14:52
18/2/2021

W kwietniu ubiegłego roku dane tysięcy pracowników sądów i prokuratur znalazły się w sieci po wycieku z Krajowej Szkoły Sądownictwa i Prokuratury. Dziś UODO poinformował o nałożeniu kary 100 tys. zł na KSSiP, choć mogło się wydawać, że błąd był tylko po stronie podmiotu przetwarzającego.

Przypomnijmy. Na początku kwietnia kwietnia na pewnym forum internetowym opublikowano bazę danych z KSIP.gov.pl. Był to plik CSV o wielkości 12,8 MB. W bazie znalazły się imiona, nazwiska, maile, adresy IP, numery telefonów oraz miasta (ale nie dokładne adresy). Sama szkoła dowiedziała się o wycieku 7 kwietnia, podobno od Policji.

Tak to wyglądało…

Interesującym skutkiem tego wycieku było usunięcie z oświadczeń majątkowych wzorów podpisów sędziów, asesorów i referendarzy (wcześniej dokumenty z widocznymi podpisami były dostępne na stronach sądów).

Do wycieku miało dojść w wyniku błędu podmiotu przetwarzającego. Jeszcze w kwietniu Prokuratura Regionalna w Lublinie poinformowała wczoraj o zatrzymaniu Krzysztofa J., pracownika spółki zewnętrznej, która na drodze przetargu świadczyła usługi utrzymania serwerów dla KSSIP. Krzysztof J. miał (omyłkowo?) przenieść dane do katalogu, któremu nadane zostały uprawnienia publiczne. Szkoła komentując wyciek postawiła się w sytuacji pokrzywdzonego, ale dziś UODO uznał, że jednak problem był po jej stronie i to KSSIP dostanie karę.

UODO dopatrzył się zaniedbań w KSSIP

Zdaniem Urzędu Ochrony Danych szkoła nie zastosowała odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność przetwarzania danych. Nie testowano i nie szacowano skuteczności środków technicznych i organizacyjnych, które miały służyć bezpieczeństwu. Nie uwzględniono ryzyka jakie wiązało się z przetwarzaniem takich danych.

UODO jeszcze nie udostępnił na swoich stronach decyzji administracyjnej. W komunikacie prasowym napisał natomiast, że:

Na zasobach informatycznych KSSiP znajdowała się kopia bazy danych, której istnienie i bezpieczeństwo, po wykonaniu czynności migracyjnych, w żaden sposób nie zostało zweryfikowane przez administratora, co jest jego prawnym obowiązkiem wynikającym z przepisów o ochronie danych osobowych. KSSIP, w związku ze zmianami w procesie przetwarzania, nie podjęła wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu.

Z komunikatu wynika również, że KSSIP nie zawarła istotnych rzeczy w umowie przetwarzania np. nie uwzględniła kategorii osób i nie doprecyzowała rodzaju danych osobowych przez wskazanie ich kategorii. W umowie zabrakło też zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora. Jak stwierdza UODO, KSSIP “nie miała pełnej świadomości, jak kształtują się prawa i obowiązki, pomiędzy administratorem a podmiotem przetwarzającym” zarówno przed naruszeniem jak i po jego stwierdzeniu.

Podmiot przetwarzający nie zostanie ukarany. Zdaniem UODO wypełniał on obowiązki wynikające z umowy powierzenia i umowy głównej, a także stosował przyjęte przez siebie środki organizacyjne mające na celu zapewnienie bezpieczeństwa. To administrator – zdaniem UODO – nie podjął się analizy, czy wskazując podmiotowi przetwarzającemu miejsce do wykonania kopii zapasowej bazy danych, nie naraża danych osobowych w niej zawartych na naruszenie ich poufności. W opinii UODO nie ma podstaw do zarzucenia podmiotowi przetwarzającemu naruszenia obowiązku wspierania administratora w wywiązywaniu się z obowiązków.

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. Zakładając, że ta kierowana przez Krzysztofa J. spółka była profesjonalistą wynajętym przez administratora “żeby wszystko było dobrze” — to by było bardzo ciekawe, że jednak szkoła ponosi odpowiedzialność za to, że “nie zastosowała odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność przetwarzania danych. Nie testowano i nie szacowano skuteczności środków technicznych i organizacyjnych, które miały służyć bezpieczeństwu”.
    Literalnie oczywiście odpowiedzialność ponosi administrator, ale co zrobić jeśli jest zielony i po to mu procesor, żeby to ogarniał? Mimo wszystko ma ogarniać za procesora?

    • Jak ktoś jest zielony w jakiejś dziedzinie, to niech tam nie zabiera się za interesy. Podpisuję się pod spostrzeżeniem “to trochę beka że szkoła dla prawników nie umie w przepisy RODO”.

  2. o, jaki plot twist

  3. Pomijając sam wyciek i kwestię technicznych zabezpieczeń to trochę beka że szkoła dla prawników nie umie w przepisy RODO

    • Bo to pierwszy raz, gdy szewc bez butów chodzi… ;-)

    • Większość prawników z którymi współpracowałem (spokojnie ponad 90% z grupy około min. 100 osób) przy wdrożeniach dot. ochrony danych osobowych (w czym się zawodowo specjalizuję od ponad 15 lat) ma bardzo pobieżne pojęcie o RODO oraz o polskiej ustawie wprowadzającej RODO w nasz system prawny. Albo to są radcy prawni, albo adwokaci… znawcy prawa handlowego w większości… Największym problemem na naszym rodzimym rynku jest fakt, że mało jest osób, które rozumieją te przepisy i potrafią wywnioskować swój własny wywód… a jest masa powielanych banałów i powtarzanych błędów, które są przyjmowane za oczywiste.

    • @Tom oni rozumieją RODO i znają je. Ale dla nich to problem papierka a dla nas techniczny. Za papierki oni dostają kasę za techniczny aspekt my…. Ale oni nam nie chcą płacić….

  4. Może panowie “redaktorowie” zamiast cytować brednie z konferencji prasowej prokuratury sprzed roku najpierw napisaliby coś opartego na faktach. Te które przedstawiacie maja się zupełnie inaczej niż wyglądała rzeczywistość i dokumenty…..

    • Piszesz tak jak by to “dokumenty” przedstawiały rzeczywistość….

  5. IANAL, ale dlaczego ktoś inny niż KSSIP miałby odpowiadać za wyciek? Przecież to im powierzono dane osobowe i oni są odpowiedzialni za ich bezpieczeństwo.

    Gdyby sądy orzekały inaczej, każdy cwaniak “powierzałby” przetwarzanie danych osobowych pierwszej z brzegu sp. z o.o. z kapitałem 5000zł albo nawet firmie krzak założonej na słupa i w razie wycieku zasłaniał się umową. Nie wiem jak konkretnie wygląda umowa między KSSIP, a podmiotem przetwarzającym, ale zdziwiłbym się, gdyby KSSIP nie wystąpiła z pozwem o odszkodowanie.

    • Gdyby było inaczej każdy komu powierzono dane, mógłby je po prostu wrzucać do Internetu, bo przecież on nie odpowiada, prawda?

  6. Zawsze śmieszy mnie to jak nakładane są kary podmiotowi który ciągnie kasę z budżetu państwa. Bez różnicy wysokość kary 1zl czy 1mln zl i tak bilans jest zerowy.

    • Otóż nie.

      Jest różnica za wyniki jedna z instytucji – jej pracownicy otrzymają premię, a drugiej naganę ustną czy pisemną.

    • Bezsensem RODO jest to że nie wprowadzono wytycznych dla szkół, szpitali, urzędów gmin itd. Zasadniczo przetwarzanie danych osobowych w tych miejscach nie różni się niczym. A tak zawsze znajdzie się nieścisłość za którą można nałożyć karę.

  7. A ten informatyk? Dalej siedzi?

    • Przecież to zatrzymanie było pod publiczkę, jak wiele zatrzymań za obecnej (i poprzedniej też) władzy.

      Dopóki ze szpitali, urzędów i banków nie zaczną wyciekać do publicznego Internetu (nie darknetu) bardzo prywatne czołowych polityków i ich rodzin, nic się nie zmieni i nadal prywatność Polaków rząd będzie nie tylko ignorował, ale i gwałcił przez tworzenie coraz to nowych “centralnych rejestrów” i “centralnych ewidencji”.

  8. No proszę! Usunięto wzory podpisów? Dlaczego? Przecież poczta, kurierzy itp. chcą by się podpisywać odbiór przesyłki na elektronicznych tabletach, choć w takim przypadku nie ma elementarnego wymogu prawnego podpisu – podpisujący nie jest w stanie sprawdzić co podpisuje i nie ma integralności podpisu z podpisywanym dokumentem (więc podpisujący musi ufać, że podpisuje potwierdzenie odbioru i jego podpis nie znajdzie się na wekslu in blanco czy umowie pożyczki u lichwiarza…)! Teraz PiSowska władza takie podpisy na tabletach chce wprowadzić w przypadku odbioru paszportu!!!! Czemu sędziowie i prokuratorzy akceptują takie podpisy w przypadku plebsu a swoje wzory podpisów wycofują?

  9. Poziom skomplikowania przepisów jakie generuje nasz wolski sejm jest wprost proporcjonalny do totalitarnej mentalności prawodawcy.

    Nie budzi wątpliwości fakt, że poziom skomplikowania RODO został wywindowany w celu pozbycia się z rynku mniej drapieżnych przedsiębiorców.

    Nie wspomnę również o ludziach z gałęzi IT, którzy uświadamiają sobie, że są bezbronni w przypadku wielu tego typu wycieków lub infiltracji systemów informatycznych. Zwłaszcza gdy po drugiej stronie kabla siędzą szkoleni najemnicy służb specjalnych.

  10. Jakie konsekwencje poniesie osoba odpowiedzialna za organizację tej placówki? Awans na prezesa SN

    • No, nie tak szybko!

      Najpierw wniesienie odwołania od decyzji PUODO, później uchylenie decyzji PUODO, następnie odwołanie Prezesa UODO i finalnie awans do SN :-)

  11. Zdziwienie redakcji faktem, że administrator prawny danych odpowiada za ich wyciek jest zastanawiające. Podmiot któremu te dane osobowe powierzono odpowiada za to co się danymi dzieje a nie jego podwykonawca. Podobnie Bank któremu przekazujecie swoje dane mógłby “na wszelki wypadek” zatrudnić podwykonawcę a ten podwykonawca swojego podwykonawcę i w razie amatroki mogliby wskazać palcem na pana Ziutka z którym mają umowę i nie odpowiadają za dane które zobowiązali się chronić. Pan Ziutek bankrutuje Bank jest czysty a klientowi pokazałoby się palec.
    NIE panowie, to nie podwykonawca idiota odpowiada za dane. Za dane odpowiada podmiot któremu klient powierzył dane na podstawie umowy cywilnej. Tym podmiotem jest Krajowa Szkoła Sądownictwa. Marcin Maj to wyraźnie idiota

  12. A teraz szkoła szuka specjalisty do zarządzania tym systemem online ;) na pracuj.pl jest ogłoszenie o pracę.

  13. No tak, koniecznie, takie dane w “publicznym” internecie trzymać…

Odpowiadasz na komentarz SAD

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: