WSA: rzetelna analiza ryzyka przesądziła o uchyleniu kary 230 00 zł
Ten wyrok WSA w Warszawie zapadnie na długo w pamięć. Pokazuje on jak, w praktyce należy spełniać nie tylko zasadę rozliczalności, ale przede wszystkim wskazuje jaki czynności organizacyjne oraz techniczne należy podjąć, aby móc twierdzić, że administrator dokonuje testowania, mierzenia i oceniania takich czynności. Pamiętamy początek sprawy – w lipcu 2023 r. pracownik administratora, co istotne, na terenie zakładu pracy, gubi pendriv’a z niezaszyfrowanymi danymi jednego pracownika oraz zaszyfrowanymi danymi finansowymi. Administrator zgłasza naruszenie ochrony danych osobowych do organu nadzorczego. Organ ten po zapoznaniu się z przekazanymi dokumentami, w tym przeprowadzoną analizą ryzyka, opisem środków technicznych i organizacyjnych, które służyć miały odpowiedniemu zabezpieczeniu danych osobowych wydaje – w kwietniu 2024 r. – decyzję. Decyzją tą organ stwierdził naruszenie przepisów RODO polegające na niezastosowaniu: a) odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym; b) odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, co skutkowało naruszeniem art. 5 ust. 1 lit. f) (zasady integralności i poufności) oraz art. 5 ust. 2 rozporządzenia 2016/679 (zasady rozliczalności). Nadto decyzją tą organ nadzorczy nałożył na administratora administracyjną karę pieniężną w kwocie 238 345 zł jak i nakazał administratorowi dostosowanie operacji przetwarzania danych do przepisów RODO. WSA w Warszawie uchylając decyzję w całości wskazał, że: Zdaniem Sądu, Prezes UODO w zaskarżonej decyzji naruszył zarówno przepisy prawa procesowego, jak również przepisy prawa materialnego w stopniu mogącym mieć istotny wpływ na wynik sprawy. Analiza ryzyka w postaci dokumentu pt. “Rejestr ryzyka dla Bezpieczeństwa Danych Osobowych” obejmująca swoim zakresem zdarzenia takie jak: włamanie i kradzież, uwzględniała ryzyko związane ze zgubieniem zewnętrznego nośnika danych, gdyż skutek każdego z ryzyk, […]
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.
W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.