Sprawa rozstrzygnięta w czwartek przez Wojewódzki Sąd Administracyjny dotyczyła odpowiedzialności za wyciek danych, do którego doszło wskutek ataku hakerskiego na przedsiębiorstwo zajmujące się obsługą płacową. Do prezesa Urzędu Ochrony Danych Osobowych (PUODO) wpłynęła skarga podmiotu, którego dane zostały zaszyfrowane i wykradzione. Karę — upomnienie — za wyciek prezes UODO nałożył jednak na firmę będącą klientem zaatakowanego przedsiębiorstwa.
Jak wyjaśnia Anna Dobiecka — prawniczka z kancelarii Barta Litwiński reprezentującej ukaraną firmę — PUODO uznał bowiem, że to ukarana firma, jako administrator udostępniła dane podmiotowi nieuprawnionemu, czyli hakerowi; tym samym to ona przetwarzała je bez podstawy prawnej, naruszając zasadę legalności.
Czytaj więcej:
Sąd: firma, która zadbała o ochronę danych nie jest winna atakowi hakera
Decyzję PUODO uchylił sąd.
— WSA w większości zgodził się z naszymi zarzutami. Podkreślił, że PUODO w swojej decyzji nie wyjaśnił, z czego wywodził, że miało miejsce udostępnienie danych. Sąd – podobnie jak my – uznał, że ich udostępnienie, czyli w istocie przetwarzanie, według przepisów RODO zakłada pewną aktywność po stronie administratora. W przypadku, w którym doszło do ataku hakerskiego nie da się mówić o jakiejkolwiek operacji przetwarzania po stronie naszego klienta, a tym samym o naruszeniu przez niego zasady legalności — tłumaczy Anna Dobiecka.
