Warszawa, dnia 08
lutego
2023 r.
Decyzja
DKN.5131.50.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000, ze zm.), w związku z art. 7, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 2 lit. d) oraz i) w związku z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3, art. 32 ust. 1 i 2, a także art. 83 ust. 1-3 oraz art. 83 ust. 4 lit a) i art. 83 ust. 5 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) dalej zwanego: „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez: (…) K. P. prowadzącą działalność gospodarczą pod firmą: „(…)” z miejscem wykonywania działalności w S. przy ul. (…) (jako administratora danych) oraz (…) M. H. prowadzącego działalność gospodarczą pod firmą: „(…)” z miejscem wykonywania działalności w Z. przy ul. (…) (jako podmiot przetwarzający), Prezes Urzędu Ochrony Danych Osobowych,
1) stwierdzając naruszenie przez (…) K. P. prowadzącą działalność gospodarczą pod firmą: „(…)” z miejscem wykonywania działalności w S. przy ul. (…), art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkującym naruszeniem ich poufności i rozliczalności, oraz na braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą,
a. nakłada na (…) K. P. prowadzącą działalność gospodarczą pod firmą: „(…)” z miejscem wykonywania działalności w S. przy ul. (…), za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2,art. 25 ust. 1, art. 28 ust. 1 i 3 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 33.012,- PLN (słownie: trzydzieści trzy tysiące dwanaście złotych),
b. nakazuje K. P. prowadzącej działalność gospodarczą pod firmą: „(…)” z miejscem wykonywania działalności w S. przy ul. (…) dostosowanie operacji przetwarzania danych osobowych poprzez zaprzestanie powierzania przetwarzania danych osobowych (…) M. H. prowadzącemu działalność gospodarczą pod firmą: „(…)” z miejscem wykonywania działalności w Z. przy ul. (…) w oparciu o umowę powierzenia przetwarzania danych osobowych, (…), która nie zawiera elementów wskazanych w art. 28 ust. 3 lit. c), lit. e) i lit. f) rozporządzenia 2016/679;
2) stwierdzając naruszenie przez (…) M. H. prowadzącego działalność gospodarczą pod firmą: „(…)” z miejscem wykonywania działalności w Z. przy ul. (…), art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności, nakłada na (…) M. H. prowadzącego działalność gospodarczą pod firmą: „(…)” z miejscem wykonywania działalności w Z. przy ul. (…), administracyjną karę pieniężną w wysokości 472,- PLN (słownie: czterysta siedemdziesiąt dwa złote).
Uzasadnienie
Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również ,,Prezesem UODO” lub „organem nadzorczym”, wpłynęło w dniu [...] grudnia 2020 r. zgłoszenie naruszenia ochrony danych osobowych w trybie art. 33 ust. 1 rozporządzenia 2016/679, przesłane przez (…) K. P. prowadzącą działalność gospodarczą (związaną z oceną ryzyka i szacowaniem poniesionych strat oraz m.in. działalność brokerów ubezpieczeniowych) pod firmą: „(…)” z miejscem wykonywania działalności w S. przy ul. (…), zwaną dalej również „Administratorem” lub „(…)”, które zostało zarejestrowane pod sygnaturą (…). Zgodnie z treścią rubryk 4A i 4E przesłanego w tym dniu formularza zgłoszenia naruszenia ochrony danych osobowych (zwanego dalej: „formularzem Nr (…)”), zgłaszane naruszenie polegało na utracie poufności danych w związku z działaniem wirusa komputerowego W (…) zidentyfikowanego jako narzędzie do (…). W rubryce 2F formularza Nr (…), w miejscu przeznaczonym do wskazania innego podmiotu uczestniczącego w przetwarzaniu danych osobowych, których dotyczy naruszenie, Administrator wskazał dane podmiotu przetwarzającego - (…) M. H. prowadzącego działalność gospodarczą pod firmą: „(…)” z miejscem wykonywania działalności w Z. przy ul. (…), zwanego dalej „Podmiotem Przetwarzającym” lub „(…)” lub „ASI”, zajmującego się (jak wskazano w tej rubryce) kompleksową obsługą informatyczną. W formularzu Nr (…) wskazano również, że naruszenie zostało stwierdzone w dniu [...] grudnia 2020 r. i dotyczyło danych osobowych ok. 800 osób (byłych i obecnych klientów Administratora) w zakresie ich: imion, nazwisk, dat urodzenia, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail oraz numerów telefonów.
Niezależnie od powyższego, w dniu [...] grudnia 2020 r. Prezes UODO powziął informację o naruszeniu ochrony danych osobowych znajdujących się m.in. w polisach ubezpieczeniowych zawieranych w okresie od maja 2015 r. do listopada 2020 r. z różnymi towarzystwami ubezpieczeniowymi, które były publicznie dostępne na zasobach informatycznych należących do Administratora - pod adresem (…) w domenie (…), przy czym wśród ujawnionych plików miały znajdować się również dokumenty takie jak: wyniki badań onkologicznych, kopie umów i polis ubezpieczeniowych z danymi klientów, zdjęcia pojazdów wykonywane do celów ubezpieczeniowych, dokumenty z audytu bezpieczeństwa danych osobowych, polityka bezpieczeństwa, a także plik z danymi dostępowymi do zasobów sieciowych Administratora. Incydent taki został bowiem opisany w dniu [...] grudnia 2020 r. na stronie (…). W związku z uzyskaniem tej informacji (jak również brakiem pewności, czy dotyczy ona naruszenia ochrony danych osobowych zgłoszonego w dniu [...] grudnia 2020 r.), organ nadzorczy zwrócił się do Administratora w dniu [...] grudnia 2020 r., na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, o udzielenie stosownych wyjaśnień. Pismem, które wpłynęło do tutejszego Urzędu w dniu [...] grudnia 2020 r., Administrator potwierdził, że zgłoszenie naruszenia ochrony danych osobowych dokonane w dniu [...] grudnia 2020 r. dotyczy tego samego zdarzenia, które zostało opisane przez portal (…) w publikacji z dnia [...] grudnia 2020 r. pod tytułem (…), a ponadto wyjaśnił, że zgłoszenie to zostało dokonane w trakcie trwania czynności sprawdzających (gdy dopiero określano rzeczywistą liczbę poszkodowanych osób, zakres ujawnionych danych oraz wszelkie inne okoliczności zdarzenia) oraz że w trakcie jego wypełniania błędnie wskazano, iż jest to zgłoszenie kompletne/jednorazowe, podczas gdy miało być ono zgłoszeniem wstępnym. Do pisma tego załączono m.in. formularz uzupełniający zgłoszenie naruszenia ochrony danych osobowych (zwany dalej: „formularzem Nr (…)”). W obszernych wyjaśnieniach zawartych w ww. piśmie oraz w załącznikach do nich, Administrator wskazał m.in., że:
1) w dniu [...] grudnia 2020 r. o godzinie 12:30 na dwóch komputerach administratora w przedziale czasowym 15 minut, pojawił się kilkukrotnie monit z programu antywirusowego (…) informujący o zainfekowaniu plików przez wirus komputerowy: W (…), o czym niezwłocznie poinformowano (…) M. H. (ASI), który zawarł z Administratorem umowę (…);
2) Podmiot Przetwarzający niezwłocznie przystąpił do wykonywania czynności sprawdzających, które zakończyły się identyfikacją wirusa, jako narzędzia służącego do (…);
3) około godz. 14:00 podmiot trzeci poinformował telefonicznie pracownika Administratora o tym, że w domenie (…) upublicznione zostały dokumenty należące do (…), w tym dokumenty polis ubezpieczeniowych - po otrzymaniu tej informacji Podmiot Przetwarzający przeprowadził czynności sprawdzające i potwierdził upublicznienie plików;
4) dostęp do upublicznionej bazy danych został zablokowany o godzinie 14:40 tego samego dnia, tj. [...] grudnia 2020 r.;
5) w wyniku przeprowadzonego postępowania wyjaśniającego ustalono, że naruszenie rozpoczęło się w listopadzie 2020 r. i dotyczyło 2494 osób; dane te znajdowały się w folderze roboczym (z serwera (…), który jest udostępniony w sieci lokalnej dla pracowników Administratora pracujących na zawartych w nich dokumentach typu docx, xlsx, pdf), w różnych rodzajach dokumentów, z których najstarsze datowane były nawet na 1993 rok - w większości stanowiących jednak polisy ubezpieczeniowe osób fizycznych (dane dotyczące ubezpieczeń pochodziły z okresu od maja 2015 r. do dnia incydentu); zakres udostępnionych danych dotyczących klientów Administratora (byłych i obecnych) różnił się w indywidualnych przypadkach, a dane należały do następujących kategorii: imiona, nazwiska, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia;
6) w dniu [...] grudnia 2020 r. uruchomiona została strona internetowa (…) zawierająca komunikat o ww. naruszeniu;
7) dane uwierzytelniające zawarte w jednym z upublicznionych plików nie pozwalały na dostęp do żadnych używanych w chwili stwierdzenia naruszenia lub w chwili udzielania wyjaśnień zasobów (dane te pozwalały na dostęp do dawnych serwerów - zmienionych na nowe przed wystąpieniem naruszenia ochrony danych osobowych);
8) z uwagi na okoliczności towarzyszące stwierdzonemu naruszeniu można z wysokim prawdopodobieństwem przypuszczać, że powodem replikacji danych z serwera (…) było działanie noszące znamiona działania hakerskiego, polegające na nielegalnym wejściu w posiadanie loginów oraz haseł używanych do konfiguracji serwerów (…) oraz (…);
9) podejrzenie iż doszło do popełnienia przestępstwa zostało zgłoszone Policji.
Do ww. pisma, które wpłynęło do tutejszego Urzędu w dniu [...] grudnia 2020 r., załączono także między innymi:
1) „Umowę (…)” (stanowiącą część załącznika nr (…)) zawartą na czas nieokreślony pomiędzy Administratorem a Podmiotem Przetwarzającym w dniu (…) lutego 2015 r., której przedmiotem jest świadczenie przez (…) na rzecz (…) usług wsparcia informatycznego polegającego (zgodnie z § (…) w szczególności na administracji systemami (…) (bieżące czynności administracyjne) oraz na innych usługach w uzgodnieniu z (…) związanych z bieżącą obsługą systemów informatycznych; nadto w § (…) tej umowy (…) oświadczył, że posiada wiedzę, doświadczenie i niezbędne umiejętności do prawidłowego wykonania przedmiotu umowy, a w § (…) zobowiązał się do tego, że czynności objęte przedmiotem niniejszej umowy wykonywał będzie z dołożeniem należytej staranności, według jak najlepszej wiedzy i doświadczenia; do umowy tej dołączono również „Umowę (…)” zawartą w dniu (…) kwietnia 2020 r. pomiędzy ww. podmiotami - w umowie tej, zwanej dalej: „Umową (…)” (która zgodnie z § (…) zastąpiła wszelkie dotychczasowe uzgodnienia w zakresie przetwarzania danych osobowych związane z ww. Umową o współpracy, w szczególności zawartą na podstawie nieobowiązującego już stanu prawnego umowę o powierzeniu przetwarzania danych osobowych) brak jednak elementów, o których mowa w art. 28 ust. 3 lit. c), e) i f) rozporządzenia 2016/679;
2) „Politykę (…)” (stanowiącą załącznik nr (…)) wprowadzoną przez Administratora w dniu [...] kwietnia 2020 r., z której załącznika nr (…), tj. Instrukcji (…) wynika m.in., że w miejscu styku sieci komputerowej Administratora Danych z siecią publiczną zastosowane są (…), uniemożliwiające dostęp osób niepowołanych z zewnątrz do jej zasobów, a także pozwalające na kontrolę przepływających danych (rozdział (…) ww. Instrukcji);
3) treść komunikatu - zawiadomienia o naruszeniu ochrony danych osobowych opublikowanego na stronie internetowej (…) (załącznik nr (…));
4) protokół z naruszenia ochrony danych osobowych Nr (…) sporządzony przez Administratora w dniu [...] grudnia 2020 r. (stanowiący załącznik nr (…));
5) Raport z testu systemu/urządzenia z dnia [...] grudnia 2020 r. (stanowiący załącznik nr (…)) sporządzony przez Podmiot Przetwarzający, z którego wynika m.in., że:
- użytkownik zgłosił problem: (cyt.): „monit z programu (…) o pojawieniu się wirusów”,
- usunięto problem (skanowanie HDD + instalacja (…)),
- zalecono zwrócenie szczególnej uwagi na wiadomości z (…) zawierające załączniki i pochodzące od nieznanych nadawców,
- w uwagach wpisano (cyt.): „skan HDD (…). Usunięto pozostałe zagrożenia, odinstalowano (…)”.
W ww. piśmie, które wpłynęło do tutejszego Urzędu w dniu [...] grudnia 2020 r. oraz w załącznikach do nich, Administrator wskazał również:
1) że podmiotem świadczącym na rzecz Administratora usługi hostingowe jest (…) sp. z o.o. z siedzibą w Ł. (rubryka 2F formularza nr (…)) - dalej zwaną również (…);
2) jakie działania podjęto w celu zminimalizowania ryzyka ponownego wystąpienia tego typu zdarzeń w przyszłości (cyt.): „Bezpośrednio po wykryciu naruszenia wszystkie komputery oraz serwery (…) zostały poddane ponownemu skanowaniu pod kątem wykrycia obecności wirusów za pomocą nowego oprogramowania (…), który został zainstalowany we wszystkich komputerach w miejsce poprzedniego programu. Następnie w celu znaczącej poprawy bezpieczeństwa dane zostały przeniesione na nowo zakupioną infrastrukturę informatyczną w postaci: (…), (…) zakupionego wraz z usługą wdrożenia i szkolenia personelu. Wykonywane są także pełne kopie zapasowe za pomocą oprogramowania (…). Obecnie prowadzony jest audyt w zakresie bezpieczeństwa informatycznego. Zalecenia, które zostaną przedstawione po zakończeniu audytu zostaną wdrożone”; dodatkowe środki bezpieczeństwa wskazane zostały również w rubryce 9B formularza Nr (…) (zmiana haseł dostępowych do skrzynek e-mail, serwerów (…), kont użytkowników w systemie (…) na wszystkich komputerach, przeskanowanie wszystkich komputerów oraz serwerów (…) pod kątem obecności wirusów za pomocą oprogramowania (…));
3) kiedy i w jaki sposób administrator oraz podmioty przetwarzające biorące udział w przetwarzaniu danych, których naruszenie dotyczy, dokonywali regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy - w tym zakresie wskazano, że następowało to (cyt.): „(…) poprzez wykonywanie bieżących aktualizacji stacji roboczych, aktualizacji firmware serwerów (…) oraz skanowanie antywirusowe. ASI dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy”.
Następnie, w dniu [...] stycznia 2021 r. organ nadzorczy zwrócił się do Administratora na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 o dodatkowe wyjaśnienia. Do odpowiedzi na to wezwanie (która wpłynęła do tutejszego Urzędu w dniu [...] stycznia 2021 r.), Administrator załączył pierwotnie sporządzony przez Podmiot Przetwarzający (w dniu [...] grudnia 2020 r.) opis naruszenia (z którego wynikało, że (cyt.): „Z uwagi na okoliczności towarzyszące stwierdzonemu naruszeniu przypuszczam, że powodem replikacji danych z serwera (…) jest działanie noszące znamiona działania hakerskiego, polegające na nielegalnym wejściu za pomocą wirusa W (…) w posiadanie loginów oraz haseł używanych do konfiguracji serwerów (…)”), a także wskazał m.in., że (cyt.):
1) „W wyniku zaistniałego naruszenia ochrony danych osobowych zostało przeprowadzone postępowanie wyjaśniające okoliczności jego powstania, w skutek czego ustalono, iż nie doszło do przełamania zabezpieczeń (…). Przyczyną zaistniałego naruszenia ochrony danych osobowych była replikacja plików wewnętrznego zasobu roboczego na serwer (…)”;
2) »W wyniku naruszenia ochrony danych osobowych, w domenie (…) umieszczony został katalog „(…)”. Katalog „(…)” stanowi natomiast jeden z jego podkatalogów. W protokole z naruszenia ochrony danych osobowych nr (…) z dnia [...].12.2020 r. oraz w Zgłoszeniu naruszenia ochrony danych osobowych - Zgłoszenie uzupełniające / zmieniające z dnia [...].12.2020 r., opisano wszystkie dane osobowe będące przedmiotem naruszenia, tj. te, które przechowywane były w katalogu „(…)” i wszystkich jego podkatalogach, m.in. w katalogu „(…)”«;
3) „Zamieszczenie danych w ww. lokalizacjach nie było w żaden sposób zamierzone i celowe, a nastąpiło wskutek nieplanowanej replikacji danych”.
W piśmie tym zawarto również szczegółowy opis zaistniałego naruszenia (cyt.): „W celu ustalenia okoliczności zaistniałego naruszenia (…) zobowiązał ASI (M. H.) o ich wyjaśnienie (…). Przyjmując analizę przeprowadzoną przez ASI i opisane zdarzenia (…) założył, że główną przyczyną zaistniałego naruszenia był opisywany wirus i jego następstwa czyli wykradzione zostały loginy i hasła służące do konfiguracji i administracji używanych w (…) serwerów (…) oraz serwera (…). (…) mając zaufanie do ASI powoływał się na te informacje w zgłoszeniu naruszenia danych osobowych, zgłoszeniu uzupełniającym oraz we wcześniejszej korespondencji z Prezesem UODO. Zdając sobie sprawę z powagi zaistniałego naruszenia i mając na celu jego rzetelne wyjaśnienie (…) nie chcąc opierać swojej wiedzy jedynie na analizie wykonanej przez ASI nawiązał współpracę z firmą (…) zlecił audyt infrastruktury IT. Audytor (…) dokonał analizy incydentu i zakwestionował jakoby główną przyczyną naruszenia danych osobowych było działanie wirusa W (…). We współpracy z ASI (M. H.) ustalili następujące okoliczności incydentu: W IV kwartale 2020 roku (…), w związku z nasilającą się pandemią COVID-19 zlecił ASI (M. H.) zapewnienie swoim pracownikom możliwości pracy zdalnej. Ze względu na specyficzny charakter wykonywanych zadań i potrzebę ścisłej współpracy pomiędzy pracownikami podczas tworzenia dokumentacji przy obsłudze klientów zaistniała potrzeba wydzielenia wspólnego zasobu roboczego zawierającego repozytorium plików i udostępnienia go pracownikom. W tym celu wykorzystano serwer (…) wydzielając na nim zasób, do którego zostały skopiowane pliki. Zasób został udostępniony w sieci lokalnej oraz udostępniony zdalnie poprzez wykorzystanie wbudowanego w (…) serwera (…), który to został zabezpieczony szyfrowaniem (…). Dodatkowo użyto mechanizmu (…) w celu dodatkowej ochrony udostępnionego zasobu za pomocą jego replikacji na oddzielny lokalny serwer (…). Mając na uwadze strukturę udostępnionego lokalnie zasobu, który znajdował się w katalogu (…) oraz strukturę replikowanego lokalnie zasobu, który znajdował się w katalogu (…) i porównując ją do struktury zasobu znajdującego się na serwerze (…) jedynym możliwym powodem zaistniałej sytuacji była błędna konfiguracja serwerów (…) dokonana przez ASI podczas wdrażania pracy zdalnej. (…) w trakcie zaistniałego naruszenia danych osobowych na wszystkich stacjach roboczych posiadał zainstalowany system (…) oraz (…) i nie używał innych systemów informatycznych”.
Ponadto Administrator w piśmie z dnia [...] stycznia 2021 r. wskazał, że (cyt.) „Na zlecenie (…), firma audytorska dokonała analizy logów systemowych ustalając, iż doszło do kilku pobrań danych przez osoby nieupoważnione, tj. jednego celowego pobrania całości dostępnych plików z udostępnionego zasobu na serwerze (…), kilku plików (…) o charakterze wewnętrznym oraz kilku częściowych list udostępnionych plików (nagłówków indeksowych)”. Administrator, powołując się na raport z audytu stanu bezpieczeństwa i organizacji infrastruktury IT (stanowiący załącznik nr (…) do pisma), wskazał również na szczegóły ustaleń dokonanych przez firmę audytującą w tym zakresie.
W ww. piśmie (z datą wpływu: [...] stycznia 2021 r.) (…) wyjaśnił również, że (cyt.): „Przed wystąpieniem naruszenia (…) nie wykonywał testów penetracyjnych. Raporty z testów poprawności działania systemów i urządzeń IT na zlecenie (…) wykonywał ASI (M. H.)” (kopie raportów z comiesięcznych testów zostały załączone do ww. pisma), a także, że (cyt.): „Testy zostały wykonane niezwłocznie po zaistnieniu naruszenia przez profesjonalny podmiot zewnętrzny (…), podczas audytu stanu bezpieczeństwa i organizacji infrastruktury IT”. Z pisma tego wynika dodatkowo, że Administrator po zaistnieniu naruszenia podjął dodatkowo szereg innych działań mających na celu minimalizację ryzyka wystąpienia tego typu naruszeń w przyszłości (w tym wdrożył (…) pozwalającą na eliminację pracy bezpośrednio na plikach docx, xlsx, pdf (…)).
Do pisma z dnia [...] stycznia 2021 r. Administrator załączył, jak wyżej wspomniano, raport wydany w dniu [...] stycznia 2021 r. z audytu stanu bezpieczeństwa i organizacji infrastruktury IT przeprowadzonego w dniach [...] grudnia 2020 r. - [...] stycznia 2021 r. (zwany dalej: „Raportem nr (…)”), w którego segmencie A (dotyczącym badania stanu zastanego infrastruktury IT i organizacji bezpieczeństwa ochrony danych) wskazano, że zadanie pierwszego audytu określającego stan zerowy organizacji po wystąpieniu incydentu wykonano w dniach [...]-[...] grudnia 2020 r. i że audytowany podmiot po zaistnieniu incydentu podjął już własne, samodzielne działania identyfikacyjne oraz naprawcze, w tym badania na obecność wirusów, ograniczoną analizę logów oraz rekonfiguracje stacji roboczych. Mimo to, w segmencie A Raportu nr (…) znalazł się szereg rekomendacji świadczących o nieprawidłowościach dotyczących tego obszaru (przez brak odpowiednich zabezpieczeń poufności danych znajdujących się na jednym z urządzeń sieciowych, osoby przeprowadzające audyt uzyskały dostęp do katalogów plików zawierających dane osobowe - w tym dane szczególnej kategorii). W części podsumowującej ten segment raportu wskazano m.in., że (cyt.): „Przeprowadzone badanie oraz stosunkowo niski poziom zabezpieczeń technicznych i organizacyjnych wykazało konieczność wzmocnienia pracy informatyka, który obsługuje (…). Wskazujemy na konieczność przeprowadzenia wewnętrznej analizy możliwości wsparcia bieżącej pracy informatyka dodatkowym aktywem ze specjalizacją konfiguracji obsługi sieci”.
W segmencie B Raportu Nr (…)(dotyczącym badania stanu infrastruktury IT po wdrożeniu działań naprawczych i korygujących) wskazano, że w dniach [...]-[...] stycznia 2021 r. przeprowadzono drugi audyt, jako audyt nadzoru stopnia realizacji działań naprawczych i korygujących oraz określenia poziomu zaangażowania kierownictwa i właścicieli firmy w minimalizację skutków powstałego incydentu i naruszenia. Stwierdzono w nim, że audytowana organizacja przed zaistnieniem naruszenia podejmowała swoje działania w dobrej wierze (podobnie jak obsługujący ją informatyk, który - jak to ujęto w raporcie: „działał w pełnym przekonaniu o prawidłowości swoich czynności i pełnej dbałości o interesy swojego zleceniodawcy”), a obecnie konsekwentnie podejmuje działania naprawcze, korygujące oraz minimalizujące ryzyka tak, aby w kolejnych okresach nie być narażoną na kolejny incydent bezpieczeństwa lub naruszenie. Stwierdzono również, że realizacja działań naprawczych w obszarze IT i organizacji nowych zabezpieczeń na dzień drugiego audytu była w trakcie wykonania, na poziomie mocno zaawansowanym.
W segmencie C Raportu nr (…) (dotyczącym badania pliku logów w kontekście incydentu bezpieczeństwa i naruszenia ochrony danych) wskazano, że doszło do ustalenia, iż udostępnienie na serwerze (…) w katalogu (…) plików kopii zapasowych wewnętrznego dysku (…) organizacji nastąpiło po zmianie hostingu ze spółki (…) na (…), tj. po [...] listopada 2020 r. Przeprowadzający audyt podmiot na podstawie zgromadzonych informacji postawił hipotezę, że publiczne udostępnienie danych nie było celowym działaniem, a wynikiem błędu w konfiguracji, a także próbą zachowania ciągłości działania organizacji w sytuacji ograniczeń pandemicznych. Zwrócono uwagę na zasady mechanizmów automatycznych działających w sieci Internet, tj. działanie zautomatyzowanych narzędzi skanujących (robotów wyszukiwarek), które pomimo braku informowania osób postronnych o znajdowaniu się na serwerze prywatnych informacji znajdowały je, indeksowały i przedstawiały w wynikach wyszukiwania. Wskazano również, że już w dniu [...] listopada 2020 r. zaistniało celowe pobranie dostępnych plików (wykonano całościową kopię udostępnionych zasobów (…)).
W dniu [...] lutego 2021 r. Prezes UODO zwrócił się do (…) o kolejne wyjaśnienia. W piśmie, które wpłynęło do tutejszego Urzędu w dniu [...] lutego 2021 r., Administrator oświadczył, że (cyt.): „Prace związane z konfiguracją serwera (…), dokonane przez ASI podczas wdrażania pracy zdalnej, rozpoczęły się w dniu [...].11.2020 r. Zmiana konfiguracji serwera (…) nastąpiła po ujawnieniu faktu upublicznienia danych osobowych, tj. w dniu [...].12.2020 r.”. Ponadto, Administrator odpowiadając w tym samym piśmie na inne pytania zadane przez organ nadzorczy, potwierdził wdrożenie (…), przy czym wyjaśnił, że praca bezpośrednio na plikach docx, xlsx i pdf została ograniczona do niezbędnego minimum (całkowita eliminacja pracy bezpośrednio na plikach w tych formatach nie jest możliwa z uwagi na otrzymywaną przez Administratora od podmiotów zewnętrznych korespondencję). Nadto Administrator zapytany o to, czy:
- przed podpisaniem umowy z podmiotami przetwarzającymi [przypis: którym był m.in. (…) M. H.] sprawdzono, czy zapewniają one wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, wskazał, że każdy podmiot, z którym planuje nawiązać współpracę, jest zawsze sprawdzany pod kątem rzetelności i realnej możliwości wywiązywania się ze zleconych usług, w tym zagwarantowania bezpieczeństwa przekazywanych mu informacji, a także że przed nawiązaniem współpracy z (…) M. H., Administrator dokonał sprawdzenia jego wykształcenia i umiejętności;
- podmioty przetwarzające udostępniły administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia 2016/679 oraz umożliwiły administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji i czy takie audyty lub inspekcje były przez (…) przeprowadzane, oświadczył, że (cyt.): „(…) M. H. (…) pełni w (…) funkcję ASI. Zgodnie z zawartą umową (…) (Załącznik nr (…) do pisma z dnia [...].12.2020 r.) dokonywane przez niego przetwarzanie danych osobowych odbywa się w ramach infrastruktury (…) na zasadach wskazanych w wewnętrznej dokumentacji i procedurach. (…) nigdy nie zidentyfikował przetwarzania dokonywanego przez ASI w sposób niezgody z przyjętymi wewnętrznymi procedurami. (…) M. H. podlega w tym zakresie takiej samej, bieżącej kontroli, jak inni pracownicy (…)”.
Do ww. pisma, które wpłynęło do tutejszego Urzędu w dniu [...] lutego 2021 r., Administrator załączył m.in. Raport wydany [...] lutego 2021 r. z audytu stanu bezpieczeństwa i organizacji infrastruktury IT przeprowadzonego od [...] grudnia 2020 r. do [...] lutego 2021 r. (zwany dalej: „Raportem nr (…)”) zawierający ocenę poziomu bezpieczeństwa po trzecim audycie nadzoru, z którego wynika m.in., że audytowana organizacja zapewnia na dzień oceny (tj. [...] lutego 2021 r.) prawidłowy poziom zabezpieczeń ochrony danych, informacji oraz ochrony prywatności osób fizycznych i swoich klientów. W segmencie B1 Raportu nr (…) (dotyczącym badania stanu infrastruktury IT po wdrożeniu kolejnego cyklu działań naprawczych i korygujących na dzień trzeciego audytu nadzoru) wskazano, że w trakcie trzeciego audytu stwierdzono, iż organizacja podjęła i zrealizowała wszelkie dostępne dla niej działania naprawcze i korygujące w celu uzyskania maksymalnego poziomu bezpieczeństwa i minimalizacji ryzyka wystąpienia kolejnego incydentu lub naruszenia, a także że w wyniku opisanych w tym segmencie działań osiągnęła zamierzone cele oraz zadawalający, prawidłowy poziom bezpieczeństwa technicznego i organizacyjnego.
W odpowiedzi na wezwanie do wyjaśnień (z dnia [...] marca 2021 r.), która wpłynęła do tutejszego Urzędu w dniu [...] kwietnia 2021 r., Administrator (zapytany o sposób sprawdzenia wykształcenia i umiejętności (…) M. H.), wskazał, że (cyt.): „(…) współpracuje bezpośrednio z (…) M. H. od 2010 r. Poziom wiedzy oraz umiejętności (…) M. H. zostały zweryfikowane podczas rozmowy kwalifikacyjnej przeprowadzonej w 2010 r. przed nawiązaniem współpracy. Odbywała się ona na takiej samej zasadzie jak rozmowy kwalifikacyjne pracowników - bezpośrednia rozmowa, odpowiedzi na pytania, ustne przedstawienie swojego doświadczenia. (…) nie ma żadnych zastrzeżeń co do jakości i terminowości świadczonych przez (…) M. H. usług. Współpraca układa się bardzo dobrze, co zbudowało na przestrzeni lat wysokie zaufanie międzyorganizacyjne. W 2016 r., podczas wdrażania w (…) rozwiązań mających na celu dostosowanie działalności do przepisów RODO, (…) M. H. przedstawił certyfikat potwierdzający znajomość przepisów i zasad ochrony danych osobowych”, a ponadto zwrócił uwagę na charakter swojej współpracy z Podmiotem Przetwarzającym(cyt.): „Jest to współpraca bezpośrednia, wszelkie czynności jakie wykonywane są przez (…) M. H. na informacjach przetwarzanych przez (…), dokonywane są w środowisku informatycznym (…). Dlatego też wszelkie stosowane przez (…) M. H. procedury, zasady, zabezpieczenia, etc., są tymi, które zostały wdrożone i są stosowane przez (…). Odzwierciedlają to postanowienia umowy powierzenia przetwarzania danych osobowych zawartej przez (…) z (…), która została przedstawiona Prezesowi Urzędu Ochrony Danych Osobowych w piśmie z dnia [...] grudnia 2020 r. (Załącznik nr (…))”.
Następnie, pismem z dnia [...] kwietnia 2021 r., Prezes UODO zwrócił się o udzielenie wyjaśnień do Podmiotu Przetwarzającego. (…) udzielił ich pismem, które wpłynęło do tutejszego Urzędu w dniu [...] maja 2021 r., przy czym z pisma tego wynika m.in., że:
- naruszenie powstało na skutek replikacji wewnętrznego zasobu roboczego (…) na serwer wirtualny znajdujący się pod adresem (…), którego przyczyną była błędna konfiguracja serwerów (…);
- uruchomienie serwera wirtualnego, na który zostały replikowane dane, których naruszenie dotyczy, nastąpiło w dniu [...] listopada 2020 r. - według logów serwera pierwsze dane zostały replikowane w dniu [....] listopada 2020 r., a dostęp do bazy danych został zablokowany w dniu [...] grudnia 2020 r. o godzinie 14:40, tj. niezwłocznie po stwierdzeniu jej upublicznienia;
- (cyt.): „(…) dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych (…). Wszystkie systemy informatyczne były regularnie aktualizowane co miało na celu eliminowanie ewentualnych błędów oraz testowane pod kątem podatności za pomocą oprogramowanie antywirusowego oraz antymaleware”, przy czym jako dowody załączono do pisma kopie raportów z testów systemu/urządzenia opatrzone datą [...] listopada 2020 r. oraz datami wskazującymi na ich przeprowadzenie po jego wystąpieniu (tj. [...] i [...] grudnia 2020 r.); zaznaczono również, że (…) brał czynny udział w testach przeprowadzanych przez podmiot zewnętrzny podczas audytu bezpieczeństwa infrastruktury IT;
- (cyt.): „Kopia lokalna była wykonywana po między folderem roboczym na serwerze (…) i serwerem (…). Pliki przeznaczone do archiwizacji były kompresowane, archiwum było zabezpieczone hasłem. Oprócz tego, wykonywane było regularne skanowanie antywirusowe oraz antymaleware przechowywanych plików poprzez wewnętrzne mechanizmy serwera (…)” - wskazano, że kopia była także raz w tygodniu przekazywana z serwera (…) na serwer firmy (…), a po wystąpieniu naruszenia, w wyniku przeprowadzonych analiz oraz audytów bezpieczeństwa informatycznego procedura wykonywania kopii zapasowych uległa modyfikacji (został wdrożony nowy system wykonywania kopii zapasowych bazujący na innym oprogramowaniu - zrezygnowano z przechowywania kopii na serwerze (…)). Podmiot przetwarzający zapewnił również o tym, że dokonywał regularnego testowania kopii zapasowych (wskazał również na stosowne procedury w tym zakresie).
Następnie w dniu [...] czerwca 2021 r. organ nadzorczy zwrócił się do Podmiotu Przetwarzającego o kolejne wyjaśnienia. (…) udzielił ich pismem, które wpłynęło do tutejszego Urzędu w dniu [...] czerwca 2021 r. - wskazano w nim oprogramowania stosowane w celu eliminowania ewentualnych błędów oraz testowania pod kątem podatności używanych systemów informatycznych (zarówno przed wystąpieniem naruszenia ochrony danych osobowych, jak i po). Podmiot Przetwarzający oświadczył w tym piśmie również, że testowanie skuteczności zastosowanych środków technicznych odbywało się cyklicznie - raz w miesiącu - podczas wykonywania testów całej infrastruktury IT.
W związku z powyższym, w dniu [...] listopada 2021 r. Prezes UODO wszczął z urzędu wobec Administratora (sygnatura pisma: (…)), a także wobec Podmiotu Przetwarzającego (sygnatura pisma: (…)) postępowanie administracyjne w zakresie naruszenia przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2, art. 28 ust. 1 oraz art. 28 ust. 3 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych znajdujących się m.in. w polisach ubezpieczeniowych zawartych z różnymi towarzystwami ubezpieczeniowymi, do których dostęp został umożliwiony osobom nieuprawnionym, zgłoszonym Prezesowi Urzędu Ochrony Danych Osobowych przez (…) K. P. prowadzącą działalność gospodarczą pod firmą: (…) - jako administratora danych - w dniu [...] grudnia 2020 roku i zarejestrowanym pod numerem (…).
Ponadto, w zawiadomieniach o wszczęciu postępowania Prezes UODO, działając na podstawie art. 58 ust. 1 lit a) i e) rozporządzenia 2016/679, wezwał oba ww. podmioty do wyjaśnień. Administrator został m.in. wezwany do wskazania, czy podejmował (jako administrator ww. danych) wobec Podmiotu Przetwarzającego czynności kontrolne (np. audyty, w tym inspekcje) mające na celu weryfikację spełniania przez niego jego obowiązków wynikających z art. 28 rozporządzenia 2016/679 (a jeśli tak, jak często podejmowane były tego typu czynności, w jaki sposób i jaki był ich zakres).
W dniu [...] listopada 2021 r. do tutejszego Urzędu wpłynęła odpowiedź Administratora na powyższe wezwanie do wyjaśnień. Wyjaśnił w nim m.in., że (cyt.): „Zgodnie z zawartą umową powierzenia przetwarzania danych, dokonywane przez (…) M. H. przetwarzanie danych osobowych odbywa się na zasadach wskazanych w wewnętrznej dokumentacji i procedurach (…). Oznacza to, że (…) nie ma możliwości dobrowolnego kształtowania rozwiązań organizacyjnych związanych z przetwarzaniem danych osobowych. Fakt zawarcia umowy powierzenia przetwarzania danych osobowych wynika z rodzaju współpracy (b2b) i braku możliwości nadania upoważnienia do przetwarzania danych osobowych (tak jak pozostałym pracownikom (…) zatrudnionym na podstawie umowy o pracę). (…) nigdy nie powziął informacji (choćby podejrzeń), że przetwarzanie danych osobowych dokonywane jest przez ASI w sposób niezgody z przyjętymi wewnętrznymi procedurami - co mogłoby uzasadniać dokonanie szczegółowych czynności kontrolnych”.
W odpowiedzi, która wpłynęła do tutejszego Urzędu w dniu [...] listopada 2021 r., Podmiot Przetwarzający wyjaśnił, iż (cyt.): „(…) (…) oraz ja pełniący role ASI w sposób świadomy i zamierzony nigdy nie wysyłaliśmy żadnych plików z serwera (…) na serwer w firmie (…). Dokonując czynności sprawdzających oraz eliminując potencjalne źródła wycieku w dniu [...] grudnia 2020 r. podjęte działania dotyczyły zarówno serwera w firmie (…) oraz serwera (…) w firmie (…). Dostęp do ujawnionych danych na serwerze (…) został zablokowany a konfiguracja serwera (…) została zmieniona na konfigurację poprzedzającą możliwość pracy zdalnej dla pracowników (…). Dokonując tych zmian w dniu [...] grudnia 2020 r. została wyeliminowana błędna konfiguracja serwera (…), czyli przyczyna wycieku stwierdzona na podstawie audytu infrastruktury IT przeprowadzonego przez zewnętrznego audytora, tj. firmę (…), w którym to audycie również czynnie uczestniczyłem”.W piśmie tym (…) M. H. (Podmiot Przetwarzający) zwrócił również uwagę na swoją aktualną sytuację zdrowotną (na co zwrócił również uwagę w piśmie, które wpłynęło do tutejszego Urzędu w dnia [...] września 2022 r.).
Następnie, w dniu [...] lutego 2022 r. organ nadzorczy zwrócił się o udzielenie wyjaśnień zarówno przez Administratora, jak i Podmiot Przetwarzający. Podmioty te zapytano m.in., czy przed dokonaniem czynności zmierzających do zapewnienia dostępu do plików zawierających m.in. dane osobowe pracownikom mającym pracować zdalnie, w związku z którymi doszło do naruszenia ochrony danych osobowych, została przeprowadzona analiza ryzyka uwzględniająca zagrożenia związane z takimi czynnościami (celem identyfikacji zagrożeń i określenia środków technicznych i organizacyjnych sprowadzających prawdopodobieństwo ich wystąpienia do poziomu ryzyka akceptowalnego). Z wyjaśnień udzielonych w tym zakresie przez (…) pismem, które wpłynęło do tutejszego Urzędu w dniu [...] lutego 2022 r. wynika, że (cyt.) »Na podstawie „Umowy (…)” z dnia (…) kwietnia 2020 r. jaka łączy (…) z (…), (…) stosuje regulacje wewnętrzne (…), w tym m.in. Politykę (…). Polityka ta, przewiduje tzw. podejście oparte na ryzyku, które wymaga stałej identyfikacji i szacowania poziomu ryzyka związanego z przetwarzaniem danych osobowych. Wszystkie działania (…), w tym m.in. te związane z wdrażaniem pracy zdalnej, jak i jakiekolwiek inne działania podejmowane w ramach infrastruktury IT (…), którą (…) nadzoruje, prowadzone były i są z poszanowaniem tego podejścia. Mając na uwadze powyższe, czynności zmierzające do zapewnienia dostępu do plików pracownikom (…) pracującym zdalnie, dokonywane były przez (…) z uwzględnieniem ryzyka związanego z wdrożeniem takiego rozwiązania. Wykorzystane w tym zakresie środki techniczne i organizacyjne w tym zakresie poddane zostały, przed ich wdrożeniem, analizie uwzględniającej zagrożenia związane z wykonywaniem pracy zdalnej. W ocenie (…), zastosowano adekwatne środki autoryzacji oraz zabezpieczenia zdalnego środowiska pracy, w szczególności w tym zakresie:
- wykorzystano serwer (…) wydzielając na nim zasób, do którego zostały skopiowane pliki,
- zastosowano ochronę antywirusową oraz ochronę przed atakami dla wydzielonego zasobu,
- zasób został udostępniony w sieci lokalnej oraz udostępniony zdalnie poprzez wykorzystanie wbudowanego w (…) serwera (…), który to został zabezpieczony szyfrowaniem (…),
- użyto mechanizmu (…) w celu dodatkowej ochrony udostępnionego zasobu za pomocą jego replikacji na oddzielny lokalny serwer (…). ,
W ocenie (…), na skutek wdrożonych rozwiązań, prawdopodobieństwo wystąpienia zagrożeń związanych z przeprowadzonymi czynnościami sprowadzono do poziomu ryzyka akceptowalnego«.
Administrator w swoich wyjaśnieniach udzielonych w tym zakresie (pismem z datą wpływu: [...] marca 2022 r.) również zwrócił uwagę na stosowanie przez siebie podejścia opartego na ryzyku oraz na zobowiązanie Podmiotu Przetwarzającego do stosowania tego podejścia, a następnie wskazał, że (cyt.): „(…) przyjmuje, że w związku z tym zobowiązaniem, zastosowane przez ASI środki techniczne i organizacyjne poddane zostały analizie uwzględniającej zagrożenia związane z wykonywaniem pracy zdalnej, a prawdopodobieństwo wystąpienia tych zagrożeń sprowadzono do poziomu ryzyka akceptowalnego”.
W wezwaniach z dnia [...] lutego 2022 r. skierowanych do obu ww. podmiotów, zawarto inne jeszcze pytania, w tym o to:
- czy odpowiednie środki techniczne i organizacyjne zastosowane zarówno przed, jak i po dokonaniu czynności zmierzających do zapewnienia dostępu do plików zawierających m.in. dane osobowe pracownikom mającym pracować zdalnie, były testowane pod kątem ich adekwatności i skuteczności,
- czy dokonano sprawdzenia prawidłowości (zarówno przebiegu, jak i wyniku) czynności podjętych celem zapewnienia dostępu do plików zawierających m.in. dane osobowe pracownikom mającym pracować zdalnie (w tym: w zakresie zabezpieczenia danych przed dostępem osób nieuprawnionych) - bezpośrednio po ich dokonaniu.
Podmiot Przetwarzający w tym zakresie wyjaśnił, że dokonał sprawdzenia prawidłowości czynności podjętych celem zapewnienia dostępu do plików zawierających m.in. dane osobowe pracownikom (…) mającym pracować zdalnie, czego potwierdzeniem jest brak zastrzeżeń osób pracujących zdalnie ujawniony w raporcie z testów systemu informatycznego z dnia [...] listopada 2020 r. Administrator również wskazał na przedstawienie przez (…) tego raportu.
Ponadto w udzielonych przez siebie wyjaśnieniach (na wezwania z dnia [...] lutego 2022 r.) oba te podmioty zgodnie oświadczyły, że poza „Umową (…)” zawartą pomiędzy (…) a (…) w dniu (…) kwietnia 2020 r. nie zawarto żadnych dodatkowych umów w tym zakresie. Administrator wskazał również, że decyzję o podjęciu pracy zdalnej podjął (…), a sposób przeprowadzenia czynności zmierzających do zapewnienia dostępu do plików pracownikom mającym pracować zdanie ustalony został przez ASI (jako przez osobę odpowiedzialną za infrastrukturę IT w (…)), a przetwarzanie danych osobowych przez ASI w ramach powyższych czynności odbywało się na podstawie polecenia (…).
W dniu [...] marca 2022 r. Prezes UODO wysłał do Administratora kolejne wezwanie do wyjaśnień, na które (…) udzielił odpowiedzi pismem, które wpłynęło do tutejszego Urzędu w dniu [...] kwietnia 2022 r. Z odpowiedzi tej wynika, że zawiadomienie o naruszeniu ochrony danych osobowych (w formie dwóch komunikatów z dnia [...] i [...] grudnia 2020 r.) będzie publikowane na stronie internetowej (…) aż do zakończenia przedmiotowego postępowania.
Nadto, z ostatnich wyjaśnień ASI i Administratora (które wpłynęły odpowiednio w dniach: [...] i [...] listopada 2022 r. i które stanowiły odpowiedź na wezwania organu nadzorczego do wyjaśnień mających na celu wnikliwe zbadanie roli (…) M. H. w procesie przetwarzania danych osobowych) wynika, że (…) M. H. nie był nigdy zatrudniony przez Administratora i przetwarzał dane osobowe jedynie na podstawie umowy powierzenia przetwarzania danych osobowych (a nie na podstawie upoważnienia do ich przetwarzania). (…) wskazał również, że (…) M. H. od początku współpracował z nim jako zewnętrzny specjalista, a (…) M. H. wyjaśnił, że w okresie tej współpracy wykonywał również usługi na rzecz innych podmiotów (m.in. w zakresie kompleksowej obsługi z zakresu IT). Wyjaśnienia te i dokonane w sprawie ustalenia wskazują na jego autonomiczną rolę w procesie przetwarzania danych osobowych klientów (…).
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zanim jednak dojdzie do omówienia tych zasad w koniecznym w przedmiotowej sprawie zakresie, należy zwrócić uwagę na status (…) będącego brokerem ubezpieczeniowym, tj. funkcję administratora pełnioną przez niego w stosunku do danych byłych i obecnych klientów znajdujących się w ujawnionych plikach. Należy się w tym miejscu odwołać do przepisów ustawy z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń (Dz. U. z 2022 r., poz. 905, ze zm.), tj.:
1. art. 4 ust. 4, zgodnie z którym broker ubezpieczeniowy, w ramach prowadzonej działalności brokerskiej, wykonuje czynności w zakresie dystrybucji ubezpieczeń w imieniu lub na rzecz klienta, zwane dalej „czynnościami brokerskimi w zakresie ubezpieczeń”,
2. art. 4 ust. 1, który stanowi, że dystrybucja ubezpieczeń oznacza działalność wykonywaną wyłącznie przez dystrybutora ubezpieczeń (tj. zakład ubezpieczeń, agenta ubezpieczeniowego, agenta oferującego ubezpieczenia uzupełniające lub brokera ubezpieczeniowego) polegającą na:
1) doradzaniu, proponowaniu lub wykonywaniu innych czynności przygotowawczych zmierzających do zawarcia umów ubezpieczenia lub umów gwarancji ubezpieczeniowych;
2) zawieraniu umów ubezpieczenia lub umów gwarancji ubezpieczeniowych w imieniu zakładu ubezpieczeń, w imieniu lub na rzecz klienta albo bezpośrednio przez zakład ubezpieczeń;
3) udzielaniu pomocy przez pośrednika ubezpieczeniowego (tj. agenta ubezpieczeniowego, agenta oferującego ubezpieczenia uzupełniające, brokera ubezpieczeniowego oraz brokera reasekuracyjnego, którzy wykonują dystrybucję ubezpieczeń albo dystrybucję reasekuracji za wynagrodzeniem) w administrowaniu umowami ubezpieczenia lub umowami gwarancji ubezpieczeniowych i ich wykonywaniu, także w sprawach o odszkodowanie lub świadczenie,
3. art. 27 ust. 1 i 2, zgodnie z którymi klient udziela brokerowi ubezpieczeniowemu, w formie pisemnej, pełnomocnictwa do wykonywania czynności brokerskich w zakresie ubezpieczeń w imieniu klienta, broker natomiast udostępnia zakładowi ubezpieczeń przy pierwszej czynności należącej do czynności brokerskich w zakresie ubezpieczeń ten dokument pełnomocnictwa; (Zatem broker działa w imieniu i na rzecz swojego klienta na podstawie udzielonego pełnomocnictwa, ale - na co warto zwrócić uwagę - mandat ten nie jest nakierowany na przetwarzanie danych osobowych),
4. art. 32 ust. 3, który stanowi, że broker ubezpieczeniowy:
1) zachowuje w tajemnicy informacje uzyskane w związku z wykonywaniem czynności brokerskich w zakresie ubezpieczeń, przy czym obowiązek ten ciąży na brokerze ubezpieczeniowym również po rozwiązaniu stosunku umownego ze zleceniodawcą;
2) okazuje zakładowi ubezpieczeń i klientowi na każde żądanie zezwolenie na wykonywanie działalności brokerskiej w zakresie ubezpieczeń;
3) prowadzi rejestr skarg i reklamacji;
4) przechowuje dokumentację dotyczącą wykonywanej działalności brokerskiej w zakresie ubezpieczeń, w szczególności pełnomocnictwa do wykonywania czynności brokerskichw zakresie ubezpieczeń w imieniu klienta oraz dokumenty dotyczące wynagrodzenia brokera, przez okres 10 lat od dnia zakończenia współpracy z klientem.
Powyższe przepisy określają zadania i obowiązki brokera ubezpieczeniowego oraz zasady świadczenia usług na rzecz klientów. Czynności brokera na rzecz klienta mogą polegać na wykonywaniu wszystkich albo tylko niektórych czynności w zakresie dystrybucji ubezpieczeń, np. na zebraniu i analizie dostępnych na rynku wariantów ubezpieczenia, doradztwie, zgłaszaniu i likwidacji roszczeń, układaniu się z zakładami ubezpieczeń co do wysokości świadczeń związanych z konkretnymi roszczeniami. Wykonywanie przez brokera ubezpieczeniowego czynności, które objęte są katalogiem zadań wskazanych m.in. w art. 4 ust. 1 pkt 3 ww. ustawy o dystrybucji ubezpieczeń, przemawiałoby za traktowaniem brokera - w zakresie przetwarzania danych osobowych w takim celu - jako administratora tych danych. Taki status brokera wynika również z innych obowiązków brokera określonych w przepisach powołanej ustawy (obowiązek zachowania informacji w tajemnicy czy przechowywania dokumentacji dotyczącej wykonywanej działalności brokerskiej). Podobne stanowisko było już niejednokrotnie zajmowane przez Prezesa UODO. Ponadto (jak wskazał organ nadzorczy w jednej z wydanych przez siebie decyzji) o konieczności uznania brokera ubezpieczeniowego za administratora danych osobowych przesądza także zakres kompetencji, określonych w ww. ustawie, wiedza ekspercka, potwierdzona zezwoleniem i wpisem do rejestru brokerów, a także fakt ponoszenia odpowiedzialności za działania przy wykonywaniu działalności brokerskiej.
Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Konkretyzację tej zasady stanowią dalsze przepisy rozporządzenia.
Zgodnie zaś z art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Jak wskazano w Wytycznych 07/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO (dalej zwanych: Wytycznymi 07/2020) Europejskiej Rady Ochrony Danych (cyt.): „Celem włączenia zasady rozliczalności do RODO i uczynienia jej główną zasadą było podkreślenie, że administratorzy danych muszą wdrożyć odpowiednie i skuteczne środki oraz być w stanie wykazać zgodność z przepisami. Zasada rozliczalności została doprecyzowana w art. 24 (…). Zasada rozliczalności znajduje również odzwierciedlenie w art. 28, w którym określono obowiązki administratora podczas korzystania z usług podmiotu przetwarzającego”.
Stosownie do art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny adekwatności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże. Jednocześnie wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych - zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Wdrożenie środków technicznych i organizacyjnych powinno polegać na implementowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu uprzednio przyjętych zabezpieczeń. Zasadę integralności i poufności, wyrażoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, oprócz przywołanego wyżej art. 24 ust. 1 rozporządzenia 2016/679, konkretyzują także i inne przepisy tego aktu prawnego, tj. art. 25 ust. 1 i art. 32 ust. 1 i 2.
Zgodnie z treścią art. 25 ust. 1 rozporządzenia 2016/679 uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
W myśl art. 28 ust. 1 rozporządzenia 2016/679, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Zgodnie z art. 28 ust. 3 rozporządzenia 2016/679, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmuje wszelkie środki wymagane na mocy art. 32;
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator i podmiot przetwarzający są zobowiązani do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, zgodnie z lit. b) i d) tego artykułu, powinny obejmować środki takie, jak zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Art. 32 ust. 2 rozporządzenia 2016/679 stanowi, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przepisy rozporządzenia 2016/679 nakładają więc określone obowiązki w zakresie zapewniania bezpieczeństwa przetwarzanych danych osobowych zarówno na administratorów, jak i na podmioty przetwarzające. Zgodnie z art. 32 ust. 1 i 2 rozporządzenia 2016/679 oba typy tych podmiotów zobowiązane są do przyjęcia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych. W przedmiotowej sprawie należy więc najpierw zbadać, czy właściwe podmioty przed podjęciem działań zmierzających do wprowadzenia zmian w systemie informatycznym, przeprowadziły w sposób prawidłowy wyżej wskazany dwuetapowy proces, tj.:
1) czy dokonały analizy ryzyka wiążącego się z takimi działaniami, jako że wydzielanie wspólnego zasobu roboczego zawierającego repozytorium plików i udostępnienie go pracownikom w sieci lokalnej oraz zdalnie jest działaniem wprowadzającym zmianę w dotychczasowym przebiegu procesu przetwarzania danych osobowych i jako takie powinno być poprzedzone dokonaniem szczegółowych analiz pod kątem ustalenia wpływu tej czynności na bezpieczeństwo danych przetwarzanych w systemie,
2) czy (na podstawie ww. analizy) określiły oraz zastosowały środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa danych osobowych przetwarzanych w tym systemie odpowiadający temu ryzyku (a także, czy zweryfikowały, czy dane zostały skutecznie zabezpieczone w lokalizacji, do której były replikowane).
Aby analiza ryzyka została przeprowadzona w sposób właściwy, konieczna jest pełna znajomość struktury wszystkich elementów systemu przetwarzania danych, zarówno służących do samego przetwarzania, jak i jego zabezpieczenia przed - w tym przypadku - nieuprawnionym dostępem. Należy również podkreślić, że wszelkie zmiany w systemach informatycznych służących do przetwarzania danych osobowych wymagają od administratora danych, a także od podmiotu przetwarzającego, zweryfikowania w pierwszej kolejności, czy dotychczas przeprowadzona analiza ryzyka uwzględnia zagrożenia związane z tym działaniem. Jeżeli nie, to ich obowiązkiem jest dokonanie takiej analizy, aby zidentyfikować te zagrożenia i określić środki bezpieczeństwa sprowadzające prawdopodobieństwo ich wystąpienia do poziomu ryzyka akceptowalnego. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 3 września 2020 r., sygn. II SA/Wa 2559/19, rozporządzenie 2016/679 „(…) wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych.
Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.”
W świetle przywołanego wyroku WSA w Warszawie podkreślić należy, iż analiza ryzyka oraz zarządzanie ryzykiem są procesami wymagającymi współpracy wszystkich zainteresowanych stron i jako takie wymagają przede wszystkim zaplanowania, zorganizowania, kierowania oraz kontrolowania zasobów wykorzystywanych do przetwarzania, realizacji samych czynności przetwarzania oraz badania i wykrywania ewentualnych podatności oraz luk. W szczególności konieczne jest analizowanie wpływu każdej zmiany na poziom bezpieczeństwa przetwarzanych danych. Co za tym idzie, przed wykonaniem jakichkolwiek działań, w tym polegających na wprowadzaniu zmian w dotychczasowym procesie przetwarzania danych zmierzających do zapewnienia pracownikom dostępu zdalnego do plików, administrator danych i podmiot przetwarzający powinni zachować jak najdalej idącą ostrożność, zaś przed wdrożeniem samej zmiany winni określić zasady jej wprowadzenia, zwłaszcza w kontekście zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych, oraz sprawdzić, czy operacja została zakończona całkowitym sukcesem nie tylko pod kątem sprawności działania systemu, ale również pod kątem zrealizowania wymagań przepisów prawa (w tym przepisów rozporządzenia 2016/679 nakładających obowiązki w zakresie zapewnienia odpowiedniego poziomu bezpieczeństwa danych). W przedmiotowej sprawie takiej ukierunkowanej analizy jednak nie przeprowadzono, poprzestając jedynie na ogólnych założeniach. Wskazują na to wyjaśnienia Podmiotu Przetwarzającego, który zapewnił, że stosuje regulacje wewnętrzne (…), w tym m.in. Politykę (…) przewidującą podejście oparte na ryzyku (wymagające stałej identyfikacji i szacowania poziomu ryzyka związanego z przetwarzaniem danych osobowych) i że (cyt.): „(…) czynności zmierzające do zapewnienia dostępu do plików pracownikom (…) pracującym zdalnie, dokonywane były przez (…) z uwzględnieniem ryzyka związanego z wdrożeniem takiego rozwiązania”. Podmiot Przetwarzający zaznaczył też, że (cyt.): „Wykorzystane w tym zakresie środki techniczne i organizacyjne w tym zakresie poddane zostały, przed ich wdrożeniem, analizie uwzględniającej zagrożenia związane z wykonywaniem pracy zdalnej. (…) W ocenie (…), na skutek wdrożonych rozwiązań, prawdopodobieństwo wystąpienia zagrożeń związanych z przeprowadzonymi czynnościami sprowadzono do poziomu ryzyka akceptowalnego”. Administrator w swoich wyjaśnieniach również wskazywał na stosowanie przez siebie podejścia opartego na ryzyku oraz na zobowiązanie Podmiotu Przetwarzającego do stosowania tego podejścia, a następnie wyjaśnił, że (cyt.): „(…) przyjmuje, że w związku z tym zobowiązaniem, zastosowane przez ASI środki techniczne i organizacyjne poddane zostały analizie uwzględniającej zagrożenia związane z wykonywaniem pracy zdalnej, a prawdopodobieństwo wystąpienia tych zagrożeń sprowadzono do poziomu ryzyka akceptowalnego”. Dokonując oceny prawidłowości działań Administratora i Podmiotu Przetwarzającego w powyższym kontekście należy podkreślić, że przedmiotowej analizy dokonują oba te podmioty, a nie jedynie Podmiot Przetwarzający, stąd argumentacja Administratora jest tu bezzasadna (obowiązek ten nie może spoczywać tylko na Podmiocie Przetwarzającym).
Poczynione w niniejszej sprawie ustalenia pozwalają przyjąć, że Administrator oraz Podmiot Przetwarzający dokonywali w niewystraczającym zakresie analizy ryzyka wiążącego się z podejmowanymi działaniami zmierzającymi do zapewnienia dostępu do danych osobowych pracownikom pracującym zdalnie (w tym: nie przeprowadzili analizy ryzyka związanej ze znalezieniem się danych osobowych w niezabezpieczonej lokalizacji), a tymczasem jej prawidłowe przeprowadzenie pozwoliłoby na dobór odpowiednich środków bezpieczeństwa. Dla właściwego przeprowadzenia drugiego etapu ww. procesu, warunkiem niezbędnym jest bowiem prawidłowe wykonanie poprzedzającego go pierwszego etapu. W przypadku ww. prac podjętych przez (…) w przedmiotowej sprawie należało wziąć pod uwagę ryzyko niezamierzonej replikacji danych i zamieszczenia ich w lokalizacji dostępnej dla osób nieupoważnionych. Uwzględniwszy to ryzyko, podmioty, na które obowiązki nakładane są na podstawie art. 32 ust. 1 i 2 rozporządzenia 2016/679, mogły zadecydować np. o ustawieniu haseł dostępowych do folderów zawierających dane osobowe albo o poddaniu plików zawierających takie dane szyfrowaniu lub pseudonimizacji. Pozwoliłoby to uniknąć naruszenia ochrony danych osobowych nawet w sytuacji przypadkowego udostępnienia kopiowanych plików osobom nieuprawnionym.
W przedmiotowej sprawie Administrator ograniczył się do polecenia Podmiotowi Przetwarzającemu dokonania zmian w systemie zmierzających do zapewnienia dostępu do danych osobowych pracownikom pracującym zdalnie, zakładając, że Podmiot Przetwarzający uwzględni ogólne zasady działania wynikające z ww. Polityki (…) (tj. podejście oparte na ryzyku), dokona analizy ryzyka związanego z takimi działaniami i dobierze odpowiednie środki techniczne i organizacyjne mające zapewnić bezpieczeństwo tych danych. Obowiązki w tym zakresie spoczywają jednak zarówno na Administratorze, jak i na Podmiocie Przetwarzającym i fakt podejmowania działań przez jednego z nich, nie wpływa na zwolnienie drugiego z obowiązków nałożonych na nich przepisem art. 32 ust. 1 i 2 rozporządzenia 2016/679. Dokonane w przedmiotowej sprawie ustalenia nie pozwalają przyjąć, że Administrator podjął działania zmierzające do realizacji dwuetapowego procesu, o którym mowa w ww. przepisie. Również Podmiot Przetwarzający nie wykazał w sposób niebudzący poważnych wątpliwości prawidłowości podjętych przez siebie działań - w szczególności nie zweryfikował prawidłowości przebiegu procesu dokonywanych zmian w systemie (sprawdzono jedynie, czy pracownicy uzyskali dostęp do danych).
Jak już wyżej przytoczono, (…) wskazał pismem (które wpłynęło do tutejszego Urzędu w dniu [...] lutego 2022 r.), że w jego ocenie (cyt.): „(…) zastosowano adekwatne środki autoryzacji oraz zabezpieczenia zdalnego środowiska pracy, w szczególności w tym zakresie:
- wykorzystano serwer (…) wydzielając na nim zasób, do którego zostały skopiowane pliki,
- zastosowano ochronę antywirusową oraz ochronę przed atakami dla wydzielonego zasobu,
- zasób został udostępniony w sieci lokalnej oraz udostępniony zdalnie poprzez wykorzystanie wbudowanego w (…) serwera (…), który to został zabezpieczony szyfrowaniem (…),
- użyto mechanizmu (…) w celu dodatkowej ochrony udostępnionego zasobu za pomocą jego replikacji na oddzielny lokalny serwer (…)”.
Dobór powyższych środków technicznych i organizacyjnych dodatkowo (poza wyżej cytowanymi wyjaśnieniami Administratora i Podmiotu Przetwarzającego) świadczy o nieuwzględnieniu w analizie ryzyka (związanego z wydzielaniem nowego zasobu i udostępnianiem w nim plików pracownikom pracującym zdalnie) możliwości niezamierzonej replikacji danych i ich zamieszczenia w lokalizacji niezabezpieczonej przed dostępem osób nieupoważnionych. Środki te nie były bowiem adekwatne do tego rodzaju ryzyka. Nie uwzględniały np. szyfrowania kopiowanych danych, o którym wcześniej już wspomniano w uzasadnieniu niniejszej decyzji, czy zabezpieczania folderów plików (lub samych plików) hasłami dostępowymi.
Oczywistym jest, że przy doborze środków technicznych i organizacyjnych należy weryfikować ich skuteczność uwzględniając aktualne możliwości techniczne, a także potencjalne zagrożenia. Środki odpowiednie niegdyś nie muszą bowiem pozostawać skuteczne w zmienionych okolicznościach. Należy przy tym również pamiętać, że środki nawet odpowiednio dobrane do aktualnego możliwego ryzyka naruszenia ochrony danych osobowych powinny być regularnie testowane. Działania te (polegające na stałej weryfikacji adekwatności i skuteczności dobieranych środków oraz regularnym testowaniu tych już stosowanych) stanowią - jako pewna całość - realizację obowiązku przewidzianego w art. 32 ust. 1 lit. b) rozporządzenia 2016/679 (zdolność do ciągłego zapewnienia poufności).
W sytuacji wydzielania wspólnego zasobu roboczego zawierającego repozytorium plików (a co za tym idzie: zawartych w nim danych osobowych) i udostępnienia go pracownikom w sieci lokalnej i zdalnie, wydaje się jasne, że powinny zostać przeprowadzone testy dotyczące zastosowanych środków bezpieczeństwa zarówno przed, jak i po udostępnieniu tych danych w nowej lokalizacji. Ich prawidłowe przeprowadzenie pozwoliłyby na wykrycie powstałego błędu, tj. udostępnienia niezabezpieczonego przed dostępem osób nieuprawnionych zasobu również w niewłaściwej lokalizacji, co było bezpośrednią przyczyną zaistnienia naruszenia ochrony danych osobowych. Obowiązek przeprowadzenia tego typu testów, zgodnie z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, spoczywa zarówno na podmiocie przetwarzającym, jak i administratorze danych. Administrator udzielił organowi nadzorczemu informacji dotyczących sposobu, w jaki on sam oraz (…) M. H. biorący udział w przetwarzaniu danych, których naruszenie dotyczy, dokonywali regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy. Jak już wyżej przytoczono, (…) w piśmie, które wpłynęło do tutejszego Urzędu w dniu:
- [...] grudnia 2020 r., wskazał, że testowanie to następowało (cyt.): „(…) poprzez wykonywanie bieżących aktualizacji stacji roboczych, aktualizacji firmware serwerów (…) oraz skanowanie antywirusowe. ASI dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy”;
- [...] stycznia 2021 r., oświadczył, że (cyt.): „Przed wystąpieniem naruszenia (…) nie wykonywał testów penetracyjnych. Raporty z testów poprawności działania systemów i urządzeń IT na zlecenie (…) wykonywał ASI (M. H.)”, a także, że (cyt.): „Testy zostały wykonane niezwłocznie po zaistnieniu naruszenia przez profesjonalny podmiot zewnętrzny (…), podczas audytu stanu bezpieczeństwa i organizacji infrastruktury IT”.
(…) (pismem, które wpłynęło do tutejszego Urzędu w dniu [...] maja 2021 r.) wyjaśnił, że (cyt.): „(…) dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych (…). Wszystkie systemy informatyczne były regularnie aktualizowane co miało na celu eliminowanie ewentualnych błędów oraz testowane pod kątem podatności za pomocą oprogramowania antywirusowego oraz antymaleware” oraz przedstawił kopie raportów z testów systemu/urządzenia opatrzone datami: [...] listopada, [...] i [...] grudnia 2020 r., a także zaznaczył, że brał czynny udział w testach przeprowadzanych przez podmiot zewnętrzny podczas audytu bezpieczeństwa infrastruktury IT.
Powyższe wyjaśnienia nie świadczą o regularnym testowaniu zastosowanych środków technicznych i organizacyjnych mających na celu ochronę przetwarzanych danych osobowych w sytuacji dokonywania zmian w systemach Administratora. Wykonywanie comiesięcznych testów (obejmujących weryfikację w następującym zakresie: w przypadku serwerów: (…), a w przypadku komputerów: (…)) wydaje się być zbyt ogólne i nie pozwala na wykrycie takich błędów, jak ten powstały w niniejszej sprawie (niezamierzona replikacja danych). Jak już wskazywano, prawidłowy dobór środków technicznych i organizacyjnych uwzględniający możliwe ryzyka oraz regularne przeprowadzanie testów obejmujących również weryfikację prawidłowości dokonywanych zmian w systemach pozwoliłoby w przedmiotowej sytuacji na uniknięcie naruszenia ochrony danych osobowych. Należy bowiem przyjąć, że obowiązki podmiotów uczestniczących w procesie przetwarzania danych osobowych nie powinny się kończyć na ww. dwuetapowym procesie, tj. na przeprowadzeniu analizy ryzyka i zastosowaniu odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. W konsekwencji tego założenia, należy stwierdzić, że zarówno Administrator, jak i Podmiot Przetwarzający, powinni byli zweryfikować, czy dane osobowe zostały skutecznie udostępnione wyłącznie w zamierzonej lokalizacji, a także, czy są odpowiednio zabezpieczone przed dostępem do nich osób nieuprawnionych. Brak takiej weryfikacji, wobec niewdrożenia jakichkolwiek środków technicznych i organizacyjnych, mających na celu zabezpieczenie danych osobowych (np. poprzez zastosowanie hasła wymaganego do otwarcia wszystkich plików lub folderów plików zawierających dane osobowe) znajdujących się w nowych lokalizacjach, w których dane były udostępnione, skutkował wystąpieniem przedmiotowego naruszenia. Działania w zakresie wdrażania odpowiednich środków technicznych zostały przeprowadzone dopiero po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych.
W świetle powyższych ustaleń stwierdzić należy, że brak działań zarówno Administratora, jak i Podmiotu Przetwarzającego, w celu przeprowadzenia analizy ryzyka na potrzeby dokonywanej zmiany dotyczącej danych przetwarzanych w systemie informatycznym, określenia i zastosowania adekwatnych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych podczas tej operacji oraz weryfikacji skuteczności prawidłowości dokonanych zmian, skutkował naruszeniem art. 32 ust. 1 i 2 rozporządzenia 2016/679. Prawidłowo przeprowadzone testowanie w ramach realizacji wymogu z art. 32 ust. 1 lit. d) powinno było objąć także replikowany zasób i pozwolić na weryfikację, czy dobór wprowadzonych środków bezpieczeństwa (które powinny być badane pod kątem ich skuteczności już na etapie wdrażania tego rozwiązania) był właściwy. Tymczasem m.in. w wyniku nieadekwatnej weryfikacji prawidłowości podejmowanych działań, ani Administrator ani Podmiot Przetwarzający, nie zorientowali się przez około trzy tygodnie, że doszło do niezamierzonej publikacji danych osobowych 2494 osób - do wykrycia naruszenia doszło bowiem przypadkiem (z uwagi na podejrzenie zainfekowania systemu wirusem) oraz w wyniku jednoczesnej informacji przekazanej przez podmiot zewnętrzny. Nieprawidłowości w tej sferze w sposób oczywisty rzutują również na ocenę spełnienia przez Administratora oraz Podmiot Przetwarzający ich obowiązku wynikającego z art. 32 ust. 1 lit. b) rozporządzenia 2016/679 (zdolność do ciągłego zapewnienia poufności).
Omawiając obowiązki wynikające z art. 32 ust. 1 lit. d), należy również zaznaczyć, że Administrator przeprowadził audyty stanu bezpieczeństwa i organizacji infrastruktury IT, w ramach których dokonano oceny działań Podmiotu Przetwarzającego, dopiero po stwierdzeniu naruszenia bezpieczeństwa danych osobowych - niestety było to działanie spóźnione. Nie należy również zapominać, że nadzór administratora nad działaniami podmiotu przetwarzającego stanowi ważny środek organizacyjny mający na celu ochronę bezpieczeństwa przetwarzanych danych osobowych.
Wskazać ponadto należy, że obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi tego rozporządzenia, zostały nałożone na administratora danych (i tylko na administratora danych) przepisami art. 24 ust. 1 i art. 25 ust. 1 ww. rozporządzenia. Wobec braku zastosowania przez Administratora adekwatnych środków bezpieczeństwa, o czym wyżej mowa, uznać należy, iż naruszył on także i te przepisy rozporządzenia 2016/679. Konsekwencją zaś ich naruszenia jest konieczność stwierdzenia, że naruszona została również zasada poufności wyrażona w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a także zasada rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, zobowiązująca administratora do przestrzegania zasad wynikających z art. 5 ust. 1 rozporządzenia 2016/679 i wykazania tego przestrzegania. Powyższe potwierdza orzeczenie WSA w Warszawie z dnia 10 lutego 2021 r., sygn. II SA/Wa 2378/20: „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”.
Podobnie kwestię zasady rozliczalności interpretuje w wyroku z dnia 26 sierpnia 2020 r. WSA w Warszawie sygn. II SA/Wa 2826/19: „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.
Wobec wykazania powyżej, że Administrator i Podmiot Przetwarzający nie dopełnili nałożonych na każdego z nich obowiązków określonych w art. 32 ust. 1 i 2 rozporządzenia 2016/679 w zakresie analizy ryzyka oraz doboru odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, warto dokonać dodatkowo pogłębionej analizy pewnych aspektów relacji pomiędzy tymi dwoma podmiotami (w tym w kontekście art. 32 ust. 1 i art. 28 ust. 3 rozporządzenia 2016/679), tj. m.in., czy działania Podmiotu Przetwarzającego dokonywane były zgodnie z ustalonymi procedurami (a jeśli nie, to czy Administrator udzielił Podmiotowi Przetwarzającemu informacji co do sposobu wprowadzania zmian w systemie informatycznym), w jaki sposób ukształtowane zostały prawa i obowiązki ww. podmiotów w tym zakresie oraz czy Administrator odpowiednio zweryfikował to, czy Podmiot Przetwarzający daje gwarancje prawidłowego wykonywania swoich zadań.
W wyjaśnieniach, które wpłynęły do tutejszego Urzędu w dniu [...] lutego 2021 r. Administrator wskazał m.in., że zgodnie z zawartą umową powierzenia przetwarzania danych osobowych, przetwarzanie przez Podmiot Przetwarzający danych osobowych odbywa się w ramach infrastruktury (…) na zasadach wskazanych w wewnętrznej dokumentacji i procedurach, a także, że w tym zakresie podlega on takiej samej, bieżącej kontroli, jak pracownicy Administratora. Niestety „Polityka (…)” (stanowiąca załącznik nr (…) do pisma, które wpłynęło do tutejszego Urzędu w dniu [...] grudnia 2020 r.) nie zawiera szczegółowych zapisów dotyczących sposobu dokonywania zmian w systemach informatycznych służących do przetwarzania danych osobowych. Nie określono w szczególności, by podmiot dokonujący jakichkolwiek zmian w tym systemie miał obowiązek weryfikacji prawidłowości przebiegu podjętych czynności lub kontroli (bieżącej oraz powykonawczej) w zakresie zabezpieczenia przetwarzanych danych osobowych przed dostępem osób nieuprawnionych. Z załącznika do ww. Polityki, tj. z Instrukcji (…), wynika jedynie, że w miejscu styku sieci komputerowej Administratora Danych z siecią publiczną zastosowane są (…), uniemożliwiające dostęp osób niepowołanych z zewnątrz do jej zasobów, a także pozwalające na kontrolę przepływających danych (rozdział (…) ww. Instrukcji), co w analizowanym przypadku wydaje się niewystraczające. Temu brakowi towarzyszy też fakt, że nie wykazano by Administrator nadzorował czynności podejmowane przez Podmiot Przetwarzający celem umożliwienia pracownikom pracy zdalnej oraz (jak już wspomniano we wcześniejszej części niniejszego uzasadnienia) by weryfikował prawidłowość przebiegu procesu zmian dokonywanych w swoich systemach.
Z wyjaśnień udzielonych przez Administratora na wezwanie z dnia [...] lutego 2022 r. wynika, że decyzję o wprowadzeniu zmian podjął Administrator, zaś sposób przeprowadzenia czynności zmierzających do zapewnienia dostępu do plików pracownikom mającym pracować zdanie ustalony został przez Podmiot Przetwarzający (jako przez osobę odpowiedzialną za infrastrukturę IT w (…)). Należy zaznaczyć, że w przedmiotowej sprawie do naruszenia ochrony danych osobowych (wycieku danych) doszło w wyniku błędu Podmiotu Przetwarzającego, który wydzielając nowy zasób na potrzeby pracowników (…) mających pracować zdalnie, dokonał niezamierzonej replikacji danych w domenie Administratora, które to dane nie były zabezpieczone przed dostępem osób nieuprawnionych. Tymczasem, zgodnie z brzmieniem art. 28 ust. 1 rozporządzenia 2016/679, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, to korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Zapewnieniu realizacji tej zasady służy wprowadzony w art. 28 ust. 3 rozporządzenia 2016/679 obowiązek zawarcia pomiędzy administratorem a podmiotem przetwarzającym umowy określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora, która to umowa zawiera w szczególności elementy wskazane w lit. a)-h) tego przepisu. W rozpatrywanym stanie faktycznym Umowa (…) zawarta pomiędzy Administratorem a Podmiotem Przetwarzającym w dniu [...] kwietnia 2020 r. nie zawierała jednak elementów wskazanych w art. 28 ust. 3 lit. c), e) i f). Umowa ta w § (…) określała natomiast (w nawiązaniu do obowiązku przewidzianego w art. 28 ust. 3 lit. a) rozporządzenia 2016/679), że w związku z powierzeniem przetwarzania danych osobowych (…) zobowiązuje się do przetwarzania danych osobowych wyłącznie na podstawie tej umowy lub na inne udokumentowane polecenie Administratora, za jakie uważa się polecenie przekazane drogą pisemną lub elektroniczną.
Zgodnie z art. 28 ust. 3 lit. a) rozporządzenia 2016/679, podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny. Art. 28 ust. 3 lit. c) rozporządzenia 2016/679 wymaga, aby podmiot przetwarzający podejmował wszelkie środki wymagane na mocy art. 32. Zgodnie z art. 28 ust. 3 lit. e) rozporządzenia 2016/679, podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III. W myśl art. 28 ust. 3 lit. f) rozporządzenia 2016/679, uwzględniając charakter przetwarzania oraz dostępne mu informacje, podmiot przetwarzający pomaga administratorowi wywiązać się z obowiązków określonych w art. 32 - 36.
Na podstawie wyjaśnień udzielanych przez Administratora i Podmiot Przetwarzający niemożliwe jest potwierdzenie, że wdrażane zmiany realizowane były według określonych z góry zasad zapewniających bezpieczeństwo danych osobowych - środki techniczne i organizacyjne mające zapewnić to bezpieczeństwo nie zostały bowiem określone ani w ogólnych regulacjach wdrożonych przez Administratora, ani w stosownej umowie zawartej z Podmiotem Przetwarzającym. Nadto, polecenie dokonania zmian w systemie informatycznym (…) celem umożliwienia jego pracownikom pracy zdalnej nie zostało przekazane przez Administratora wraz z jakąkolwiek instrukcją co do metod zapewnienia bezpieczeństwa przetwarzanych danych. Przeciwnie: o sposobie ich wdrożenia decydować miał Podmiot Przetwarzający. Dowolność wyboru stosowanych rozwiązań przez Podmiot Przetwarzający w połączeniu z brakiem wdrożonych procedur dotyczących kontroli prawidłowości podejmowanych w tym zakresie czynności, doprowadziły w konsekwencji do naruszenia ochrony danych osobowych.
Z uwagi na powyższe (tj. ustalenie, że Podmiotowi Przetwarzającemu pozostawiono do decyzji sposób dokonywania czynności w zakresie wprowadzania zmian w systemie informatycznym), należy dodatkowo przeanalizować, czy takie działanie Administratora mogło wynikać z uzasadnionej pewności co do kompetencji Podmiotu Przetwarzającego. W przedmiotowej sprawie Administrator wskazał, iż współpraca z Podmiotem Przetwarzającym rozpoczęła się na długo przed wejściem w życie przepisów rozporządzenia 2016/679 (tj. od 2010 r.). Z wyjaśnień złożonych przez (…) w tym zakresie wynika również, że weryfikacja kompetencji Podmiotu Przetwarzającego nie miała charakteru sformalizowanego (polegała na przeprowadzeniu rozmowy), współpraca ma charakter bezpośredni, a świadczone przez ASI w jej ramach usługi nie budzą zastrzeżeń Administratora co do swej jakości i terminowości. Ustosunkowując się do ww. wyjaśnień Administratora wskazać należy, że:
- w poprzednim stanie prawnym, na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016, poz. 922), zdefiniowane były inne wymagania względem podmiotu przetwarzającego, zaś inne obowiązują od 25 maja 2018 r., tj. od momentu rozpoczęcia stosowania rozporządzenia 2016/679. Zatem dotychczasowa, pozytywnie oceniana współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Wymóg określony art. 28 ust. 1 rozporządzenia 2016/679 bezwzględnie obowiązuje bowiem każdego administratora danych, który w ramach prowadzonej działalności korzysta z zasobów lub usług podmiotu przetwarzającego podczas przetwarzania danych osobowych. Podkreślić należy, że z obowiązku przeprowadzenia takiej oceny nie zwalnia fakt wieloletniej współpracy i korzystania z usług danego podmiotu przetwarzającego przed dniem 25 maja 2018 r., tj. przed rozpoczęciem stosowania rozporządzenia 2016/679. Administrator takiej weryfikacji nie przeprowadził, poprzestając na pozytywnej ocenie Podmiotu Przetwarzającego, będącej efektem dotychczasowej współpracy nawiązanej jeszcze przed rozpoczęciem stosowania przepisów rozporządzenia 2016/679. Konsekwencją braku dokonania tej oceny jest naruszenie wymogu określonego w art. 28 ust. 1 rozporządzenia 2016/679. Należy przy tym zaznaczyć, że samo podpisanie umowy powierzenia przetwarzania danych osobowych bez dokonania odpowiedniej oceny podmiotu przetwarzającego nie może być uznane jako realizacja obowiązku przeprowadzenia postępowania weryfikującego podmiot przetwarzający pod kątem spełnienia przez niego wymogów rozporządzenia 2016/679;
- długotrwała współpraca stron nie poparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji nie gwarantuje, iż podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia. W tym miejscu należy zaznaczyć, że w Umowie (…) łączącej Administratora i Podmiot Przetwarzający od (…) kwietnia 2020 r. zawarto postanowienia dotyczące prawa (…) do kontroli zgodności przetwarzania danych osobowych przez (…) i jego obowiązku udzielania odpowiedzi na pytania Administratora dotyczące kwestii związanych z tym przetwarzaniem - działania te mogły więc być realizowane przed wystąpieniem naruszenia ochrony danych osobowych.
Kwestia kryteriów oceny podmiotu przetwarzającego była przedmiotem rozważań również Europejskiej Rady Ochrony Danych. Jak wskazano w Wytycznych 07/2020, odnosząc się do treści art. 28 ust. 1 i motywu 81 rozporządzenia 2016/679, (cyt.): »Administrator jest (…) odpowiedzialny za ocenę adekwatności gwarancji udzielonych przez podmiot przetwarzający i powinien być w stanie udowodnić, że poważnie wziął pod uwagę wszystkie elementy przewidziane w RODO. Gwarancje „zapewniane” przez podmiot przetwarzający to te, które podmiot przetwarzający jest w stanie wykazać w sposób zadowalający administratora, ponieważ są to jedyne gwarancje, które administrator może skutecznie uwzględnić przy ocenie wypełniania swoich obowiązków. Często będzie to wymagało wymiany odpowiedniej dokumentacji (np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000). Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych. (…) Administrator powinien wziąć pod uwagę następujące elementy (…), aby ocenić, czy gwarancje są wystarczające: wiedza fachowa (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych); wiarygodność podmiotu przetwarzającego; zasoby podmiotu przetwarzającego. Reputacja podmiotu przetwarzającego na rynku może być również istotnym czynnikiem, który administratorzy powinni wziąć pod uwagę. Ponadto jako element umożliwiający wykazanie wystarczających gwarancji można wykorzystać przestrzeganie zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji. (…) Obowiązek korzystania wyłącznie z usług podmiotów przetwarzających „zapewniających wystarczające gwarancje” zawarty w art. 28 ust. 1 RODO jest obowiązkiem ciągłym. Nie kończy się w momencie zawarcia umowy lub innego aktu prawnego przez administratora i podmiot przetwarzający. Administrator powinien raczej w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje (…)«.
Podsumowując dotychczasowy wywód należy zaznaczyć, że okoliczności umieszczenia danych w niezabezpieczonej lokalizacji miały związek z działaniami podjętymi celem udostępnienia tych danych na potrzeby wewnętrzne administratora związane z organizacją pracy zdalnej, przy czym Podmiot Przetwarzający rozpoczął swoje działania w wyniku zlecenia Administratora nieokreślającego ani sposobu dokonania zlecanej czynności ani środków bezpieczeństwa, które miałyby być przy tym zachowane. Nadto przeprowadzając ten proces Podmiot Przetwarzający nie dołożył należytej staranności - zmiany w systemie informatycznym nie były dokonywane na podstawie określonych procedur, a prawidłowość ich przebiegu nie została zweryfikowana po ich dokonaniu (ani w trakcie). Podmiot Przetwarzający nie realizował więc wymogów określonych przepisami art. 32 ust. 1 i 2 rozporządzenia 2016/679 - nie podejmował jednocześnie działań wynikających z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679, stosownie do których podmiot przetwarzający podejmuje wszelkie środki wymagane na mocy art. 32 oraz uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36. Oceniając działania podjęte przez Podmiot Przetwarzający, należy wziąć jednak pod uwagę nie tylko to, że z § (…) „Umowy (…)” zawartej pomiędzy Administratorem a Podmiotem Przetwarzającym wynika, iż (…) zobowiązał się do tego, że czynności objęte przedmiotem tej umowy wykonywał będzie z dołożeniem należytej staranności, według jak najlepszej wiedzy i doświadczenia, ale również fakt, że z Raportu nr (…) przeprowadzonego przez zewnętrznego audytora wynika, iż Podmiot Przetwarzający działał w przeświadczeniu o prawidłowości dokonywanych przez siebie czynności.
Z powyższego płynie wniosek, że przyczyn zaistnienia przedmiotowego naruszenia należy się doszukiwać także w nieprawidłowej organizacji i zarządzaniu procesem wdrażania nowych rozwiązań w infrastrukturze informatycznej lub dokonywania w niej zmian. Należy wskazać bowiem, że Administrator na żadnym etapie wprowadzanych zmian nie prowadził nadzoru nad tym, czy zmiany te faktycznie przebiegają prawidłowo i czy przetwarzane dane osobowe są zabezpieczone przed dostępem osób nieuprawnionych (nadzór taki stanowi środek organizacyjny służący zapewnieniu bezpieczeństwu przetwarzanych danych osobowych). Jak już wspomniano we wcześniejszej części niniejszego uzasadnienia, z art. 32 ust. 1 lit. d) rozporządzenia 2016/679 wynika obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań są także wymogiem sformułowanym wprost w art. 24 ust. 1 rozporządzenia 2016/679, a także wynikającym z art. 25 ust. 1 rozporządzenia 2016/679, kreującego obowiązek zapewnienia ochrony prywatności w fazie projektowania (privacy by design) i nakładającego na administratora zobowiązanie do wdrożenia odpowiednich środków technicznych zarówno w fazie określania sposobów przetwarzania, jak i w fazie samego przetwarzania (przy czym należy ponownie podkreślić, że obowiązki określone w przepisach art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679 obciążają wyłącznie administratora). Wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Takiej ocenie powinny podlegać nie tylko środki techniczne, ale również organizacyjne, czyli wdrożone przez Administratora procedury dotyczące przetwarzania danych osobowych, w tym procedury dokonywania zmian w systemach informatycznych wykorzystywanych do przetwarzania danych osobowych. Regularna ocena ww. procedury, stosownie do wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, pozwoliłaby Administratorowi na weryfikację, czy procedury te nie wykazują braków, a jeśli nie, to czy taka procedura jest skuteczna, tzn. czy zapewnia, że podejmowane są właściwe działania w celu zapewnienia ochrony danych osobowych w trakcie procesu dokonywania zmian w systemie informatycznym i czy jest w ogóle przestrzegana przez osoby odpowiedzialne za przeprowadzenie tych zmian.
W przedmiotowej sprawie, w ocenie Prezesa UODO, weryfikacja przez Administratora sposobu realizacji przez Podmiot Przetwarzający zmian w systemie informatycznym, w którym przetwarzane były dane osobowe, znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych przetwarzanych w tym systemie, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych, których dane są przez (…) przetwarzane, gdyż do naruszenia ochrony danych osobowych doszło w wyniku prostego błędu polegającego na niezamierzonej replikacji danych, co powinno zostać wykryte w toku procesu wdrażania zmian w systemie informatycznym przetwarzającym dane osobowe. Efektem powyższego zaniechania był brak działań (…) w celu zapewnienia bezpieczeństwa danych osobowych swoich klientów, do czego był zobowiązany zgodnie z wyżej przywołanymi przepisami rozporządzenia 2016/679, jako administrator tych danych. Podkreślić również należy, że z realizacji tych obowiązków nie zwalnia Administratora fakt korzystania z usług podmiotu przetwarzającego. Obowiązki w tym zakresie spoczywają bowiem przede wszystkim na administratorze danych. Analizując działania (a właściwe brak działań Administratora w tym zakresie), można wysnuć wniosek, że poprzestał na zgłoszeniu Podmiotowi Przetwarzającemu potrzeby dokonania modyfikacji, nie podejmując jakichkolwiek działań w zakresie zweryfikowania, czy w procesie dokonywania zmian w systemie zapewnione zostało bezpieczeństwo przetwarzania danych osobowych swoich klientów.
Zebrany w sprawie materiał również potwierdza, że przed wszczęciem postępowania administracyjnego Administrator nie przeprowadzał w podmiocie przetwarzającym audytów, w tym inspekcji, w celu sprawdzenia, czy (…) w sposób prawidłowy realizuje swoje obowiązki wynikające z rozporządzenia 2016/679 (w tym czy zapewnia stosowanie środków wymaganych na mocy art. 32 tego rozporządzenia). Możliwość przeprowadzenia takich audytów, w tym inspekcji, wynika z art. 28 ust. 3 lit. h) rozporządzenia 2016/679, stosownie do którego, umowa powierzenia przetwarzania danych osobowych ma stanowić, że podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Przepis ten daje zatem administratorowi pewne narzędzia, z których korzystanie może zapewnić, że proces przetwarzania danych podlegających powierzeniu będzie zgodny z przepisami rozporządzenia 2016/679, a administrator uniknie odpowiedzialności za ich naruszenie. Podkreślić należy, że przeprowadzanie przez administratora w podmiocie przetwarzającym audytów, w tym inspekcji, należy traktować jako jeden z istotniejszych środków bezpieczeństwa, jakie powinien zastosować administrator w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 rozporządzenia 2016/679. Administrator powinien bowiem w czasie korzystania przez niego z usług podmiotu przetwarzającego dysponować wiedzą, czy i w jaki sposób podmiot, któremu powierzył przetwarzanie danych osobowych, spełnia wymogi określone w rozporządzeniu 2016/679. Nie ulega wątpliwości, że najskuteczniejszym sposobem zapewnienia sobie tej wiedzy przez administratora jest dokonywanie w podmiocie przetwarzającym stosownych audytów, w tym inspekcji. Takich środków bezpieczeństwa (…) jednak nie zastosowała, co w konsekwencji przyczyniło się do wystąpienia naruszenia ochrony danych osobowych. Co więcej, stosowanie ww. środków jest powiązane z obowiązkiem administratora danych wynikającym z art. 28 ust. 1 rozporządzenia 2016/679, co oznacza, iż jego wykonanie ma także potwierdzić, czy podmiot przetwarzający w dalszym ciągu daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą.
Brak realizacji audytów (przed audytem przeprowadzonym w następstwie zaistnienia przedmiotowego naruszenia ochrony danych osobowych), w tym inspekcji, w podmiocie przetwarzającym oznacza również naruszenie przepisu art. 25 ust. 1 rozporządzenia 2016/679. Przepis ten obliguje do wdrażania odpowiednich środków technicznych i organizacyjnych, nie tylko przy określaniu sposobów przetwarzania, ale także w czasie samego przetwarzania. Ciągłość wpisana w analizowany obowiązek może więc w praktyce przejawiać się m.in. w konieczności zapewnienia regularnego monitoringu zastosowanych zabezpieczeń oraz prowadzenia stałego nadzoru nad podmiotem przetwarzającym poprzez np. audyty i inspekcje, o których mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679.
W ocenie Prezesa UODO zastosowane przez Administratora środki techniczne i organizacyjne jedynie w bardzo ograniczonym stopniu odpowiadały wymogom określonym w art. 32 rozporządzenia 2016/679, w związku z faktem, że nie wdrożył stosownych procedur zapewniających bezpieczeństwo przetwarzanych danych w procesie zmian dokonywanych w systemie informatycznym, w którym te dane są przetwarzane, a także nie nadzorował Podmiotu Przetwarzającego w zakresie prowadzonych działań mających na celu udostępnienie zasobu pracownikom mającym pracować zdalnie. Należy bowiem podkreślić, że zapewnienie przez administratora danych nadzoru i monitorowania prac rozwojowych nad systemami, zleconych podmiotom zewnętrznym, to jeden z podstawowych środków organizacyjnych, jaki powinien administrator skutecznie wdrożyć w celu zapewnienia bezpieczeństwa danych osobowych zgodnie z wymogami wynikającymi z rozporządzenia 2016/679.
W konsekwencji niestosowania przez (…) powyższych zasad, możliwe do przewidzenia ryzyka nie zostały odpowiednio zminimalizowane i ograniczone w czasie przetwarzania.
Należy uznać, że stosowanie odpowiednich standardów bezpieczeństwa w zakresie wprowadzania zmian w systemach informatycznych służących do przetwarzania danych osobowych, w tym ich weryfikacja pod kątem bezpieczeństwa, a w szczególności spełniania wymogów wynikających z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, a także skuteczna weryfikacja działań Podmiotu Przetwarzającego w tym zakresie, znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych osobowych klientów Administratora, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych, których dane są przez Administratora przetwarzane, czyli udostępnienia danych nieuprawnionym odbiorcom.
W tym miejscu należy przywołać wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, w którym Sąd wskazał, że „Przyjęte środki mają mieć charakter skuteczny (…)” oraz „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych”, a także wyrok tego sądu z 19 stycznia 2021 r., sygn. II SA/Wa 702/20, że „Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679)”.
Podsumowując, dokonane ustalenia nie dają podstawy do stwierdzenia, że stosowane przez Administratora i Podmiot Przetwarzający środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych. W konsekwencji, w ocenie Prezesa UODO, zarówno (…), jak i (…), nie wdrożyły odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się w systemie informatycznym podlegającemu modyfikacjom, co stanowi naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679.
Dokonując niniejszego podsumowania, należy powtórzyć wywody zawarte we wcześniejszej części uzasadnienia, z których wynika, że obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi tego rozporządzenia, zostały nałożone na administratora danych (i tylko na administratora danych) przepisami art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679. Wobec braku zastosowania przez (…) adekwatnych środków bezpieczeństwa, o czym wyżej mowa, uznać należy, iż Administrator naruszył także i te przepisy rozporządzenia 2016/679. Konsekwencją zaś ich naruszenia jest konieczność stwierdzenia, że naruszona została również zasada poufności wyrażona w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. W myśl art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane powinny być „przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”. Podkreślić należy, że prawidłowe i skuteczne zabezpieczenie danych podniesione zostało w rozporządzeniu 2016/679 do rangi ogólnej zasady, co świadczy o tym, że kwestia zapewnienia poufności danych powinna być traktowana w sposób szczególny i priorytetowy przez administratora danych. Tymczasem, jak już wykazano w uzasadnieniu niniejszej decyzji zarówno Administrator, jak i Podmiot Przetwarzający, nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, co doprowadziło do naruszenia przez (…) ich poufności w związku z wystąpieniem naruszenia ochrony danych osobowych, czyli naruszenia zasady, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Jak wykazano w niniejszym uzasadnieniu, Administrator naruszył również przepis art. 5 ust. 2 rozporządzenia 2016/679 (określający zasadę rozliczalności) oraz przepis art. 28 ust. 1 rozporządzenia 2016/679. Ponadto zawarta przez Administratora z Podmiotem Przetwarzającym Umowa powierzenia nie zawierała elementów określonych w art. 28 ust. 3 lit. c), e) i f) rozporządzenia 2016/679, tj. nie określała, że podmiot przetwarzający:
- podejmuje wszelkie środki wymagane na mocy art. 32;
- biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
- uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36.
Tymczasem w Wytycznych 07/2020 wskazano, że (cyt.): „Chociaż elementy określone w art. 28 rozporządzenia stanowią jego podstawową treść, umowa powinna być dla administratora i podmiotu przetwarzającego sposobem na dalsze wyjaśnienie sposobu wdrożenia tych zasadniczych elementów za pomocą szczegółowych instrukcji”, a także że (cyt.): „W każdym razie umowa musi obejmować wszystkie elementy art. 28 ust. 3. Jednocześnie umowa powinna zawierać pewne elementy, które mogą pomóc podmiotowi przetwarzającemu w zrozumieniu zagrożeń dla praw i wolności osób, których dane dotyczą, wynikających z przetwarzania: ponieważ działalność jest wykonywana w imieniu administratora, często administrator ma większe zrozumienie zagrożeń, jakie niesie ze sobą przetwarzanie, ponieważ jest świadomy okoliczności, w których odbywa się przetwarzanie”. Umowa natomiast powinna zostać sporządzona pisemnie, co również zostało podkreślone w ww. Wytycznych (cyt.): „(…) niepisanych umów (niezależnie od stopnia ich szczegółowości lub skuteczności) nie można uznać za wystarczające do spełnienia wymogów określonych w art. 28 RODO”.
Oceniając okoliczności przedmiotowego naruszenia ochrony danych osobowych, należy podkreślić, że stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, iż celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości.
Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora oraz na Podmiot Przetwarzający administracyjnych kar pieniężnych.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 -39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
W niniejszej sprawie administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 25 ust. 1, art. 28 ust. 1 i 3, art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 - na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie kara w wysokości stanowiącej równowartość 7.000,- EUR nałożona na Podmiot przetwarzający łącznie za naruszenie wszystkich powyższych przepisów - stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 - nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Administracyjna kara pieniężna nałożona na Administratora za naruszenie art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679 znajduje podstawę w art. 83 ust. 4 lit. a) rozporządzenia 2016/679.
Nadto należy wskazać, że zgodnie z treścią art. 58 ust. 2 lit. d) rozporządzenia 2016/679 każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów tego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu.
Decydując o nałożeniu na (...) administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:
1.Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu kary istotne znaczenie miała okoliczność, że naruszenie przepisów rozporządzenia 2016/679, nakładających na administratora obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie poufności danych 2494 osób. Stwierdzone w niniejszej sprawie naruszenie ochrony danych osobowych, polegające na umożliwieniu osobom nieuprawnionym dostępu do danych osobowych, ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Ponadto należy wziąć pod uwagę ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem, stosunkowo dużej liczby podmiotów danych, a także względnie dużą skalę i profesjonalny charakter przetwarzania danych. Podkreślić należy, że w stosunku do osób, których dane zostały naruszone w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoby nieuprawnione pobrały udostępnione omyłkowo dane, a także nie wiadomo, czy nie doszło do dalszego udostępniania tych danych. Osoby, których dane dotyczą, mogą więc w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Ponadto należy podkreślić, że naruszenie zaistniałe w przedmiotowej sytuacji miało szczególne okoliczności - Administrator jako broker ubezpieczeniowy zobowiązany był bowiem na podstawie art. 32 ust. 3 pkt 1 ustawy z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń (Dz. U. z 2022 r., poz. 905, ze zm.) do zachowania w tajemnicy informacji uzyskanych w związku z wykonywaniem czynności brokerskich w zakresie ubezpieczeń (który to obowiązek ciąży na brokerze ubezpieczeniowym również po rozwiązaniu stosunku umownego ze zleceniodawcą). Nadto z informacji uzyskanych przez organ nadzorczy w toku prowadzonego postępowania administracyjnego wynika, że zasób, w którym znajdowały się pliki zawierające dane osobowe byłych i obecnych klientów Administratora pozostawał niezabezpieczony przed dostępem osób nieuprawnionych (co jest równoznaczne z utratą ich poufności) w dniach od [...] listopada 2020 r. do [...] grudnia 2020 r., tj. aż przez [...] dni. Należy przyjąć, że naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz 32 ust. 1 i 2 rozporządzenia 2016/679 trwało co najmniej w tym samym czasie, a naruszenie art. 28 ust. 1 i 3 tego rozporządzenia trwa co najmniej od [...] kwietnia 2020 roku (tj. od dnia podpisania przez (…) umowy powierzenia przetwarzania danych osobowych z Podmiotem Przetwarzającym).
2. Stopień odpowiedzialności (…) z uwzględnieniem wdrożonych środków technicznych i organizacyjnych (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Ustalenia dokonane przez Prezesa UODO pozwalają na stwierdzenie, że Administrator nie realizował swoich obowiązków w zakresie nadzoru nad Podmiotem Przetwarzającym w trakcie realizacji zmian w systemie informatycznym wykorzystywanym do przetwarzania danych osobowych, co w konsekwencji prowadziło do swobody w działaniu przez Podmiot Przetwarzający, tj. dokonywania zmian w systemie informatycznym bez prowadzenia bieżącej i powykonawczej kontroli prawidłowości dokonywanych działań oraz zabezpieczenia przetwarzanych danych osobowych przed dostępem osób nieuprawnionych. Brak jakiegokolwiek nadzoru nad procesem wdrażania zmian w systemie informatycznym, w którym przetwarzane były dane osobowe, skutkuje wysokim stopniem odpowiedzialności Administratora za naruszenie poufności danych osobowych.
3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe, do których dostęp uzyskały nieznane i nieuprawnione osoby trzecie, należą między innymi do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679. Jednocześnie ich szeroki zakres (tj. imiona i nazwiska, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia, które to dane zawarte były m.in. w polisach ubezpieczeniowych osób fizycznych) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, iż w szczególności nieuprawnione ujawnienie takiej kategorii danych jak numer ewidencyjny PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m. in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Fakt, że udostępnione dane obejmowały również dane dotyczące zdrowia, dodatkowo podwyższa ryzyko naruszenia ochrony praw lub wolności osób fizycznych, których te dane dotyczą.
Ustalając wysokość administracyjnej kary pieniężnej nałożonej na (…), Prezes UODO uwzględnił jako okoliczności łagodzące następujące przesłanki:
1. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679) - Prezes UODO nie stwierdził w niniejszej sprawie celowych działań Administratora prowadzących do stanu naruszenia przepisów rozporządzenia 2016/679.
2. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) - w niniejszej sprawie Administrator nie stwierdził powstania szkód majątkowych po stronie osób dotkniętych naruszeniem. Wskazać należy, że bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, jeszcze przed wszczęciem postępowania administracyjnego, (…) podjęła czynności, w wyniku których szybko zabezpieczono dane przed kolejnymi naruszeniami tj. przed pobraniem ich przez kolejne nieuprawnione podmioty, a także ustalono m.in. powód wystąpienia naruszenia zlecając przeprowadzenie stosownych audytów podmiotowi zewnętrznemu. W decyzji jako okoliczność obciążającą wskazano, że osoby, których dane dotyczą, mogą w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę), jednak podjęcie szybkich działań mających na celu zabezpieczenie danych przed pobraniem ich przez inne nieuprawnione podmioty należało ocenić jako okoliczność łagodzącą, ponieważ w ocenie Prezesa UODO zawężenie kręgu podmiotów mogących w sposób nieuprawniony pobrać dane klientów Administratora należy uznać jako działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą. Ponadto (…) skierowała do osób, których dane dotyczą (a których jest on administratorem), zawiadomienia o naruszeniu ich danych osobowych, zawierające wszystkie wymagane zgodnie z art. 34 ust. 2 rozporządzenia 2016/679 informacje.
3.Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. e rozporządzenia 2016/679) - nie stwierdzono w (…) stosownych wcześniejszych naruszeń rozporządzenia 2016/679.
4.Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679) - Administrator udzielał wyczerpujących wyjaśnień na wezwania organu nadzorczego oraz zaangażował w działania naprawcze i prewencyjne podmiot zewnętrzny (przeprowadzenie audytu i wprowadzenie stosownych zmian).
5. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679). Prezes UODO nie stwierdził w toku niniejszego postępowania, że dopuszczając się naruszenia podlegającego karze (…) osiągnęła jakiekolwiek korzyści finansowe lub uniknęła jakichkolwiek strat finansowych.
Na fakt zastosowania wobec Administratora w niniejszej sprawie przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:
1. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) - Prezes UODO stwierdził naruszenie w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora, jednakże w związku z tym, że Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Fakt, że do organu nadzorczego dotarły później informacje dotyczące tego naruszenia z innych źródeł pozostaje w przedmiotowej sprawie bez znaczenia. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.
2. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) - w niniejszej sprawie nie zastosowano wcześniej wobec Administratora środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679.
3. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) - (…) nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679.
Decydując o nałożeniu na Podmiot przetwarzający administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:
1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu kary istotne znaczenie miała okoliczność, że naruszenie przepisów rozporządzenia 2016/679, nakładających na Podmiot Przetwarzający obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie poufności danych 2494 osób. Naruszenie wynikało z niezastosowania przez Podmiot Przetwarzający podstawowych zasad bezpieczeństwa polegających na niezabezpieczeniu danych osobowych przed dostępem osób nieuprawnionych. Podmiot przetwarzający świadcząc profesjonalne usługi m.in. w zakresie obsługi systemów informatycznych oraz posiadając odpowiednią wiedzę w tym zakresie nie zastosował zasad bezpieczeństwa m.in. nie weryfikując prawidłowości przebiegu realizowanych procesów. Stwierdzone w niniejszej sprawie naruszenie ochrony danych osobowych, polegające na umożliwieniu osobom nieuprawnionym dostępu do danych osobowych, w wyniku czego doszło do pobrania m.in. danych klientów Administratora ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Ponadto należy wziąć pod uwagę ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem, relatywnie dużej liczby podmiotów danych, a także względnie dużą skalę i profesjonalny charakter przetwarzania danych. Podkreślić należy, że w stosunku do osób, których dane zostały naruszone w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoby nieuprawnione pobrały udostępnione omyłkowo dane, a także nie wiadomo, czy nie doszło do dalszego udostępniania tych danych. Osoby, których dane dotyczą, mogą więc w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Nadto z informacji uzyskanych przez organ nadzorczy w toku prowadzonego postępowania administracyjnego wynika, że zasób, w którym znajdowały się pliki zawierające dane osobowe byłych i obecnych klientów Administratora pozostawał niezabezpieczony przed dostępem osób nieuprawnionych (co jest równoznaczne z utratą ich poufności) w dniach od [...] listopada 2020 r. do [...] grudnia 2020 r., tj. aż przez [...] dni. Należy przyjąć, że naruszenie przepisów art. 32 ust. 1 i 2 rozporządzenia 2016/679 trwało co najmniej w tym samym czasie, a naruszenie art. 32 ust. 1 i 2 w zw. z art. 28 ust. 1 i 3 tego rozporządzenia trwa co najmniej od [...] kwietnia 2020 roku (tj. od dnia podpisania przez (…) umowy powierzenia przetwarzania danych osobowych z Podmiotem Przetwarzającym).
2. Stopień odpowiedzialności z uwzględnieniem wdrożonych środków technicznych i organizacyjnych (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Ustalenia dokonane przez Prezesa UODO pozwalają na stwierdzenie, że Podmiot Przetwarzający nie realizował swoich obowiązków w zakresie wdrażania zmian w systemach informatycznych, co w konsekwencji doprowadziło do dokonywania zmian w systemie informatycznym bez prowadzenia bieżącej i powykonawczej kontroli prawidłowości dokonywanych działań oraz zabezpieczenia przetwarzanych danych osobowych przed dostępem osób nieuprawnionych. Podmiot Przetwarzający ponosi bezpośrednią odpowiedzialność za naruszenie, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu musi stanowić okoliczność obciążającą.
3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe, do których dostęp uzyskały nieznane i nieuprawnione osoby trzecie, należą między innymi do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679. Jednocześnie ich szeroki zakres (tj. imiona i nazwiska, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia, które to dane zawarte były m.in. w polisach ubezpieczeniowych osób fizycznych) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, iż w szczególności nieuprawnione ujawnienie takiej kategorii danych jak numer ewidencyjny PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Numer ewidencyjny PESEL czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m. in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Fakt, że udostępnione dane obejmowały również dane dotyczące zdrowia, dodatkowo podwyższa ryzyko naruszenia ochrony praw lub wolności osób fizycznych, których te dane dotyczą.
Ustalając wysokość administracyjnej kary pieniężnej nałożonej na Podmiot przetwarzający, Prezes UODO uwzględnił jako okoliczność łagodzące następujące przesłanki:
1. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679) - Prezes UODO nie stwierdził w niniejszej sprawie celowych działań Podmiotu Przetwarzającego prowadzących do stanu naruszenia przepisów rozporządzenia 2016/679.
2. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) - w niniejszej sprawie Administrator nie stwierdził powstania szkód materialnych po stronie osób dotkniętych naruszeniem, należy jednak wskazać, że bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, jeszcze przed wszczęciem postępowania administracyjnego, (…) podjął czynności, w wyniku których szybko zabezpieczono dane przed kolejnymi naruszeniami tj. przed pobraniem ich przez kolejne nieuprawnione podmioty, a następnie uczestniczył przy przeprowadzaniu przez podmiot zewnętrzny stosownych audytów, w trakcie których ustalono powód wystąpienia naruszenia. W decyzji jako okoliczność obciążającą wskazano, że osoby, których dane dotyczą, mogą w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę), jednak podjęcie szybkich działań mających na celu zabezpieczenie danych przed pobraniem ich przez inne nieuprawnione podmioty należało ocenić jako okoliczność łagodzącą, ponieważ w ocenie Prezesa UODO zawężenie kręgu podmiotów mogących w sposób nieuprawniony pobrać dane klientów Administratora należy uznać jako działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
3. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. e rozporządzenia 2016/679) - nie stwierdzono w (…) stosownych wcześniejszych naruszeń rozporządzenia 2016/679.
4. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679) - Prezes UODO nie stwierdził w toku niniejszego postępowania, że dopuszczając się naruszenia podlegającego karze Podmiot przetwarzający osiągnął jakiekolwiek korzyści finansowe lub uniknął jakichkolwiek strat finansowych. Ponadto bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych Podmiot przetwarzający podjął czynności, w wyniku których szybko zabezpieczono dane przed kolejnymi naruszeniami oraz brał udział w przeprowadzaniu stosownych ww. audytów przez podmiot zewnętrzny. W toku postępowania Podmiot przetwarzający przedstawił szerokie wyjaśnienia dokładnie wskazujące m.in., w jaki sposób doszło do błędu, w wyniku którego nastąpiło naruszenie ochrony danych osobowych, a ponadto zwrócił uwagę na stan swojego zdrowia, który obiektywnie ma wpływ na jego sytuację finansową.
Na fakt zastosowania w niniejszej sprawie przez Prezesa UODO wobec Podmiot przetwarzający sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:
1. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679). W toku postępowania Podmiot przetwarzający nie podejmował dodatkowych czynności w związku z wystąpieniami organu. Natomiast przed wszczęciem postępowania podjęte zostały przez (…) samodzielne działania mające na celu usunięcie źródła naruszenia. Działania te miały jednakże charakter autonomiczny; Prezes UODO nie może ich potraktować jako podjęte we współpracy z organem nadzorczym i nie może ocenić w związku z tym „stopnia” tej współpracy. Działania te zostały jednak uwzględnione powyżej jako okoliczność łagodząca określona w art. 83 ust. 2 lit. c rozporządzenia 2016/679.
2. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) - Prezes UODO stwierdził naruszenie w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.
3. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) - w niniejszej sprawie nie zastosowano wcześniej wobec Podmiot przetwarzający środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679.
4. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) - Podmiot przetwarzający nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, iż nałożenie administracyjnej kary pieniężnej na Administratora i Podmiot Przetwarzający jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych tym podmiotom naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, iż zastosowanie wobec tych podmiotów jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że ww. podmioty w przyszłości nie dopuszczą się podobnych, co w sprawie niniejszej zaniedbań.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
W ocenie Prezesa UODO nałożona na Adminitratora administracyjna kara pieniężna w wysokości 33.012 zł (słownie: trzydzieści trzy tysiące dwanaście złotych), co stanowi równowartość 7.000,- euro (średni kurs euro z 30 stycznia 2023 r. - 4,7160 zł), spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
W ocenie Prezesa UODO nałożona na Administratora kara jest proporcjonalna zarówno do wagi naruszenia (skutkującego naruszeniem jednej z podstawowych zasad na których oparty jest w rozporządzeniu 2016/679 system ochrony danych osobowych - zasady poufności danych) jak i do wielkości Administratora, którą to wielkość - mierzoną jego obrotem - należy rozpatrywać w nierozerwalnym związku ze względami na skuteczność kary i na jej odstraszający charakter.
W toku postępowania Administrator przedstawiła sprawozdanie finansowe m.in. za 2021 r., zgodnie z którym jej przychody netto z działalności gospodarczej wyniosły (…) zł (słownie: (…)) co stanowi równowartość (…),- euro wg średniego kursu euro z 30 stycznia 2023 r. Zważywszy na wyżej przedstawione wyniki finansowe (…), stwierdzić należy, że orzeczona administracyjna kara pieniężna nie będzie dla niego nadmiernie dotkliwa. Wskazać należy, że ustalona przez Prezesa UODO kwota kary - 33.012 zł - stanowi jedynie (…) % jego obrotu osiągniętego w 2021 r. Jednocześnie w ocenie Prezesa UODO kara w tej wysokości będzie skuteczna (osiągnie cel jakim jest ukaranie Administratora za poważne naruszenie o poważnych skutkach) i odstraszająca na przyszłość (spowoduje, że Administrator celem uniknięcia kolejnych sankcji zwróci należytą uwagę na przetwarzanie danych osobowych za pośrednictwem i przy pomocy Podmiotu Przetwarzającego, wykorzystując przy tym uprawnienia, które przysługują mu na mocy umowy powierzenia przetwarzania danych). Kara w niższej wysokości dla tego podmiotu mogła by być w praktyce niezauważalna i mogłaby zostawić pole do kalkulowania czy dla tej organizacji koszty administracyjnych kar pieniężnych nie byłyby niższe niż nakłady na ochronę danych osobowych.
Wobec powyższego Prezes UODO wskazuje ponadto, że nałożona na Administratora administracyjna kara pieniężna spełnia w szczególności kryterium proporcjonalności kary w rozumieniu wypracowanym w orzecznictwie TSUE (na gruncie prawa konkurencji i w stosunku do decyzji Komisji Europejskiej, ale mającym zdaniem Prezesa UODO ogólniejsze zastosowanie): „[…] zasada proporcjonalności wymaga, aby akty wydawane przez instytucje Unii nie przekraczały granic tego, co jest stosowne i konieczne do realizacji uzasadnionych celów, którym służą dane przepisy, przy czym tam, gdzie istnieje możliwość wyboru spośród większej liczby odpowiednich rozwiązań, należy stosować najmniej dotkliwe, a wynikające z tego niedogodności nie mogą być nadmierne w stosunku do zamierzonych celów […] (zob. wyrok z dnia 12 grudnia 2012 r., Electrabel / Komisja, T‑332/09, EU:T:2012:672, pkt 279 i przytoczone tam orzecznictwo)” (zob. wyrok z 26 października 2017 r. w sprawie T-704/14 Marine Harvest ASA przeciwko KE, ust. 580).
Powyższe ogólne rozważania odnośnie proporcjonalności, skuteczności i odstraszającego charakteru administracyjnej kary pieniężnej nałożonej na Administratora odnoszą się również do kary orzeczonej wobec Podmiotu przetwarzającego.
W toku postępowania Podmiot przetwarzający przedstawił sprawozdanie finansowe za 2021 r., zgodnie z którym jego przychody netto z działalności gospodarczej wyniosły w tym roku obrotowym (…) zł (słownie: (…)), co stanowi równowartość (…) euro wg średniego kursu euro z 30 stycznia 2023 r. W ocenie Prezesa UODO również kara pieniężna orzeczona wobec (…) nie będzie nadmiernie dotkliwa. Kara w kwocie 472 zł (słownie: czterysta siedemdziesiąt dwa złote), co stanowi równowartość 100 euro również według średniego kursu euro z 30 stycznia 2023 r. będzie stanowić jedynie (…) % obrotu osiągniętego przez (…) w 2021 r. oraz jedynie 0,001 % maksymalnie możliwej do nałożenia kary. Prezes UODO zauważa, że kara orzeczona wobec (…) uwzględnia szczególną sytuację życiową (…) M. H.
Podsumowując powyższe w ocenie Prezesa UODO obie orzeczone w niniejszej sprawie administracyjne kary pieniężne spełniają w świetle całokształtu indywidualnych okoliczności sprawy przesłanki (funkcje kar), o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679.
Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.
Jan Nowak
2023-02-08
Wioletta Golańska
2023-03-31 14:42:47
Edyta Madziar
2023-04-13 10:00:51