Judykatura.pl

Odpowiedzialność administracyjna w postaci kar pieniężnych jest odpowiedzialnością obiektywną

Wojewódzki Sąd Administracyjny oddalając skargę, jednego z administratorów danych na decyzję Prezesa Urzędu Ochrony Danych Osobowych nakładającą karę pieniężną, wypowiedział się w zakresie rodzaju odpowiedzialności przewidzianej w RODO. W orzeczeniu tym Sąd badał skargę administratora danych, który wskazywał, iż naruszenie ochrony danych do którego doszło nie było spowodowane jego działaniem czy winą, a błędem dokonanym przez podmiot przetwarzający. Sąd wskazał, że faktycznie administrator danych: powierzając przetwarzanie danych osobowych (podmiotowi X – PL), nie zawarła w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz nie doprecyzowała rodzaju danych osobowych przez wskazanie ich kategorii, (art. 28 ust. 3 rozporządzenia 2016/679). Ponadto, administrator powierzając przetwarzanie danych osobowych (podmiotowi X – PL), nie zawarła w umowie zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, co stanowi naruszenie art. 28 ust. 3 lit. a) rozporządzenia 2016/679. Według Sądu: Prezes UODO słusznie przyjął, iż skoro administrator podjął decyzję, że wspomniana kopia bazy danych powinna zostać usunięta, to jego obowiązkiem była weryfikacja, czy czynność ta została wykonana. Nawet jeśli w wyniku błędu pracownik (podmiotowi X – PL) nie usunął wykonanej kopii, to na administratorze nadal ciążył obowiązek weryfikacji, czy wskazana lokalizacja zapewnia bezpieczeństwo przetwarzania. To administrator jest inicjatorem podejmowanych działań jako podmiot decydujący o celach i sposobach przetwarzania. Zgodnie z umową o świadczenie usług, to jemu zostało udostępnione środowisko, w którym tego przetwarzania dokonuje i to on w pierwszej kolejności odpowiada za jego bezpieczeństwo, a jak wynika z umowy o świadczenie usług, w razie konieczności korzysta z pomocy podmiotu przetwarzającego. Organ nadzorczy podkreślił w swojej decyzji, że: (…) podmiot przetwarzający wykonał szereg czynności w kwestii ustalenia, jak doszło do upublicznienia katalogu głównego bezpośrednio po adresie IP serwera. Jak wskazuje (podmiot X – PL) obszerna dokumentacja oprogramowania panelowego nie daje odpowiedzi na to pytanie, gdyż zgodnie z tą dokumentacją, konfiguracja uniemożliwiająca taki dostęp była w chwili sprawdzenia (tj. po stwierdzeniu naruszenia przez administratora) ustawiona zgodnie z oczekiwaniami. Sąd wskazał także, że: (…) nie było po stronie organu […]

Aktualności Plus 30 dni

Przez 30 dni masz dostęp do najnowszych aktualności z RODO

49.99

PLN z VAT

Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO

Wybieram

Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.

W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.