Wielki wyciek danych. Kara dla szkoły podległej Ziobrze
100 tysięcy złotych kary ma zapłacić Krajowa Szkoła Sądownictwa i Prokuratury. Prezes Urzędu Ochrony Danych Osobowych stwierdził, że szkoła odpowiada za wyciek danych osobowych ponad 50 tysięcy polskich sędziów i prokuratorów. Kontrola UODO wykazała liczne nieprawidłowości.
17.02.2021 16:13
Imiona, nazwiska, adresy zamieszkania, numery telefonów wyciekły z serwerów Krajowej Szkoły Sądownictwa i Prokuratury w lutym 2020 roku. Szkoła dowiedziała się o tym dopiero w kwietniu. Została zaalarmowana przez Komendę Główną Policji. Do wycieku danych najprawdopodobniej doszło w momencie, kiedy KSSiP testowała przeniesienie bazy danych na nową platformę internetową.
Do sieci trafiły informacje łącznie o ponad 50 tysiącach sędziów, prokuratorów i urzędników sądowych. Dostęp do ich danych można było kupić za ok. 7 dolarów. Prokuratura za wyciek oskarżyła firmę zewnętrzną, która przeprowadzała modernizację internetowej platformy KSSiP.
UODO: naruszono rozporządzenie UE o ochronie danych
Od kwietnia 2020 sprawę badał Urząd Ochrony Danych Osobowych. Dopatrzył się wielu nieprawidłowości po stronie szkoły: ”Niezastosowanie odpowiednich środków technicznych i organizacyjnych, (…) niewłaściwe uwzględnienie ryzyka związanego ze zmianami w procesie przetwarzania. Powierzenie tego procesu firmie, bez umownego zobowiązania podmiotu przetwarzającego do przetwarzania danych wyłącznie na udokumentowane polecenie administratora". Prezes urzędu nałożył na Krajową Szkołę Sądownictwa i Prokuratury karę administracyjną w wysokości 100 tys. złotych.
UODO nie dopatrzyło się za to żadnej winy firmy, której pracownik według Prokuratury Regionalnej w Lublinie był odpowiedzialny za wyciek i usłyszał w związku z tym zarzuty.
Ministerstwo Sprawiedliwości: nie naruszono jakichkolwiek procedur
Resort ministra Zbigniewa Ziobry do czasu publikacji tego materiału nie odpowiedział na pytania WP. Korzystamy więc z odpowiedzi udzielonej 12 stycznia 2021 roku wicemarszałkowi Sejmu Piotrowi Zgorzelskiemu przez podsekretarz stanu Annę Dalkowską.
"Dotychczasowe wyniki analiz i audytów przeprowadzonych po zaistnieniu incydentu, wskazują na brak podstaw do wyciągnięcia konsekwencji służbowych względem kierownictwa lub pracowników KSSiP. Wewnętrzne postępowanie wyjaśniające, jak również dotychczasowe wyniki postępowania przygotowawczego prowadzonego przez Prokuraturę Regionalną w Lublinie nie dostarczyły przesłanek do przyjęcia, że zostały naruszone jakiekolwiek procedury na etapie wyłonienia podmiotu świadczącego usługi hostingu, w zakresie nadzoru nad wykonywaniem tych usług czy niedochowania wewnętrznych procedur bezpieczeństwa danych w KSSiP" – czytamy w piśmie wiceminister Anny Dalkowskiej.
Jak podał TVN24, w sylwestra kilkuset sędziów i prokuratorów, których dane miały wyciec, otrzymało groźby. Podsekretarz stanu Anna Dalkowska odniosła się w swojej odpowiedzi także i do tych informacji.
"Do tej pory nie odnotowano żadnych incydentów świadczących o stworzeniu bezpośredniego zagrożenia dla zdrowia i życia funkcjonariuszy wymiaru sprawiedliwości i prokuratury. Pojawiły się jedynie pojedyncze przypadki tzw. głuchych telefonów, SMS-ów czy wiadomości mailowych od nadawców nieznanych odbiorcy. Brak jest jednak dowodów wskazujących, że zdarzenia te miały związek z bezprawnym upublicznieniem bazy danych KSSiP" – wyjaśniła Anna Dalkowska.
W maju 2020 roku dotychczasowa dyrektor Krajowej Szkoły Sądownictwa i Prokuratury Małgorzata Manowska została wybrana przez prezydenta Andrzeja Dudę na nową pierwszą prezes Sądu Najwyższego.
