Niedawny wyrok WSA potwierdza racje UODO, a nałożone kary za brak właściwej ochrony danych osobowych spełniają swoją funkcję: są skuteczne, proporcjonalne i mają charakter odstraszający. Jakie to były kary? 353 589 zł – dla administratora, i … 9 822 zł – dla procesora.
3 lipca 2025 r. Wojewódzki Sąd Administracyjny w Warszawie (sygn. II SA/Wa 2056/24) oddalił skargi spółek – Administratora i Procesora – na decyzję Prezesa UODO, uznając prawidłowość nałożonych na te podmioty kar za naruszenia RODO.
W przypadku, gdy nasza firma jest w danej relacji Administratorem danych osobowych (ADO) warto ze szczególną uwagą przyjrzeć się zaproponowanym nam postanowieniom umowy powierzenia od podmiotu przetwarzającego.
Co zarzucono administratorowi?
Nieadekwatne środki ochrony
Sąd stwierdził, że administrator danych nie wdrożył przed naruszeniem odpowiednich technicznych i organizacyjnych środków bezpieczeństwa przez to, że nie przeprowadził analizy ryzyka dla realizowanych procesów przetwarzania.
Nieprawidłowa realizacja obowiązku informacyjnego
Spółka nie przekazała osobom, których dane dotyczyły, pełnych informacji o potencjalnych konsekwencjach naruszenia oraz środkach zaradczych, które mogłyby podjąć. Sąd uznał, że doszło do naruszenia obowiązków z art. 34 ust. 2, w związku z art. 33 ust. 3 lit. c i d RODO.
Brak testów wdrożonych środków bezpieczeństwa i należytego nadzoru nad podmiotem przetwarzającym
Administrator nie wykazał regularnych testów, mierzenia czy oceny wdrożonych środków bezpieczeństwa, przez co nie mógł szybko przywrócić dostępności danych po incydencie (tj. ataku ransomware). Administrator ograniczył się tylko do podpisania umowy powierzenia z procesorem, nie przeprowadzając realnych audytów czy inspekcji podmiotu przetwarzającego.
A jakie były zarzuty dla podmiotu przetwarzającego?
Pomimo wiedzy o wadach oprogramowania – Procesor cicho sza
Procesor jako profesjonalista z branży IT miał wiedzę o podatnościach wykorzystywanego oprogramowania serwera, ale nie poinformowali administratora ani o konieczności aktualizacji czy też wdrożenia nowego oprogramowania. Sąd uznał, że było to zaniechanie świadome i nacechowane niedbalstwem.
Procesor nie pomógł administratorowi
Procesor nie przekazał administratorowi informacji o istniejących podatnościach oprogramowania serwera, ciężko zatem uznać że podmiot przetwarzający należycie realizował obowiązek pomocy (art. 28 ust. 3 lit. f RODO).
Wnioski
- Analiza ryzyka, jak widać – jest potrzebna i UODO bardzo zwraca na nią uwagę – brak regularnych audytów i przeanalizowania potencjalnego ryzyka, może doprowadzić do incydentów, w tym dotkliwych finansowo dla administratora.
- Współpraca administratora i podmiotu przetwarzającego nie powinna ograniczać się tylko do umowy powierzenia – procesora trzeba audytować przed powierzeniem, ocenić udzielone odpowiedzi np. z IODem, zaplanować działania przy współpracy, pośpiech – zdecydowanie niewskazany.
- Należyte poinformowanie podmiotów danych zgodnie z RODO wobec osób, których dane dotyczą, to obowiązek nie tylko formalny – warto o tego podejść jako do elementu budowania zaufania i … działania zgodnie z RODO.