Wyciek danych sędziów i prokuratorów. UODO nakłada karę na KSSiP
W zeszłym roku doszło do wycieku danych osobowych tysięcy sędziów, prokuratorów i pracowników sądowych. W końcu UODO podjęło decyzję o nałożeniu na KSSiP kary wysokości 100 tys. złotych za narażenie pokrzywdzonych na niebezpieczeństwo.
21.02.2021 20:09
W kwietniu ubiegłego roku miał miejsce wyciek danych z Krajowej Szkoły Sądownictwa i Prokuratury. W wyniku tego w sieci znalazły się dane osobowe sędziów, prokuratorów oraz innych pracowników sądowych. Wielu z nich otrzymywało później groźby.
Plik CSV o wielkości 12,8 MB, który trafił do sieci, zawierał imiona, nazwiska, maile, adresy IP, numery telefonów oraz miasta (ale nie dokładne adresy). Według informacji podanych w kwietniu przez KSSiP szkoła dowiedziała się o wycieku dopiero od Policji.
Do wycieku doszło najprawdopodobniej w momencie, gdy KSSiP testowało migrację bazy danych na nową platformę ekssip.kssip.gov.pl i najprawdopodobniej był to wynik błędu podmiotu przetwarzającego dane. Jeden z pracowników spółki świadczącej usługę dla KSSiP został nawet zatrzymany. Miał on przenieść dane do katalogu, któremu nadane zostały uprawnienia publiczne.
UODO nakłada karę na KSSiP
Mimo że KSSiP próbowało przedstawiać się jako pokrzywdzony w tej sprawie, 18 lutego br. UODO zdecydował się nałożyć karę na szkołę. Zdaniem Urzędu szkoła nie zastosowała odpowiednich środków technicznych i organizacyjnych, które powinny zapewnić poufność przetwarzania danych.
- Na zasobach informatycznych KSSiP znajdowała się kopia bazy danych, której istnienie i bezpieczeństwo, po wykonaniu czynności migracyjnych, w żaden sposób nie zostało zweryfikowane przez administratora, co jest jego prawnym obowiązkiem wynikającym z przepisów o ochronie danych osobowych. - wyjaśnił UODO tłumacząc swoją decyzję.
- KSSIP, w związku ze zmianami w procesie przetwarzania, nie podjęła wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu. - czytamy w dalszej części oświadczenia.
W związku z tym KSSiP będzie musiało zapłacić 100 tys. złotych kary za niedopilnowanie obowiązku wynikającego z przepisów o ochronie danych osobowych. Dodatkowo szkoła nie zawarła w umowie o przetwarzaniu danych istotnych informacji.
Co więcej, KSSiP "nie miała pełnej świadomości, jak kształtują się prawa i obowiązki, pomiędzy administratorem a podmiotem przetwarzającym" nawet po wycieku. W opinii UODO pełna odpowiedzialność za wyciek danych leży po stronie Krajowej Szkoły Sądownictwa i Prokuratury.