Kto odpowiada za wyciek danych administratora w firmie podmiotu przetwarzającego?
Administrator, który zlecił profesjonalnemu podmiotowi ochronę danych, nie może odpowiadać za ich wyciek w wyniku ataku hakerskiego – tak 25 lipca 2024 r. orzekł Wojewódzki Sąd Administracyjny w Warszawie.
Kontekst sprawy
Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę upomnienia na administratora za wyciek danych wskutek ataku hakerskiego, do którego doszło w przedsiębiorstwie podmiotu przetwarzającego. W decyzji Prezes UODO uznał, że to administrator, a nie profesjonalny podmiot przetwarzający, naruszył zasadę legalności RODO i udostępnił dane hakerom jako nieuprawnionemu podmiotowi trzeciemu, bez podstawy prawnej.
Co na to WSA?
WSA w Warszawie nie podzielił argumentacji organu. Sąd wskazał, że czynność udostępnienia danych wymaga aktywności ze strony administratora (co nie mało miejsca w przedmiotowym stanie faktycznym, i z czym trudno się nie zgodzić), a co za tym idzie, uchylił decyzję Prezesa UODO. Wydany w tej sprawie wyrok nie jest jeszcze prawomocny.
Teraz Prezes UODO biorąc pod uwagę argumentację WSA, powinien ponownie przeanalizować możliwość ukarania administratora, który skorzystał z usług zaatakowanego przedsiębiorstwa.
Skutki wyroku WSA dla biznesu i ochrony danych
Fakt zaskarżenia decyzji nakładającej – mogłoby się wydawać – jedynie karę upomnienia na przedsiębiorstwo, a także potrzeba definitywnego ustalenia, która firma odpowiada za wyciek danych, nie powinien nikogo dziwić.
Kierunek orzeczenia WSA, który coraz bardziej klaruje się w kontekście powierzenia przetwarzania danych osobowych, ma istotne znaczenie dla firm korzystających z usług procesorów. Wyrok WSA to ważny sygnał dotyczący podziału odpowiedzialności za naruszenie ochrony do którego doszło po stronie procesora–profesjonalisty, który może stanowić pewnego rodzaju „furtkę” dla odpowiedzialności odszkodowawczej administratora za szkody poniesione przez podmioty, których dane zostały naruszone.
Praktyczna wskazówka
Warto pamiętać o starannym doborze partnerów biznesowych, którym firma chce powierzyć przetwarzanie swoich danych. Może w tym pomóc przeprowadzenie audytu zgodności z RODO w przedsiębiorstwie podmiotu przetwarzającego jeszcze przed rozpoczęciem współpracy, a po jej nawiązaniu – cykliczne powtarzanie tych sprawdzeń. Niezbędne wydaje się również włożenie na podmiot przetwarzający jako profesjonalisty – obowiązku doboru adekwatnych środków bezpieczeństwa mających zapewnić odpowiedni standard ochrony powierzonych danych, , jak umowne określenie podziału odpowiedzialności pomiędzy kontrahentami.
Przemyślany dobór partnerów oraz rozsądnie sformułowana umowa powierzenia, dostosowana do zakresu, charakteru i wrażliwości przetwarzanych danych, mogą wpłynąć na ograniczenie odpowiedzialności administratorów za naruszenia powstałe z przyczyn leżących po stronie podmiotów przetwarzających.
Na te pytania odpowiedzi znajdziecie w najnowszej publikacji ekspertek zespołu ochrony danych osobowych – Aleksandra Urbanowicz oraz Aleksandra Jusik 👩🏫
PDF do pobrania znajduje się TUTAJ.