"Zdaniem UODO administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność usług przetwarzania. KSSiP nie przetestowała i nie dokonała oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględniła ryzyka, jakie wiąże się ze zmianami w procesie przetwarzania danych osobowych" - uzasadnił decyzję urząd w komunikacie.

Reklama

UODO wskazał też, że szkoła jako administrator powierzyła przetwarzanie danych osobowych podmiotowi bez umownego zobowiązania go do przetwarzania tych danych wyłącznie na udokumentowane polecenie administratora.

Urząd poinformował też, że umorzył postępowanie wobec spółki, która na zlecenie KSSiP przetwarzała dane. "Podmiot przetwarzający wypełniał obowiązki wynikające z umowy powierzenia i umowy głównej, a także stosował przyjęte przez siebie środki organizacyjne mające na celu zapewnienie bezpieczeństwa systemów informatycznych. To administrator nie podjął się analizy, czy wskazując podmiotowi przetwarzającemu miejsce do wykonania kopii zapasowej bazy danych, nie naraża danych osobowych w niej zawartych na naruszenie ich poufności" - uzasadnił urząd.

Wyciek danych z KSSiP

O wycieku danych z KSSiP media informowały w kwietniu ub.r. Do internetu wyciekły wówczas dane tysięcy sędziów i prokuratorów, które miała w swoich zasobach krakowska szkoła. W sieci pojawiły się prywatne adresy mailowe, adresy zamieszkania, numery telefonów, a także hasła logowania. Jak poinformowano wyciek dotyczył danych ponad 50 tys. osób.

Dyrektor KSSiP Małgorzata Manowska oświadczała wówczas, że w zakresie usług informatycznych szkoła korzysta z obsługi profesjonalnych podmiotów zewnętrznych. Prawdopodobne jest, że do wycieku danych osobowych doszło na skutek zaniedbania jednej z tych firm - mówiła wtedy Manowska.

Jeszcze w kwietniu ub.r. prokuratura poinformowała o zatrzymaniu i zarzutach dla podejrzanego w tej sprawie. Krzysztof J. usłyszał zarzut udostępnienia innym osobom danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym KSSiP; grozi mu do pięciu lat więzienia. Podejrzany jest pracownikiem spółki zewnętrznej, z którą KSSiP zawarła umowę o świadczenie usługi zarządzania zasobami serwerowymi.

Śledczy ustalili, że Krzysztof J. w trakcie testowego migrowania danych szkoły na nową platformę utworzył katalog, do którego przeniósł dane osobowe pracowników wymiaru sprawiedliwości, zapisane w systemie informatycznym KSSiP. Podejrzany nadał następnie katalogowi uprawnienia publiczne, tym samym umożliwił pobranie danych z katalogu dowolnej osobie, mającej dostęp do internetu.