratora danych – karą pieniężną w wysokości 20 037 zł. Taka kar wynosiła 1,30% kary nałożonej na administratora danych. Prezes UODO w kwietniu 2020 r. wszczął z urzędu postępowanie administracyjne, które poprzedzone było zgłoszeniem przez administratora danych osobowych naruszenia ochrony danych osobowych. W zgłoszeniu naruszenia ochrony danych osobowych Administrator opisał, że naruszenie polegało na tym, że „(…) w procesie uruchamiania nowej witryny www w dniu 17.04.2020 zostały skopiowane pliki starej witryny do nowego folderu, który powinien być ukryty a został udostępniony. Zostało to zrobione przez pracownika firmy informatycznej bez wcześniejszej konsultacji i weryfikacji zawartości plików starej witryny. Pracownik firmy informatycznej popełnił błąd i nie ukrył plików. Spółka A. nie miała świadomości tego działania (…)”. Z kolei w zgłoszeniu uzupełniającym A. wskazał, że „(…) naruszenie polegało na możliwości uzyskania dostępu do pliku bazy danych historycznej (nie używanej) strony (…). Do naruszenia doszło z powodu dopuszczenia do indeksacji plików baz danych starej strony (…) przez robota Z. Możliwość indeksacji plików spowodowana była nieprawidłową konfiguracją przez firmę informatyczną sprawującą stałą opieką nad infrastrukturą IT. (…) Mniejsza niż pierwotnie była też skala naruszenia obejmującego numery PESEL osób (łącznie dotyczyło to ponad 7 000 mniejszej liczby osób niż łącznie ujętych w bazie danych. Naruszenie w części dotyczącej możliwości uzyskania dostępu do danych klientów obejmujących wyłącznie imię, nazwisko, adres email, adres zamieszkania, zaszyfrowanego hasła dostępu do panelu Klienta strony (…) i numer telefonu dotyczyło ponad 7 000 osób [bez numeru PESEL] (…) Ze zleconego przez spółkę A. niezależnego audytu incydentu wynika, że główną przyczyną, dla której doszło do indeksowania plików starej strony www były błędy w pliku konfiguracyjnym (…). W plikach starej […]
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.
W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.