Wojewódzki Sąd Administracyjny w Warszawie oddalił skargi spółek Delta KTW Sp. z o.o. oraz InterSYS s.c., potwierdzając w całości decyzję Prezesa UODO o nałożeniu administracyjnych kar pieniężnych. Kara UODO za brak analizy ryzyka została utrzymana – 353 589 zł dla administratora danych (Delta KTW) oraz 9 822 zł dla podmiotu przetwarzającego (InterSYS).
Brak analizy ryzyka naruszył zasady RODO
Sąd wskazał, że kara UODO za brak analizy ryzyka była uzasadniona, ponieważ administrator danych nie przeprowadził wymaganej analizy przed wdrożeniem środków technicznych i organizacyjnych. Naruszyło to zasadę poufności (art. 5 ust. 1 lit. f RODO) oraz zasadę rozliczalności (art. 5 ust. 2 RODO). Także po wystąpieniu incydentu (atak ransomware), wdrożone działania nie były poprzedzone analizą ryzyka.
Obowiązek informacyjny wobec osób, których dane dotyczą
W ramach tej samej sprawy WSA potwierdził także, że kara UODO została uzupełniona o sankcje za niewypełnienie obowiązków informacyjnych. Administrator nie poinformował osób, których dane dotyczą, o możliwych konsekwencjach naruszenia ani o środkach, jakie mogłyby podjąć. Naruszyło to art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c i d RODO.
Brak testów i nadzoru nad procesorem
Sąd potwierdził również, że administrator nie prowadził regularnych testów środków bezpieczeństwa i nie nadzorował podmiotu przetwarzającego. Ograniczył się jedynie do zawarcia umowy powierzenia, bez audytów lub inspekcji. W tym kontekście kara UODO za brak analizy ryzyka była częścią szerszego naruszenia zasad bezpieczeństwa przetwarzania danych osobowych.
Odpowiedzialność podmiotu przetwarzającego
W wyroku podkreślono, że również podmiot przetwarzający ponosi odpowiedzialność. Wspólnicy InterSYS s.c. mieli świadomość wad używanego oprogramowania, lecz nie poinformowali o tym administratora. Takie zaniedbanie – według WSA – wyklucza możliwość uznania, że podmiot przetwarzający należycie wywiązał się z obowiązku współpracy. Kara UODO za brak analizy ryzyka objęła więc także podmiot przetwarzający.
Kara proporcjonalna do skali naruszeń
Sąd nie miał wątpliwości co do wysokości kar. Uznał, że kara UODO została właściwie uzasadniona i spełnia funkcje odstraszające, proporcjonalne i prewencyjne. Prezes UODO wziął pod uwagę zarówno stopień zawinienia, jak i charakter naruszenia.
Podsumowanie.
Sprawa Delta KTW i InterSYS pokazuje, że kara UODO za brak analizy ryzyka nie jest teoretycznym zagrożeniem. To realna sankcja, która może dotknąć zarówno administratora danych, jak i podmiot przetwarzający. Firmy powinny regularnie analizować ryzyko związane z przetwarzaniem danych osobowych, testować wdrożone środki oraz odpowiednio informować osoby, których dane dotyczą.
Decyzja Prezesa UODO (sygn. DKN.5131.1.2021) oraz jej potwierdzenie przez WSA są jasnym sygnałem: brak rzetelnej analizy ryzyka może słono kosztować.
| Redakcja BPPZ.pl
Przeczytaj także:
