Odpowiedzialność administracyjna w postaci kar pieniężnych jest odpowiedzialnością obiektywną
Wojewódzki Sąd Administracyjny oddalając skargę, jednego z administratorów danych na decyzję Prezesa Urzędu Ochrony Danych Osobowych nakładającą karę pieniężną, wypowiedział się w zakresie rodzaju odpowiedzialności przewidzianej w RODO. W orzeczeniu tym Sąd badał skargę administratora danych, który wskazywał, iż naruszenie ochrony danych do którego doszło nie było spowodowane jego działaniem czy winą, a błędem dokonanym przez podmiot przetwarzający. Sąd wskazał, że faktycznie administrator danych: powierzając przetwarzanie danych osobowych (podmiotowi X – PL), nie zawarła w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz nie doprecyzowała rodzaju danych osobowych przez wskazanie ich kategorii, (art. 28 ust. 3 rozporządzenia 2016/679). Ponadto, administrator powierzając przetwarzanie danych osobowych (podmiotowi X – PL), nie zawarła w umowie zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, co stanowi naruszenie art. 28 ust. 3 lit. a) rozporządzenia 2016/679. Według Sądu: Prezes UODO słusznie przyjął, iż skoro administrator podjął decyzję, że wspomniana kopia bazy danych powinna zostać usunięta, to jego obowiązkiem była weryfikacja, czy czynność ta została wykonana. Nawet jeśli w wyniku błędu pracownik (podmiotowi X – PL) nie usunął wykonanej kopii, to na administratorze nadal ciążył obowiązek weryfikacji, czy wskazana lokalizacja zapewnia bezpieczeństwo przetwarzania. To administrator jest inicjatorem podejmowanych działań jako podmiot decydujący o celach i sposobach przetwarzania. Zgodnie z umową o świadczenie usług, to jemu zostało udostępnione środowisko, w którym tego przetwarzania dokonuje i to on w pierwszej kolejności odpowiada za jego bezpieczeństwo, a jak wynika z umowy o świadczenie usług, w razie konieczności korzysta z pomocy podmiotu przetwarzającego. Organ nadzorczy podkreślił w swojej decyzji, że: (…) podmiot przetwarzający wykonał szereg czynności w kwestii ustalenia, jak doszło do upublicznienia katalogu głównego bezpośrednio po adresie IP serwera. Jak wskazuje (podmiot X – PL) obszerna dokumentacja oprogramowania panelowego nie daje odpowiedzi na to pytanie, gdyż zgodnie z tą dokumentacją, konfiguracja uniemożliwiająca taki dostęp była w chwili sprawdzenia (tj. po stwierdzeniu naruszenia przez administratora) ustawiona zgodnie z oczekiwaniami. Sąd wskazał także, że: (…) nie było po stronie organu […]
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.
W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.