Na pierwszy rzut oka mogłoby się wydawać, że za wyciek danych odpowiada Administrator danych, ale czy zawsze tak jest?
Co to jest wyciek danych?
Wyciek danych to nieautoryzowane udostępnienie poufnych informacji podmiotom nieupoważnionym w sposób niezamierzony (np. w wyniku błędu).
W wyroku z 25 lipca 2024 r. (sygn. akt II SA/Wa 2430/23), Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że jeśli Administrator powierza przetwarzanie danych Procesorowi, nie ponosi odpowiedzialności za wyciek danych, jeśli ten wynikał z ataku hakerskiego skierowanego na infrastrukturę procesora.
W tej konkretnej sprawie Administrator danych korzystał z usług Procesora, który doznał naruszenia danych osobowych wskutek ataku hakerskiego. UODO nałożył karę upomnienia na Administratora danych, pomimo że naruszenie miało miejsce u Procesora. Organ stwierdził, że to Administrator naruszył przepisy RODO, ponieważ udostępnił dane hakerowi, który przetwarzał dane bez podstawy prawnej, jednocześnie naruszając zasadę legalności określoną w art. 5 ust. 1 lit. a) RODO.
Stanowisko WSA
Wojewódzki Sąd Administracyjny w Warszawie nie zgodził się z powyższym stanowiskiem UODO
i wskazał, że aby móc przyjąć odpowiedzialność Administratora danych za udostępnienie danych osobowych musi wystąpić jakieś działanie ze strony Administratora, którego w tym przypadku nie było, a tym samym nie mogło dojść do udostępnienia danych. WSA uchylił decyzję Prezesa UODO, wydany wyrok nie jest jeszcze prawomocny.
Skutki wyroku dla Administratorów danych i Procesorów
Dla Administratora danych ważne jest, aby starannie dobierał Procesorów oraz zwracał uwagę, czy spełniają oni obowiązki wynikające z RODO. To na Administratorze ciąży odpowiedzialność za wybór odpowiedniego Procesora w zakresie powierzenia przetwarzania danych.
Zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Zatem, decyzja w tym zakresie powinna być podejmowana przez Administratora danych pod kątem stosowanych przez Procesorów środków technicznych i organizacyjnych zapewniających zgodność przetwarzania danych z przepisami RODO. W tym celu Administrator powinien korzystać z narzędzi umożliwiających weryfikowanie Procesorów, do których należą, m. in. umowa powierzenia przetwarzania danych osobowych, lista kontrolna (kryteria wyboru Procesora) stosowana przez Administratora, gdy planuje powierzenie przetwarzania danych Procesorowi. Jest on również uprawniony do przeprowadzania audytów Procesorów, które mają na celu kontrolę spełnienia wymogów wynikających z RODO.
Zgodnie z wyrokiem WSA, o którym mowa powyżej, odpowiedzialność za wyciek danych może spoczywać na Procesorze, jeśli Administrator danych nie przyczynił się (nie było po jego stronie żadnego działania) do naruszenia ochrony danych.
Joanna Mikulczyńska – radca prawny | ekspert ds. ochrony danych osobowych
NK Legal Partners
