Warszawa, dnia 20
maja
2024 r.
Decyzja
DKN.5112.35.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775) w związku z art. 7 ust. 1 i 2, art. 60, art. 90, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781; zwanej dalej „ustawą z dnia 10 maja 2018 r.”), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. d) oraz lit. i), art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 32 ust. 1 i 2 oraz art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego w urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez A. S.A. z siedzibą w U., ul. (…), Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez A. Spółka Akcyjna z siedzibą w U., ul. (...) przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu:
1) odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,
2) odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia,
skutkującym naruszeniem zasady integralności i poufności oraz zasady rozliczalności,
1. Nakazuje A. Spółka Akcyjna z siedzibą w U., ul. (…)., dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679, poprzez:
a) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,
b) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków mających zapewnić bezpieczeństwo przetwarzania.
w terminie 30 dni od dnia doręczenia niniejszej decyzji.
2. Nakłada na A. Spółka Akcyjna z siedzibą w U., ul. (…), za naruszenie przepisów art. 5 ust. 1 lit. f) i ust. 2 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 1 440 549,00 PLN (słownie: jeden milion czterysta czterdzieści tysięcy pięćset czterdzieści dziewięć złotych).
Uzasadnienie
Na podstawie art. 33 ust. 1 rozporządzenia 2016/679, do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „Prezesem UODO” lub „organem nadzorczym”, zostało skierowane przez A. Spółka Akcyjna z siedzibą w U. przy ul. (...), zwaną dalej „Spółką”, zgłoszenie naruszenia ochrony danych osobowych, zarejestrowane pod sygnaturą (…). Ww. zgłoszenie wpłynęło do Prezesa UODO w dniu (…) 2021 r. oraz w dniu (…) 2021 r. (uzupełnienie zgłoszenia).
Z treści ww. zgłoszeń wynikało, że naruszenie ochrony danych osobowych polegało na uzyskaniu nieuprawnionego dostępu grupy hakerskiej o nazwie „A.” do zasobów informatycznych (dysków sieciowych) Spółki oraz na zainstalowaniu w systemie informatycznym Spółki oprogramowania typu „ransomware”, w wyniku czego doszło do utraty dostępności oraz poufności danych osobowych przetwarzanych przez Spółkę w ww. systemie. W dniu (…) 2021 r. Spółka uzyskała potwierdzenie naruszenia poufności danych poprzez wgląd do strony tzw. darknetu, przy użyciu adresu podanego przez grupę hakerską „A.”. Na ww. stronie w dniu (…) 2021 r. rozpowszechniona została próbka danych osobowych pracowników Spółki. Treść strony darknetowej grupy hakerskiej zawierała sugestię, że może dojść do dalszego rozpowszechniania przez nią danych w przypadku nienawiązania z nią kontaktu przez Spółkę. Ponadto, na ww. stronie znalazła się informacja, że w przypadku uiszczenia okupu w kwocie (…) (słownie: (…)) dolarów amerykańskich, nie dojdzie do dalszego rozpowszechniania danych.
Ww. grupa hakerska zamieściła także na stronie tzw. darknetu licznik czasu wyznaczający termin zapłaty okupu tytułem odszyfrowania przez nią danych, do których uzyskała bezprawnie dostęp, a także zaniechania przez nią ich rozpowszechnienia. Należy wyjaśnić, że tzw. darknet jest siecią teleinformatyczną, do której można uzyskać dostęp jedynie przy użyciu odpowiedniej aplikacji informatycznej.
Utrata poufności danych polegała na rozpowszechnieniu przez ww. grupę hakerską danych osobowych na stronie tzw. darknetu. Przedmiotowe naruszenie ochrony danych osobowych dotyczyło danych osobowych (…) osób, w tym pacjentów Spółki oraz jej pracowników. Naruszeniu ochrony uległy dane następujących kategorii: nazwisko, imię, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwa użytkownika lub hasło, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, nazwisko rodowe matki, seria i numer dowodu osobistego oraz numer telefonu. W związku z ww. zgłoszeniem naruszenia ochrony danych osobowych Prezes UODO przeprowadził czynności wyjaśniające, tj. skierował do Spółki wezwanie do złożenia dodatkowych wyjaśnień w sprawie, celem ustalenia wszystkich okoliczności zdarzenia. Z uwagi na to, że wyjaśnienia udzielone przez Spółkę nie były w ocenie organu nadzorczego na tyle wyczerpujące, żeby na ich podstawie możliwe było dokonanie oceny przestrzegania przepisów o ochronie danych osobowych, Prezes UODO, w oparciu o art. 78 ust. 1, art. 79 ust. 1 pkt 1 oraz art. 84 ust. 1 pkt 1-4 ustawy z dnia 10 maja 2018 r. w związku z art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 1 lit. b) i e) rozporządzenia 2016/679, w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych dokonał w dniach od 15 do 19 listopada 2021 r. czynności kontrolnych w Spółce (sygn. akt: ……..).
Zakresem kontroli objęto, między innymi, następujące zagadnienia:
1. Czy zostały wdrożone odpowiednie środki techniczne i organizacyjne dotyczące funkcjonowania systemu informatycznego Spółki związanego z naruszeniem ochrony danych osobowych, aby przetwarzanie danych osobowych odbywało się zgodnie z rozporządzeniem 2016/679 oraz z uwzględnieniem charakteru, zakresu, kontekstu, celów przetwarzania i ryzyka naruszenia praw i wolności osób fizycznych, a także czy środki te są w razie potrzeby poddawane przeglądom i uaktualniane, w tym polityki ochrony danych (art. 32 i art. 24 rozporządzenia 2016/679).
2. Czy skuteczność stosowanych środków technicznych mających zapewnić bezpieczeństwo przetwarzania była regularnie testowana, mierzona oraz oceniana (art. 32 ust. 1 lit. d rozporządzenia 2016/679).
3. Weryfikacja przez Spółkę okoliczności zaistniałego naruszenia ochrony danych osobowych i wskazanie systemów informatycznych będących przedmiotem opisanego naruszenia oraz działań, jakie podjęto w celu zminimalizowania ryzyka wystąpienia tego typu naruszeń w przyszłości.
W toku kontroli odebrano od pracowników Spółki ustne wyjaśnienia, a także przeprowadzono oględziny urządzeń i systemów informatycznych wykorzystywanych przez Spółkę do przetwarzania danych osobowych. Ponadto, kontrolujący pozyskali kopie dokumentów Spółki mających znaczenie dla przedmiotu kontroli, stanowiące załączniki do protokołu kontroli. Ustalony przez kontrolujących stan faktyczny opisano w protokole kontroli, który został podpisany przez osobę upoważnioną do reprezentowania Spółki, po rozpatrzeniu przez Prezesa UODO zastrzeżeń zgłoszonych przez Spółkę do protokołu kontroli.
W oparciu o materiał dowodowy zgromadzony w ramach postępowania wyjaśniającego oraz w toku przeprowadzonej kontroli, Prezes UODO dokonał następujących ustaleń w zakresie stanu faktycznego:
Spółka została wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego za numerem (…). Jedynym akcjonariuszem Spółki na dzień kontroli była A. spółka z ograniczoną odpowiedzialnością wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego za numerem (…).
Głównym przedmiotem działalności Spółki jest świadczenie usług zdrowotnych. Biuro obsługi Spółki, tj. zarząd, działy odpowiedzialne za obsługę administracyjną Spółki, w tym działy odpowiedzialne za działanie systemów informatycznych oraz za bezpieczeństwo danych osobowych przetwarzanych przez Spółkę, są zlokalizowane w budynku przy ul. (...) w K. Spółka wraz z innymi spółkami tworzy grupę kapitałową, w ramach której funkcjonuje łącznie ponad (…) podmiotów świadczących usługi lecznicze, głównie w zakresie (…). Usługi te są świadczone w miejscach położonych na terenie Polski, w tym także w ramach kontraktu z Narodowym Funduszem Zdrowia.
Ponadto, jak ustalono, od dnia (…) 2018 r. w Spółce obowiązuje dokument o nazwie „Polityka (…)” (dalej zwany „Polityką (…)”), sporządzony z uwzględnieniem wdrożonej w Spółce normy ISO/IEC 27001:2013. Kolejnym dokumentem regulującym kwestie związane z bezpieczeństwem danych osobowych jest „Podręcznik (…)”, obowiązujący w Spółce od dnia (…) 2018 r., stanowiący również cześć zintegrowanego systemu zarządzania wdrożonego w Spółce. Ponadto, w Spółce obowiązuje od dnia (…) 2018 r. dokument o nazwie „Procedura (…)” stanowiący część zintegrowanego systemu zarządzania wdrożonego w Spółce.
W toku kontroli ustalono, że pierwsza analiza ryzyka w Spółce została sporządzona w dniu (…) 2018 r., a jej aktualizacja w dniu (…) 2019 r. Kolejna analiza ryzyka została wykonana w dniu (…) 2020 r., a następna w dniu (…) 2021 r. z uwagi na wystąpienie naruszenia ochrony danych osobowych. W wyniku analizy z dnia (…) 2021 r. zwiększono prawdopodobieństwo wystąpienia zdarzeń w postaci działania szkodliwego oprogramowania na sprzęcie służącym do przetwarzania danych oraz włamania do systemu informatycznego Spółki. W następstwie dokonania zmian w rejestrze czynności przetwarzania danych, zmianie uległa również analiza ryzyka, którą przeprowadzono ponownie w dniu (…) 2021 r.
Ponadto, jak wynika z wyjaśnień udzielonych przez Spółkę po kontroli w piśmie z dnia (…) 2023 r. skierowanym do Prezesa UODO, działania podjęte przez nią po wystąpieniu naruszenia ochrony danych osobowych nie pozwoliły na jednoznaczne ustalenie przyczyny ww. zdarzenia. Niemniej jednak należy zauważyć, że w rezultacie analizy przeprowadzonej przez zewnętrznego eksperta informatycznego zaangażowanego przez Spółkę, Pana W. A., opisanej w dwóch raportach („Raport (…)” oraz „Raport (…)”), zidentyfikowane zostały potencjalne wektory ataku „ransomware”. Wśród nich wymieniono przełamanie zabezpieczeń urządzeń brzegowych (…) spowodowane brakiem aktualizacji oprogramowania tych urządzeń. Administrator zapewnił, co prawda, co do zasady wsparcie producenta urządzenia, które pozwalało na aktualizację oprogramowania, ale na skutek niedopatrzenia pracowników działu IT Spółki, wymagana aktualizacja nie została faktycznie dokonana. Zarząd Spółki, według jej wyjaśnień pozyskanych w toku kontroli, nie był świadomy ww. okoliczności, ponieważ nie została ona również ujawniona w trakcie audytu zewnętrznego, przeprowadzonego w (…) 2020 r., którego celem było przedłużenie ważności posiadanego przez Spółkę certyfikatu ISO/IEC 27001:2013. W ww. raporcie wskazano jednak, że na dzień ataku hakerskiego istniał „exploit”, czyli luka będąca rezultatem błędu w programowaniu (konfigurowaniu) systemu, pozwalająca na przejęcie urządzenia działającego w systemie teleinformatycznym Spółki. Ponadto, jak wynika z ww. raportów, przełamanie zabezpieczeń urządzeń brzegowych (…) mogło być spowodowane dostępem administracyjnym SSH i https na zewnętrznych interfejsach. Kolejnym potencjalnym wektorem ataku był „(…)”, czyli złamanie zabezpieczeń platformy chmurowej (…), poprzez błędną konfigurację domeny i stosowanie zbyt słabych haseł przez użytkowników systemu Spółki (system administratora wymuszał stosowanie haseł zawierających co najmniej (…) znaków, dużą literę, cyfrę oraz znak specjalny).
Nie wykluczono również ataku „phishingowego”, polegającego na podszywaniu się osoby atakującej system teleinformatyczny pod inny podmiot (osobę) w celu wyłudzenia określonych informacji, np. związanych z zabezpieczeniami ww. systemu, danych logowania albo zainfekowania go szkodliwym oprogramowaniem, służącym do takiego wyłudzenia, tj. najczęściej programem „ransomware A.” (poprzez zachęcenie atakowanego do otworzenia pliku zawierającego ww. złośliwe oprogramowanie). W wyżej opisany sposób często dochodzi do przejęcia stacji roboczej atakowanego poprzez wykorzystywanie podatności systemów operacyjnych i przeglądarek internetowych.
Za najbardziej prawdopodobny wektor ataku został uznany atak „phishingowy” oraz wykorzystanie luk bezpieczeństwa w urządzeniach brzegowych. Liczba stanowisk komputerowych objętych incydentem wyniosła (…), co stanowiło ok. (…)% wszystkich stanowisk komputerowych Spółki. Liczba serwerów objętych zdarzeniem wyniosła (…). Jak ustalono, (…) serwery z systemem (…) nie miały aktualnego wsparcia technicznego producenta (wsparcie zakończyło się w (…) 2020 r.). Serwery z zainstalowanym oprogramowaniem (…) stanowiły kontrolery domeny pracujące w trybie read-only (serwery wspomagające).
Jak ustalono w toku kontroli, zgodnie z zasadami przyjętymi przez Spółkę w przedmiocie minimalizacji danych oraz zapisywania ich w odpowiednio dedykowanych lokalizacjach ze względu na klasyfikację informacji oraz ich bezpieczeństwo, dane, które uległy naruszeniu, powinny być przechowywane w systemie przeznaczonym do przetwarzania danych dotyczących zdrowia, tj. (…). Zgodnie bowiem z postanowieniem ust. (…) „Podręcznika (…)" obowiązującego w Spółce, pracownicy obowiązani są zabezpieczać dane znajdujące się w systemie informatycznym ze względu na ich klasyfikację, poprzez ich zapisywanie we właściwej lokalizacji. Z uwagi na powyższe regulacje, dane osobowe związane ze świadczeniem przez Spółkę usług zdrowotnych powinny były znajdować się wyłącznie w systemie (…). Umieszczenie i przechowywanie tych danych w zasobach sieciowych Spółki (na dysku sieciowym) i w stacjach roboczych było zatem niezgodne z przyjętymi w Spółce zasadami.
Z wyjaśnień uzyskanych od Spółki podczas kontroli wynika ponadto, że w toku czynności ustalających zakres i rozmiar naruszenia ochrony danych osobowych, podjętych po jego wystąpieniu przez Spółkę stwierdzono, że na stacjach roboczych oraz na dysku sieciowym Spółki znajdowały się pliki (…), zawierające dane osób testowanych na obecność COVID-19, korzystających z usług zdrowotnych Spółki, tj. dane dotyczące zdrowia.
W związku z naruszeniem Spółka uruchomiła w dniu (…) 2021 r. specjalną infolinię telefoniczną, w celu udzielania informacji osobom, których dane osobowe były objęte naruszeniem ochrony danych osobowych. Informacja o numerze infolinii była zawarta w treści zawiadomień o naruszeniu kierowanych przez Spółkę do osób, których dane dotyczą. Ponadto, Spółka zawarła w dniu (…) 2021 r. umowę z B. S.A. z siedzibą w W. w celu umożliwienia zainteresowanym osobom, których dane dotyczą, zasięgnięcia informacji w zakresie wpisów w B. S.A. z siedzibą w W.
W świetle ww. ustaleń kontrolujący stwierdzili nieprawidłowości polegające na
doborze nieodpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, w następstwie nieprawidłowo przeprowadzonej analizy ryzyka, oraz braku regularnego testowania, mierzenia i oceniania skuteczności środków mających zapewnić bezpieczeństwo przetwarzania.
W związku z powyższym, Prezes UODO w dniu (…) 2022 r. wszczął z urzędu postępowanie administracyjne, w zakresie możliwości naruszenia przez Spółkę, jako administratora, obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 (znak: ……………..).
Spółka, pismem z dnia (…) 2022 r. ustosunkowała się do zarzutów Prezesa UODO w zakresie stwierdzonych naruszeń przepisów o ochronie danych osobowych, stanowiących przedmiot postępowania administracyjnego, wymienionych w zawiadomieniu o wszczęciu postępowania. Spółka wskazała, że:
1. W jej ocenie obowiązujące przepisy nie przewidują wprost zamkniętego, enumeratywnego katalogu środków technicznych i organizacyjnych, jakie powinien zastosować administrator, zaś ocena ich adekwatności wymaga dokładnej analizy technicznej oraz uwzględnienia obowiązujących standardów dla danego sektora lub gałęzi gospodarki. Spółka podniosła, że zawiadomienie o wszczęciu postępowania w niniejszej sprawie nie odnosi się do jakichkolwiek standardów, wytycznych lub wymogów wydanych przez właściwe organy, stowarzyszenia lub grupy robocze i „powiela ono ustalenia dokonane w „Raporcie (…)”, sporządzonym na zlecenie Spółki po wystąpieniu naruszenia ochrony danych osobowych;
2. Ww. raport stanowi analizę informatyczną naruszenia, wskazującą potencjalne wektory ataku, ale nie przesądzającą jednoznacznie, który z nich został faktycznie wykorzystany. W ocenie Spółki, analiza wynikająca z ww. raportu nie uwzględnia kwestii związanych z ochroną danych osobowych, np. stopnia adekwatności do ryzyka oraz nie odnosi się w wyczerpujący sposób do środków organizacyjnych, np. właściwych procedur, działań faktycznych i bieżących prowadzonych przez Spółkę;
3. Spełnia wymogi normy ISO/IEC 27001:2013 i podlega regularnym audytom w jej zakresie, zaś informacje w tym zakresie, certyfikat oraz raport z 2020 r. został przekazany w trakcie kontroli Prezesa UODO. W ocenie Spółki, przyjęcie wniosków ww. analizy informatycznej („Raportu (…)”) przez Prezesa UODO, tj. przyjęcie faktu naruszenia przepisów rozporządzenia 2016/679 bez poczynienia „dodatkowych ustaleń”, przeprowadzenia własnej analizy lub oględzin przez Prezesa UODO, w ocenie Spółki prowadzi do „błędnych wniosków w zakresie istotności uchybień dla przedmiotu sprawy”. Spółka wskazała, że jej zdaniem wskazane uchybienia, biorąc pod uwagę standardy branżowe istniejące w momencie naruszenia, tj. brak wiążących wymogów prawnych dla sektora medycznego oraz konieczność zachowania proporcjonalności podjętych kroków do dostępnych zasobów budżetowych, również w kontekście działań niezbędnych z organizacją pracy zdalnej dla części personelu ze względu na okres pandemiczny, nie odbiegały w istotnym stopniu od poziomu zabezpieczeń w typowych zakładach leczniczych.
Nie można jednak zgodzić się z twierdzeniem Spółki podniesionym w ww. piśmie, jakoby naruszenie ochrony danych osobowych, w związku z którym Prezes UODO przeprowadził kontrolę, było incydentem, którego okoliczności faktyczne są podobne w takim stopniu do okoliczności zdarzenia, będącego przedmiotem decyzji Prezesa UODO w sprawie o sygnaturze (…) z dnia (…) 2021 r., że uzasadniałoby to zastosowanie wobec Spółki takiej samej sankcji, jak w ww. sprawie. Pomimo, że organ nadzorczy w sprawie o sygn. (…) także stwierdził nieprawidłowości w zakresie środków technicznych i organizacyjnych stosowanych przez stronę postępowania (błędne, nierzetelne sporządzenie analizy ryzyka, korzystanie z systemów operacyjnych oraz systemów informatycznych służących do przetwarzania danych osobowych bez wsparcia technicznego przez ich producenta, brak wbudowanych oraz aktualizowanych zabezpieczeń zwiększający ryzyko infekcji za pomocą złośliwego oprogramowania oraz ataków poprzez powstawanie nowych luk w zabezpieczeniach, nieregularne testowanie, mierzenie i ocenianie środków zabezpieczających), to w przywołanej sprawie nie wystąpiła utrata poufności danych tak, jak w niniejszej sprawie.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (ust. 1). Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (ust. 2).
Ponadto, w myśl art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Z kolei w świetle art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Art. 5 ust. 2 rozporządzenia 2016/679 stanowi zasadę rozliczalności, wedle której administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie.
Z przytoczonych powyżej przepisów wynika, że podejście oparte na zarządzaniu ochroną danych osobowych od strony ryzyka (tzw. risk-based approach) stanowi fundamentalną koncepcję stojącą u podstaw rozporządzenia 2016/679. Oznacza to, iż koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że zastosowane rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka oraz uwzględniają charakter danej organizacji i wykorzystywanych mechanizmów przetwarzania danych. Konsekwencją takiej orientacji jest rezygnacja z narzucanych przez prawodawcę list wymagań dotyczących bezpieczeństwa na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa, a ich ustalenie powinno dokonać się w procesie dwuetapowym. W pierwszej kolejności konieczne jest zatem określenie przez administratora poziomu ryzyka naruszenia praw lub wolności osób fizycznych, jakie wiąże się z przetwarzaniem ich danych osobowych, następnie zaś ustalenie, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku oraz osiągnąć stan zgodności z przepisami rozporządzenia 2016/679.
Zgodnie z motywem 75 preambuły do rozporządzenia 2016/679, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osób wymagających szczególnej opieki, w szczególności dzieci oraz jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.
Prawodawca unijny sygnalizuje także poprzez motyw 76 preambuły do rozporządzenia 2016/679, że prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.
Motyw 83 preambuły do rozporządzenia 2016/679 wskazuje natomiast, iż w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z rozporządzeniem 2016/679 administrator powinien oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
W nawiązaniu do wyżej powołanych przepisów i motywów rozporządzenia 2016/679, a także biorąc pod uwagę stwierdzony przez Prezesa UODO w toku kontroli oraz postępowania administracyjnego stan faktyczny, należy stwierdzić, że Spółka nieprawidłowo przeprowadziła analizę ryzyka z dnia (…) 2021 r. (dokument z dnia (…) 2021 r. o nazwie „(…)”), tj. w rubrykach „Wykorzystanie (…)” (kategoria zagrożenia „IT” oraz „Wystąpienie (…)” (kategoria zagrożenia „IT”) określono ryzyka związane z przetwarzaniem danych w systemach (zasobach) informatycznych A. Spółka Akcyjna na zbyt niskim, nieadekwatnym poziomie w stosunku do stopnia zagrożenia. W pozycji zatytułowanej „Wykorzystanie (…)” (kategoria zagrożenia „IT”) ww. analizy ryzyka, określono poziom ryzyka przy większości czynności i celów przetwarzania jako „małe” (przy czynności/celu przetwarzania „Dane (…)” jako „minimalne”). Ponadto, w punkcie „Wystąpienie (…)” (kategoria zagrożenia „IT”) określono poziom ryzyka dla wszystkich czynności i celów przetwarzania danych jako „średnie”. Innymi słowy, Spółka nie doszacowała w ww. dokumencie ryzyka związanego z korzystaniem przez nią z oprogramowania bez wsparcia producenta, tj. m.in. jego aktualizacji, oraz ryzyka związanego z błędną konfiguracją domeny. Ryzyko określono bowiem jako „średnie”, przy czym uczyniono to pomimo braku w Spółce szczegółowej procedury testowania, mierzenia i oceniania skuteczności środków zabezpieczających. Brak takiej procedury sam w sobie powodował niemożność regularnego testowania, mierzenia i oceniania środków służących ochronie danych (brak ww. regularności potwierdzono w toku kontroli), a w rezultacie uniemożliwiał prawidłowe sporządzenie analizy ryzyka z uwagi na niemożność pełnego określenia i oszacowania ryzyk związanych z przetwarzaniem danych osobowych przy wykorzystaniu systemów informatycznych. Ponadto, Spółka nie uwzględniła w analizie ryzyka w należytym stopniu ryzyka wiążącego się z przetwarzaniem, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, tj. Spółka nie uwzględniła w rzeczonym dokumencie ryzyka dotyczącego ustawienia zbyt słabego hasła dla użytkowników systemu informatycznego Spółki (hasło do (…) – nieuwzględnienie takiej kategorii w analizie), a także ryzyka związanego z nieprzeprowadzaniem regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (nie uwzględniono takiej kategorii w analizie).
Co prawda, w dokumencie „(…)” z dnia (…) 2021 r. uwzględniono zagrożenie nazwane ogólnie „Błędna (…)” (poziom ryzyka tego zagrożenia Spółka oceniła jako „średni”), jednak nie można, zdaniem Prezesa UODO, jednoznacznie uznać, że pod ww. pojęciem kryje się również kwestia ustawienia haseł dostępowych o odpowiedniej sile zabezpieczenia. Należy przy tym stwierdzić, że poziom ryzyka oszacowany przez Spółkę jako „średni” (a nawet „mały” w odniesieniu do procesu przetwarzania „Pracownicy (…)”) w odniesieniu do ww. zagrożenia, należy ocenić, podobnie jak w pozostałych ww. przypadkach, jako zbyt niski, biorąc pod uwagę stwierdzone w toku kontroli UODO faktycznie zaistniałe błędy w ustawieniach sprzętu informatycznego Spółki, a także doświadczenie wynikające z okoliczności wystąpienia naruszenia ochrony danych przed sporządzeniem przedmiotowej analizy ryzyka z dnia (…) 2021 r.
Należy dodać, że w pozycji zatytułowanej „Wykorzystanie systemów informatycznych bez wsparcia” (kategoria zagrożenia „IT”) ww. analizy ryzyka (dokument z dnia (…) 2021 r. o nazwie „(…)”), nie tylko określono poziom ryzyka przy większości czynności i celów przetwarzania jako „małe” (przy czynności/celu przetwarzania „Dane badawcze-świadczenia weterynaryjne” jako „minimalne”), ale dodatkowo oceniono, że w przypadku ww. ryzyka „działania nie [są] wymagane”. Uczyniono tak pomimo tego, że wśród zidentyfikowanych potencjalnych wektorów ataku „ransomware”, opisanych w sporządzonym na zlecenie Spółki po wystąpieniu naruszenia ochrony danych dokumencie „Raport z analizy obecnego stanu bezpieczeństwa”, wymieniono przełamanie zabezpieczeń urządzeń brzegowych (…) spowodowane brakiem aktualizacji oprogramowania tych urządzeń. Ponadto, zagrożenie pod nazwą „Wystąpienie (…)” (kategoria zagrożenia „IT”) określono poziom ryzyka dla wszystkich czynności i celów przetwarzania danych jako „średnie”.
Z kolei przy zagrożeniu o nazwie „Błędna (…)”, poziom ryzyka Spółka oceniła jako „średni”, a nawet „mały” w odniesieniu do procesu przetwarzania „Pracownicy (…)”.
W nawiązaniu do powyższego należy zatem uznać, że określenie ryzyk związanych z przetwarzaniem danych w systemach (zasobach) informatycznych Spółki (w tym tych bez wsparcia producenta) nastąpiło na poziomie nieadekwatnym do poziomu zagrożenia. Innymi słowy, analiza ta nie została przeprowadzona w sposób, który dawałby Spółce, jako administratorowi, podstawę do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Ocena ta jest uzasadniona także tym, że oszacowania i określenia ww. poziomów ryzyka dokonano już po wystąpieniu naruszenia ochrony danych osobowych trwającego od (…) do (…) 2021 r., a więc zdarzenia, którego zaistnienie wyraźnie wskazywało na wysoki stopień wystąpienia ww. ryzyk, tym bardziej, że Spółka nie testowała regularnie skuteczności zabezpieczeń używanych do przetwarzania danych osobowych systemów informatycznych, ani nie wdrożyła – wbrew wymogom art. 32 ust. 1 i 2 rozporządzenia 2016/679 – procedury takiego testowania, przez co pozbawiła się istotnego środka służącego do miarodajnej oceny poziomu ww. ryzyk. Założenie przez Spółkę w takiej sytuacji, że ww. ryzyka są na poziomie małym lub średnim było, w ocenie Prezesa UODO, działaniem pozbawionym podstaw, tj. dokonanym w oparciu o pozorne i niezweryfikowane przesłanki.
Należy dodać, że naruszenie ww. przepisów rozporządzenia 2016/679 nastąpiło także z powodu nieustalenia przez Spółkę po wystąpieniu naruszenia ochrony danych przyczyny tego incydentu, tym samym Spółka nie była w stanie uwzględnić w analizie ryzyka z dnia (…) 2021 r. czynników, które wywołały ww. zdarzenie oraz miarodajnie określić poziom związanego z nimi ryzyka, a powyższe spowodowało z kolei niekompletność dokumentu z dnia (…) 2021 r. o nazwie „(…)”. Należy podkreślić, że nawet jeżeli wśród czynników ryzyka w opracowanej przez Spółkę analizie zostały hipotetycznie uwzględnione czynniki, które potencjalnie mogły spowodować wystąpienie naruszenia ochrony danych osobowych, to uwzględnienie to nastąpiło bez możliwości należytego oszacowania poziomów ryzyk. Brak świadomości Spółki w wyżej wymienionym zakresie (co do przyczyn incydentu) musi bowiem prowadzić do sytuacji, w której analiza ryzyka nie oddaje w pełni rzeczywistych czynników ryzyka oraz jego stopnia. Tym samym analiza ryzyka pozbawiona została kluczowych informacji pozwalających Spółce na świadome i planowe zminimalizowanie określonych ryzyk związanych z przetwarzaniem danych oraz na uniknięcie (lub co najmniej ograniczenie) wystąpienia naruszeń ochrony danych w przyszłości.
Należy podnieść, że naruszenie przez Spółkę art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 wyniknęło również z niewłaściwego przeprowadzenia analizy ryzyka przed dniem wystąpienia naruszenia ochrony danych (dokument „(…)” z dnia (…) 2020 r.). Jak wynika bowiem z treści tego dokumentu, pod pozycjami określającymi zagrożenia o nazwach „Wystąpienie (…)” oraz „Błędna (…)”, poziom ryzyka oszacowano jako „średnie”. Określenie ryzyka na ww. poziomie przed zaistnieniem naruszenia ochrony danych osobowych, w ocenie Prezesa UODO było nieadekwatne do rzeczywistego stanu rzeczy, biorąc pod uwagę fakt wystąpienia naruszenia ochrony danych osobowych, a także ustalenia kontroli co do przebiegu ww. incydentu oraz nieprawidłowości w zakresie zastosowanych przez Spółkę środków organizacyjnych i technicznych mających służyć bezpieczeństwu przetwarzanych danych. Niezasługujące na aprobatę jest również oszacowanie ryzyka jako „małe”, a nawet „minimalne” (np. w procesie przetwarzania „Przetwarzanie (…)”) w pozycji „Wykorzystanie (…)”. Powyższe działanie należy uznać za błędne i niezgodne z przepisami rozporządzenia 2016/679, biorąc pod uwagę fakt, że wsparcie przez producenta oprogramowania służącego do przetwarzania danych uznaje się powszechnie w branży informatycznej za podstawową zasadę bezpieczeństwa. Powyższe znajduje swoje potwierdzenie także w obowiązujących normach technicznych[1], a także w wytycznych Europejskiej Rady Ochrony Danych (dalej: EROD)[2].
Należy zatem stwierdzić, że założenie przed wystąpieniem naruszenia ochrony danych „małego” poziomu ryzyka materializacji zagrożenia pod nazwą „Wykorzystanie (…)” przy większości czynności i celów przetwarzania, było działaniem pozbawionym realnych, mających oparcie w stanie faktycznym, warunkach. Ponadto, jak wskazano wyżej, stało ono w sprzeczności z powszechnie przyjętymi standardami w branży informatycznej, a także wytycznymi EROD.
Utrzymywanie i korzystanie z systemów informatycznych, które utraciły wsparcie producenta, oraz urządzeń wyposażonych w niewspierane oprogramowanie zawsze stanowi zagrożenie dla bezpieczeństwa przetwarzanych przy ich użyciu danych, bowiem w ten sposób administrator świadomie pozbawia się możliwości bieżącego reagowania na aktualne zagrożenia informatyczne, mające bezpośredni wpływ na bezpieczeństwo danych. Skoro zatem Spółka jako administrator zdecydowała się na używanie takich urządzeń, a ponadto w wyniku przeprowadzonej analizy ryzyka zarówno przed (analiza z dnia 30 marca 2020 r.), jak i po wystąpieniu naruszenia ochrony danych osobowych (analiza z dnia 2 sierpnia 2021 r.) określiła poziom ryzyka tego zagrożenia jako „małe”, uznać należy, że działanie takie, w szczególności wobec faktu wystąpienia ww. naruszenia, było niewspółmierne do poziomu zagrożenia oraz zasad bezpieczeństwa informatycznego, powszechnie stosowanych w dziedzinie informatyki.
W kwestii zarzutu wobec Spółki odnośnie do niewłaściwego przeprowadzenia analizy ryzyka, w tym określenia stopnia niektórych ryzyk na zbyt niskim poziomie, Spółka wyjaśniła w piśmie z dnia (…) 2022 r., że „Organ odnosi się do analiz ryzyka dokonanych z uwzględnieniem metodologii i poziomów ryzyka przyjętych w organizacji Administratora (przekazana Organowi procedura (…))”. Spółka wskazuje także, że „wyższa ocena wskazana przez Organ, w ramach metodologii Administratora, wymagałaby przyjęcia prawdopodobieństwa „(…)", co oznacza, że ryzyko jest „bardzo prawdopodobne" — oczekuje się, ze zagrożenia wystąpią w większości przypadków lub okoliczności oraz istnieje pełna wiedza dotycząca wystąpień w przeszłości, skutków oraz przyczyn. (…) na moment sporządzania analizy (tj. (…) 2021 r.) nie można było przyjąć, że wystąpienie zdarzenia (kolejnego zainfekowania systemów) jest bardzo prawdopodobne. Było ono cały czas realne, ale nie bardzo prawdopodobne. Sam fakt istnienia ewentualnych luk w zabezpieczeniach, w stosunku do których rozpoczęto działania naprawcze, nie może przesądzać wysokiego prawdopodobieństwa zewnętrznego ataku, zależnego od działań podmiotów trzecich oraz znajomości lub identyfikacji ww. luk.”
Z wyżej zacytowaną argumentacją Spółki nie można się zgodzić. Z uwagi na zaistnienie naruszenia ochrony danych osobowych, jego „mechanizm”, skalę i charakter, zakwalifikowanie przez Spółkę poziomu ryzyka przy większości czynności i celów przetwarzania jako „małe” (przy czynności/celu przetwarzania „Dane (…)” jako „minimalne”), a także określenie w punkcie „Wystąpienie (…)” (kategoria zagrożenia „IT”) poziomu ryzyka dla wszystkich czynności i celów przetwarzania danych jako „średnie”, było, w ocenie Prezesa UODO, nieadekwatne do rzeczywistego stanu rzeczy. Powyższe z kolei w konsekwencji doprowadziło do zastosowania niewystarczających środków organizacyjnych i technicznych celem zapewnienia bezpieczeństwa danych osobowych.
Jak już wskazano wyżej, Spółka nie doszacowała znaczenia i skali naruszenia ochrony danych osobowych, które powinno dla niej, przy dokonywaniu kolejnej analizy ryzyka, stanowić miarodajny punkt odniesienia, a nadto najwyraźniej albo nie poprzedziła dokonania ww. analizy stosownymi czynnościami przeglądu stanu aktualizacji i konfiguracji swojego systemu informatycznego albo pomimo ich przeprowadzenia zignorowała ich rezultat, skoro określiła stopień ryzyka na „małym” i „średnim” poziomie, pomimo iż w toku kontroli stwierdzone zostały takie uchybienia, jak np. brak aktualizacji oprogramowania. Powyższe wskazuje zatem, że ocena ryzyka została dokonana nierzetelnie, tj. bez należytego uwzględnienia rzeczywistego stanu bezpieczeństwa systemów informatycznych Spółki, a przede wszystkim bez uwzględnienia elementu doświadczenia życiowego, z którym wiąże się świadomość Spółki wystąpienia podobnego zdarzenia w przeszłości, tj. naruszenia ochrony danych osobowych (w odniesieniu do analizy ryzyka zawartej w dokumencie „(…)” z dnia (…) 2021 r., tj. po wystąpieniu naruszenia ochrony danych osobowych).
Należy przy tym raz jeszcze wskazać, że w dokumencie oceny poziomu ryzyk dla poszczególnych procesów przetwarzania nie wzięto należycie pod uwagę stopnia ryzyka związanego z korzystaniem przez Spółkę z oprogramowania bez wsparcia producenta, tj. m.in. jego aktualizacji, ryzyka związanego z błędną konfiguracją domeny, ryzyka dotyczącego ustawienia zbyt słabego hasła dla użytkowników systemu informatycznego Spółki (hasło do (…)), a także ryzyka związanego z nieprzeprowadzeniem regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Zdarzenia związane z ww. ryzykami wystąpiły w ramach zgłoszonego Prezesowi UODO przed kontrolą naruszenia ochrony danych osobowych, zatem Spółka, pomijając już sam fakt zignorowania przez nią aktualnych standardów technicznych bezpieczeństwa informacji i danych osobowych przetwarzanych w systemach informatycznych, nie może twierdzić na swoje usprawiedliwienie, że, przykładowo, przetwarzanie danych w nieaktualizowanych lub pozbawionych wsparcia systemach informatycznych nie wiązało się z wysokimi ryzykami materializacji tych zagrożeń, skoro sama poziomu takich ryzyk nie doszacowała dostatecznie przy doborze środków technicznych i organizacyjnych albo w ogóle ich nie uwzględniła (np. w przypadku braku wdrożenia aktualizacji oprogramowania z powodu zaniechania popełnionego przez pracowników), czego dowodem jest treść przedstawionego przez nią w toku kontroli dokumentu z dnia (…) 2021 r. o nazwie „(…)”.
Co istotne i co należy ponownie podkreślić, ww. dokument został opracowany już po wystąpieniu naruszenia ochrony danych osobowych, a więc w czasie, w którym Spółce znane były ryzyka i zagrożenia związane z wykorzystaniem do przetwarzania danych osobowych systemu informatycznego, a ww. incydent powinien być dla niej powodem do gruntownego przeanalizowania wszystkich czynników związanych z działaniem jej systemu informatycznego, a więc także takich kwestii, jak brak wsparcia producenta w przypadku zainstalowanego w nim oprogramowania, niewłaściwa konfiguracja ustawień, itp. Biorąc zatem pod uwagę w szczególności szeroki zakres danych osobowych przetwarzanych przez Spółkę w zasobach dysków sieciowych funkcjonujących w jej systemie informatycznym, a także m.in. liczbę osób (…), których dane dotyczą i które zostały dotknięte skutkami naruszenia ochrony danych osobowych, w celu prawidłowego wywiązania się z obowiązków wynikających z przepisów rozporządzenia 2016/679, Spółka zobowiązana była do podjęcia działań gwarantujących właściwy poziom ochrony danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo ich przetwarzania, a także do regularnego testowania, mierzenia i oceniania skuteczności ww. środków. Decyzje o charakterze, rodzajach czy intensywności takich działań powinny zaś znaleźć oparcie we wnioskach wynikających z analizy ryzyka przeprowadzonej dla dokonywanych operacji przetwarzania, uwzględniającej m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych, a także doświadczenie wynikające z zaistniałego przed dokonaniem analizy ryzyka z dnia (…) 2021 r. naruszenia ochrony danych osobowych.
Tymczasem ze zgromadzonego materiału dowodowego wynika, że Spółka zarządzała zasobami informatycznymi znajdującymi się poza medycznym systemem informatycznym (…), w których przetwarzała dane osobowe swoich pacjentów i pracowników, nie dokonując prawidłowo analizy wiążącego się z tym ryzyka, nie testując regularnie systemów informatycznych i ich bezpieczeństwa, a także – w rezultacie powyższego – nie stosując adekwatnych dla ochrony danych środków technicznych i organizacyjnych. W ocenie Prezesa UODO, wdrożenie przez Spółkę środków technicznych przy jednoczesnym niedoszacowaniu ryzyka wiążącego się z przetwarzaniem danych przy użyciu błędnie skonfigurowanego systemu informatycznego, wyposażonego w oprogramowanie pozbawione wsparcia producenta i jego aktualizacji (a także nietestowanego, mierzonego i ocenianego regularnie pod względem skuteczności zabezpieczenia danych), nie dawało odpowiedniej gwarancji, że środki te będą odpowiednie, adekwatne i że w sposób skuteczny zminimalizują ryzyko naruszenia praw lub wolności osób, których dane dotyczą. Powyższe stanowisko organu nadzorczego znajduje także odzwierciedlenie w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 sierpnia 2020 r. (sygn. II SA/Wa 2826/19, Legalis nr 2480051), w którym to Sąd stwierdził, że art. 32 ust. 1 rozporządzenia 2016/679 „(…) nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością”. Jednocześnie Sąd podkreślił, że „[p]rzyjęte środki powinny mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym ryzyko niskie, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka”. Z kolei w wyrokach z dnia 13 maja 2021 r., sygn. II SA/Wa 2129/20, oraz z dnia 5 października 2023 r., sygn. akt II SA/Wa 502/23, Wojewódzki Sąd Administracyjny w Warszawie wskazał, że „Administrator danych powinien (…) przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”.
W tym ostatnim wyroku Sąd podkreślił również, że „organ nadzorczy nie jest zobowiązany do wskazywania Administratorowi rozwiązań technicznych i organizacyjnych, które powinien on wdrożyć, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. To zadaniem Administratora jest wprowadzenie tych środków, a następnie - jeżeli pojawi się taka konieczność - wykazanie, że przestrzega on zasad przetwarzania danych osobowych określonych w rozporządzeniu 2016/679, zgodnie z zasadą rozliczalności (art. 5 ust. 2 ww. rozporządzenia)”.
Wobec niewłaściwego przeprowadzenia analizy ryzyka wiążącego się z przetwarzaniem, w tym nieuwzględnienia w tym procesie w należytym stopniu ww. ryzyk związanych z korzystaniem z oprogramowania bez wsparcia producenta, jego aktualizacji, błędną konfiguracją domeny, ustawieniem zbyt słabego hasła dla użytkowników systemu informatycznego Spółki (hasło do (…)) oraz nieprzeprowadzaniem regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, Spółka nie była zdolna wykazać, że wdrażając środki techniczne i organizacyjne mające zapewnić zgodność przetwarzania z rozporządzeniem 2016/679, a także oceniając, czy stopień bezpieczeństwa danych osobowych jest odpowiedni, rzeczywiście uwzględniła kryteria opisane w art. 32 ust. 1 rozporządzenia 2016/679, w tym ryzyko naruszenia praw lub wolności osób fizycznych, oraz ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, zgodnie z obowiązkiem wynikającym z art. 32 ust. 2 rozporządzenia 2016/679.
Jak podnoszono także w literaturze przedmiotu (P. Barta, P. Litwiński, M. Kawecki, Komentarz do art. 5, w: Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, Legalis 2021), „[r]ozliczalność, czyli w szczególności obowiązek wykazania zgodności z przepisami prawa, składa się w opinii Grupy Roboczej Art. 29 [Opinia z 13.7.2010 r. 3/2010 w sprawie zasady rozliczalności (WP 173), (…)] z następujących obowiązków cząstkowych:
1) obowiązek wdrożenia środków (w tym wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania;
2) obowiązek sporządzenia dokumentacji, która wskazuje osobom, których dane dotyczą, oraz organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych.
(…) W tym sensie rozliczalność powinna być więc rozumiana jako pewna właściwość czynności przetwarzania, pozwalająca na dowodzenie zgodności z przepisami prawa operacji na danych osobowych, w szczególności za pomocą dokumentacji ochrony danych osobowych. Konsekwencją zasady rozliczalności jest to, że w razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym administrator powinien być w stanie przedstawić dowody na to, że przestrzega przepisów o ochronie danych osobowych. Dowodami takimi mogą być przede wszystkim dokumenty opisujące zasady przetwarzania i ochrony danych osobowych”.
W związku z powyższym zaznaczyć należy, że funkcjonowanie jakiejkolwiek organizacji, zwłaszcza w sferze ochrony danych osobowych, nie może opierać się na nierzetelnych bądź nierealnych podstawach, zaś lekceważenie wartości podstawowych informacji, które każdy administrator powinien regularnie pozyskiwać w przedmiocie stanu stosowanych przez niego środków organizacyjnych i technicznych, w szczególności w wyniku ich testowania, mierzenia i oceniania, wywołać może fałszywe poczucie bezpieczeństwa, prowadzące do niepodjęcia przez administratora działań, do których jest zobligowany, co z kolei skutkować może, jak w przedmiotowym przypadku, naruszeniem ochrony danych osobowych, powodującym – ze względu na zakres danych osobowych podlegających naruszeniu – wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Wykazane wyżej nieprawidłowe przeprowadzenie analizy ryzyka skutkowało niezastosowaniem odpowiednich środków technicznych, służących bezpieczeństwu przetwarzania danych osobowych. Analiza ryzyka ma podstawowe znaczenie dla właściwego doboru ww. środków, bowiem określenie rodzajów ryzyk oraz ich poziomów determinuje zastosowanie właściwych w sytuacji konkretnego administratora rozwiązań.
W toku kontroli wykazano następujące nieprawidłowości w zastosowanych przez Spółkę, jako administratora, środkach technicznych:
a) brak aktualizacji oprogramowania urządzeń brzegowych, tj. na dzień wystąpienia naruszenia ochrony danych osobowych istniał „exploit” pozwalający na przejęcie urządzeń brzegowych,
b) włączony dostęp administracyjny SSH i https na zewnętrznych interfejsach urządzeń brzegowych, który mógł doprowadzić do przełamania zabezpieczeń wskazanych wyżej urządzeń i w dalszej kolejności do uzyskania dostępu do infrastruktury teleinformatycznej Spółki i przetwarzanych w niej danych osobowych,
c) błędna konfiguracja domeny i stosowanie zbyt słabych haseł przez użytkowników, co zwiększało możliwość nieuprawnionego pozyskania danych autoryzacyjnych (hasła) przez osoby trzecie; minimalna długość hasła do (…) ustawiona przez Spółkę była na poziomie tylko (…) znaków, co nie odpowiadało aktualnym praktykom stosowanym w branży informatycznej (standard na dzień kontroli wynosił 12 znaków)[3],
d) błędna konfiguracja domeny Spółki oraz zainstalowanie oprogramowania narzędziowego na kontrolerze domeny, które po przejęciu przez atakującego mogłoby ułatwić mu wykonywanie dalszych operacji, np. przejęcia konta użytkownika, zainstalowanie oprogramowania umożliwiającego uzyskanie dostępu do kolejnych zasobów informatycznych,
e) zainstalowanie oprogramowania narzędziowego na kontrolerze domeny Spółki, które po przejęciu przez atakującego mogłoby ułatwić mu wykonywanie dalszych operacji w infrastrukturze teleinformatycznej Spółki,
f) wykorzystywanie serwerów z systemem (…), które nie miały aktualnego wsparcia technicznego producenta (przez ok. 1 rok do momentu wystąpienia incydentu; wsparcie zakończyło się w (…) 2020 r.), a tym samym zwiększenie ryzyka zaistnienia i wykorzystania przez osoby nieuprawnione pojawiających się podatności w systemie informatycznym,
g) nieprzeprowadzanie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, w wyniku czego zwiększyło się ryzyko wystąpienia ww. nieprawidłowości i brak możliwości zidentyfikowania ich występowania przez Spółkę przed wystąpieniem naruszenia ochrony danych osobowych.
Zidentyfikowane podatności krytyczne, takie jak: brak aktualizacji oprogramowania urządzeń brzegowych, konfiguracja (…) niezgodna z najlepszymi praktykami stosowanymi na dzień kontroli w branży informatycznej i wytycznymi EROD (wskazanymi wyżej), niewspierane systemy operacyjne na kontrolerach domeny i stacjach roboczych oraz zainstalowanie oprogramowania narzędziowego na kontrolerze domeny, zostały opisane w „Raporcie (…)”, sporządzonym w Spółce już po wystąpieniu naruszenia ochrony danych osobowych. Powyższe stanowi dowód na to, że Spółka na dzień kontroli miała świadomość występowania ww. nieprawidłowości, a mimo to nie przedsięwzięła działań mających na celu ich wyeliminowanie. Ponadto, naruszenie ww. przepisów rozporządzenia 2016/679 wynikało z nieprzeprowadzania przez Spółkę regularnie testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych. W wyroku z dnia 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22, Wojewódzki Sąd Administracyjny w Warszawie wskazał, że „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO).” Podobnie Sąd ten wypowiedział się w wyroku z dnia 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23.
Podkreślenia wymaga również kwestia, iż ww. testowanie, mierzenie i ocenianie środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także udokumentowanie tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679). Spółka nie wykazała w toku kontroli ani w ramach postępowania administracyjnego, że przeprowadzała ww. czynności regularnie. Jedynym przejawem testowania, mierzenia i oceniania w zakresie środków technicznych stosowanych przez Spółkę, były czynności przeprowadzone w Spółce, którymi poprzedzone zostało uzyskanie przez nią certyfikatu w zakresie normy ISO/IEC 27001:2013.
Należy jednak podnieść, że ww. czynności miały charakter incydentalny i jednorazowy, bowiem zostały przeprowadzone jedynie w związku z recertyfikacją związaną z normą ISO/IEC 27001:2013. Przez regularność zaś należy rozumieć sytuację, w której ww. czynności byłyby przeprowadzane w określonych odstępach czasu, niepodlegających przypadkowości, ale determinowanych przez przyjęte przez Spółkę zasady dokonywania testów, a więc także ich częstotliwości, opracowane z uwzględnieniem skali, charakteru i sposobu przetwarzania danych. Spółka nie opracowała ww. zasad ani nie przeprowadzała w praktyce testowania w regularny sposób.
Ustosunkowując się do twierdzeń Spółki, zawartych w pismach z dnia (…) 2022 r. oraz (…) 2023 r. skierowanych do Prezesa UODO po kontroli, stwierdzić należy, że nie zawierają argumentów, które zasługują na uwzględnienie przy rozpatrywaniu przedmiotowej sprawy i które przeczyłyby wnioskom wyciągniętym na podstawie zgromadzonego materiału dowodowego. Pismo z dnia (…) 2022 r. zawiera błędną tezę, iż Prezes UODO, wszczynając postępowanie administracyjne wobec Spółki i wskazując na naruszenie przepisów rozporządzenia 2016/679 w piśmie z dnia (…) 2022 r. (znak: (…)), kierował się głównie, a nawet jedynie, treścią sporządzonego na jej zlecenie po wystąpieniu naruszenia ochrony danych osobowych „Raportu (…)”.
Wobec powyższego należy stwierdzić, że ww. dokument, co prawda, został przez Prezesa UODO wzięty pod uwagę przy rozpatrywaniu niniejszej sprawy, niemniej jednak wnioski pokontrolne oraz postawione zarzuty wobec Spółki zostały sformułowane przede wszystkim na podstawie obowiązujących przepisów prawa oraz oceny ustalonego przez kontrolujących stanu faktycznego opisanego w protokole kontroli, wynikającego z pozyskanego w toku kontroli materiału dowodowego, a także na podstawie aktualnie przyjętych i powszechnie znanych w branży informatycznej podstawowych standardów bezpieczeństwa danych, o czym szerzej w dalszej części decyzji. Należy również podnieść, że zarzuty postawione Spółce przez Prezesa UODO w przedmiotowym postępowaniu, wbrew sugestii Spółki, nie przesądzają o bezpośredniej przyczynie wystąpienia naruszenia ochrony danych. Nie zmienia to jednak postaci rzeczy, iż kontrola Prezesa UODO wykazała szereg naruszeń przepisów rozporządzenia 2016/679 popełnionych przez Spółkę, niezależnie od faktu, czy miały one bezpośredni wpływ na wystąpienie naruszenia ochrony danych osobowych, czy też nie.
W wyroku z dnia 9 lutego 2023 r. (sygn. III OSK 3945/21) Naczelny Sąd Administracyjny w jego uzasadnieniu wskazał, że „w prawie administracyjnym jednostka ponosi odpowiedzialność za delikt administracyjny, a nie za czyn zawiniony, polegający na zachowaniu albo zaniechaniu. Odpowiedzialność ta ma charakter obiektywny, a nie subiektywny. Delikt administracyjny może w związku z tym stanowić pewne działanie, ale także pewien obiektywnie istniejący stan rzeczy, za który odpowiedzialność ponosi jednostka. Trybunał Konstytucyjny podkreśla w swoim orzecznictwie, że w odniesieniu do deliktów administracyjnych subsumcja stanu faktycznego sprowadza się do ustalenia, czy określone działanie wyczerpało znamiona wskazane w ustawie (wyrok TK z 14.10.2009 r., Kp 4/09, OTK-A 2009, nr 9, poz. 134). W takim stanie rzeczy delikt administracyjny nie musi w ogóle stanowić czynu, i tym bardziej nie jest wymagane określenie w rozstrzygnięciu decyzji deliktu administracyjnego, za który strona ponosi odpowiedzialność prawną”. W ww. wyroku Naczelny Sąd Administracyjny wskazał także, że „sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 RODO podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa. Karze nie podlega jednostka za nielegalne działanie osoby trzeciej (np. hakera), polegające na nieuprawnionym dostępie do danych przezeń przetwarzanych, a za dopuszczenie do tego dostępu w związku z nieodpowiednim poziomem stosowanych zabezpieczeń. O naruszeniu powołanego przepisu nie przesądza sama okoliczność nieuprawnionego dostępu do danych, ponieważ taki stan rzeczy jest potencjalnie możliwy do zaistnienia również przy dochowaniu najwyższego poziomu zabezpieczeń. Wykładnię tę wzmacnia treść motywu 76 RODO, w którym wskazuje się, że <<[r]yzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko>>”.
Twierdzenie przez Spółkę, że organ nadzorczy, formułując wobec niej zarzuty, nie powołał się na żadne standardy dotyczące branży informatycznej, jest chybione. Należy bowiem zauważyć, że, przykładowo, wymóg i zarazem obowiązek administratora danych zapewnienia bieżącego wsparcia w zakresie aktualizacji oprogramowania, np. urządzeń brzegowych oraz oprogramowania w postaci systemu (…) zainstalowanego na serwerach Spółki (wsparcie zakończyło się w (…) 2020 r., a więc znacznie przed terminem kontroli), należy do sfery powszechnie znanej wiedzy w branży informatycznej.
Wiedza w powyższym zakresie jest powszechnie znana nawet wśród szerokiej grupy nieprofesjonalnych użytkowników urządzeń informatycznych, np. w zakresie konieczności aktualizowania oprogramowania środowiskowego (Windows, Linux) na komputerach, w celu, między innymi, zainstalowania dodatkowych zabezpieczeń chroniących przed atakami hakerskimi itp. Trudno zatem przypuszczać, że ww. wiedzy nie mają specjaliści-informatycy zatrudnieni przez zinformatyzowany, profesjonalny, prowadzący działalność gospodarczą podmiot, jakim jest Spółka. Należy zatem podkreślić, że zapewnienie bieżącej aktualizacji oprogramowania mającego, jak wyżej wymienione, znaczenie dla bezpieczeństwa informatycznego, a w związku z tym, również dla bezpieczeństwa danych osobowych, jest podstawowym, niekwestionowanym i powszechnie znanym obowiązkiem administratora. Dowodem zlekceważenia ww. zagrożenia jest fakt uznania w kolejno przeprowadzanych przez Spółkę analizach ryzyka, że poziom ryzyka tego czynnika jest na „małym” poziomie.
Nie można przy tym uznać za wnoszący nowe okoliczności do sprawy argument Spółki, że w ww. zakresie brak jest obowiązujących standardów sankcjonowanych przez przepisy prawa i że nieprawidłowości wytknięte przez Prezesa UODO Spółce nie są wprost uwzględnione w zamkniętym, enumeratywnym katalogu środków technicznych i organizacyjnych, jakie powinien zastosować administrator. Standardy wymagające od administratora, między innymi, aktualizacji oprogramowania systemowego i zapewniającego bezpieczeństwo danych (antywirusowe, firewall itd.), jak wyżej wskazano, są powszechnie przyjęte w branży informatycznej i to do nich należy się odnieść w przedmiotowej sprawie. Dodatkowo, w zakresie obowiązku aktualizowania oprogramowania systemowego, takiego jak zainstalowany na serwerach Spółki system (…), w dniu wystąpienia naruszenia ochrony danych obowiązywała, przykładowo, norma PN-EN ISO/IEC 27002 Rozdz. 12.5.1 lit. a) „Instalacja oprogramowania w systemach produkcyjnych”. Norma ta jednoznacznie wskazuje na konieczność aktualizowania oprogramowania celem zapewnienia bezpieczeństwa informatycznego, a tym samym także danych osobowych. Powyższy wywód dotyczy w równym stopniu kwestii braku aktualizacji oprogramowania urządzeń brzegowych, używanych przez Spółkę w jej systemie informatycznym.
Należy przy tym zwrócić uwagę raz jeszcze na fakt, że Spółka w pozycji dokumentu „(…)” zatytułowanej „Wykorzystanie (…)” (kategoria zagrożenia „IT”), określiła poziom ryzyka przy większości czynności i celów przetwarzania jako „małe”, bezpodstawnie przesądzając w ten sposób, że aktualizacja oprogramowania ma dość marginalne znaczenie dla bezpieczeństwa jej systemu teleinformatycznego.
Podobnie należy ocenić pozostałe uchybienia Spółki w zakresie stosowanych środków technicznych (informatycznych), o których mowa w art. 24 ust. 1 i art. 32 ust. 1 rozporządzenia 2016/679, tj. włączony dostęp administracyjny SSH i https na zewnętrznych interfejsach urządzeń brzegowych, błędną konfigurację domeny i stosowanie zbyt słabych haseł przez użytkowników, co zwiększało możliwość nieuprawnionego pozyskania danych autoryzacyjnych (hasła) przez osoby trzecie. Minimalna długość hasła do (…) ustawiona przez Spółkę jako administratora na poziomie tylko (…) znaków, nie odpowiadała aktualnym praktykom stosowanym w branży informatycznej (standard na dzień kontroli wynosił 12 znaków). Należy podkreślić, że siła ustawionego przez Spółkę na dzień kontroli (i na dzień naruszenia ochrony danych osobowych) hasła, nie spełniała nawet wymogów określonych w bardzo odległym już czasie, bo jeszcze w 2004 r., tj. w uchylonym rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 nr 100 poz. 1024).
Hasło o sile przynajmniej 12 znaków było powszechnie przyjętym i stosowanym w sferze zabezpieczeń informatycznych standardem rynkowym na dzień kontroli Prezesa UODO. W ww. zakresie również dobór hasła (jego mocy) stosownie do stopnia zagrożenia przewiduje norma PN-EN ISO/IEC 27002 Rozdz. 9.4.3. „System zarządzania hasłami” lit. c).
W kontekście powyższego wywodu, należy odwołać się także do treści Wytycznych EROD 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętych 14 grudnia 2021 r. wersja 2.0. W rozdziale 2.5 „Środki organizacyjne i techniczne służące zapobieganiu skutkom ataków za pomocą oprogramowania szantażującego i ich łagodzeniu”, EROD sformułowała następujące zalecenia:
„48. Fakt, że atak za pomocą oprogramowania szantażującego mógł mieć miejsce, jest zwykle oznaką istnienia co najmniej jednej luki w systemie administratora. Dotyczy to również przypadków oprogramowania szantażującego, w których dane osobowe zostały zaszyfrowane, ale nie uległy eksfiltracji. Niezależnie od wyniku i konsekwencji ataku, nie sposób przecenić znaczenia kompleksowej oceny systemu bezpieczeństwa danych – ze szczególnym uwzględnieniem bezpieczeństwa informatycznego. Zidentyfikowane słabości i luki w zabezpieczeniach należy udokumentować i bezzwłocznie usunąć.
49. Zalecane środki:
(Lista poniższych środków nie jest w żadnym wypadku wyłączna ani wyczerpująca. Celem jest raczej przedstawienie pomysłów na zapobieganie atakom i możliwych rozwiązań. Każda czynność przetwarzania danych jest inna, dlatego administrator powinien podjąć decyzję, które środki najbardziej pasują do danej sytuacji.)
- aktualizowanie oprogramowania układowego, systemu operacyjnego i oprogramowania użytkowego na serwerach, komputerach klienckich, aktywnych składnikach sieci i wszelkich innych urządzeniach w tej samej sieci LAN (w tym urządzeniach Wi-Fi). Zapewnienie odpowiednich środków bezpieczeństwa informatycznego, upewnienie się, że są one skuteczne oraz ich regularne aktualizowanie w przypadku zmiany lub rozwoju procesów lub okoliczności. Obejmuje to prowadzenie szczegółowych dzienników, w których zapisywane są informacje o tym, jakie poprawki zastosowano w danym znaczniku czasu;
- projektowanie i organizowanie systemów przetwarzania i infrastruktury w celu segmentacji lub izolacji systemów danych i sieci, aby uniknąć rozprzestrzeniania się złośliwego oprogramowania wewnątrz organizacji i do systemów zewnętrznych;
- istnienie aktualnej, bezpiecznej i sprawdzonej procedury tworzenia kopii zapasowych. Nośniki do średnio- i długoterminowego tworzenia kopii zapasowych powinny być przechowywane oddzielnie od magazynu danych operacyjnych i poza zasięgiem osób trzecich, nawet w przypadku udanego ataku (np. codzienna przyrostowa kopia zapasowa i cotygodniowa pełna kopia zapasowa); posiadanie/uzyskanie odpowiedniego, aktualnego, skutecznego i zintegrowanego programu chroniącego przed złośliwym oprogramowaniem (…)”.
Należy mieć bowiem na uwadze, że administratorzy zobligowani są nie tylko do osiągnięcia zgodności z wytycznymi rozporządzenia 2016/679 poprzez jednorazowe wdrożenie technicznych i organizacyjnych środków bezpieczeństwa, ale także do zapewnienia ciągłości monitorowania skali zagrożeń oraz rozliczalności w zakresie poziomu i adekwatności wprowadzonych zabezpieczeń. Jak podniesiono w literaturze przedmiotu (P. Barta, P. Litwiński, M. Kawecki, Komentarz do art. 5, w: Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, Legalis 2021) „(…) obowiązek w zakresie zapewnienia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 ust. 1 [rozporządzenia 2016/679], ma charakter dynamiczny (…), gdyż ustawodawca unijny wymaga regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków dla zapewnienia bezpieczeństwa w stopniu, odpowiadającym ryzyku”.
Należy także podnieść, że organ nadzorczy w toku postępowania wziął pod uwagę fakt uzyskania przez Spółkę certyfikatu dotyczącego normy ISO/IEC 27001:2013, jednakże powyższe nie oznacza, że Spółka spełniła wymagania rozporządzenia 2016/679, skoro nie przedstawiła dowodów na prawidłowe przeprowadzenie analizy ryzyka oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, wskazując jedynie na jednorazowe dokonanie tych procesów w czasie prowadzenia audytu recertyfikacji. Powyższe zaniechania z kolei doprowadziły do niewłaściwego doboru środków organizacyjnych i technicznych służących do zapewnienia bezpieczeństwa danych przetwarzanych przez Spółkę.
Z przedstawionych przez Spółkę wyjaśnień w toku kontroli, jak i po jej przeprowadzeniu wynika, że działania zmierzające do zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania podjęła dopiero po wystąpieniu naruszenia ochrony danych osobowych, jakkolwiek w niewystarczającym stopniu. Administrator zobowiązany jest zaś do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych rozwiązań na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. W przedmiotowym stanie faktycznym trzeba zatem uznać, że Spółka nie wywiązywała się z ww. obowiązku.
Biorąc pod uwagę dokonane ustalenia należy także uznać, że brak regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych był następstwem niewdrożenia adekwatnych środków organizacyjnych, tj. nieuwzględnienia szczegółowych postanowień dotyczących regularnego testowania, mierzenia i oceniania zastosowanych środków technicznych i organizacyjnych w opracowanej i wdrożonej dokumentacji regulującej proces przetwarzania danych w A. Spółka Akcyjna. Spółka nie zastosowała odpowiednich środków organizacyjnych służących bezpieczeństwu przetwarzania danych osobowych, tj. nie uwzględniła szczegółowych postanowień dotyczących regularnego testowania, mierzenia i oceniania zastosowanych środków technicznych i organizacyjnych w opracowanej i wdrożonej dokumentacji regulującej proces przetwarzania danych w A. Spółka Akcyjna, a w szczególności w ust. (…) procedury o nazwie „Zarządzanie (…)”, zatytułowanym „Bezpieczeństwo (…)”, w tym także nie wdrożyła jako administrator odpowiednich środków organizacyjnych, aby zapewnić – uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia – stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W opracowanej i wdrożonej dokumentacji opisującej proces przetwarzania danych w Spółce nie zawarto szczegółowych postanowień dotyczących regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków technicznych i organizacyjnych.
Przykładowo, w ust. (…), a w szczególności w ust. (…) procedury o nazwie „Zarządzanie (…)”, zatytułowanym „Bezpieczeństwo (…)”, znajduje się postanowienie, zgodnie z którym Dział IT Spółki sprawuje nadzór nad sprzętem. Dotyczy ono m.in. kontroli zabezpieczeń systemu oraz kontroli oprogramowania (instalacja, deinstalacja i aktualizacja). W wyżej wymienionej procedurze nie ma natomiast uregulowań odnoszących się do konkretnych czynności składających się na kontrolę, częstotliwości, formy i sposobu ich przeprowadzenia, sposobu oraz formy sporządzenia i przechowywania raportów z ww. kontroli. Ponadto, stosowane przez Spółkę regulacje nie określały dostatecznie, które osoby są odpowiedzialne za przeprowadzenie kontroli, a nadto za interpretację raportów z kontroli oraz podejmowanie stosownych działań celem usunięcia ewentualnych nieprawidłowości stwierdzonych w toku ww. kontroli.
Należy zwrócić uwagę na fakt, że naruszenie art. 32 ust. 1 lit. d) rozporządzenia 2016/679 w związku z nieuwzględnieniem szczegółowych postanowień dotyczących regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków technicznych i organizacyjnych w opracowanej i wdrożonej dokumentacji regulującej proces przetwarzania danych w Spółce, a w szczególności w ust. (…) procedury o nazwie „Zarządzanie (…)”, zatytułowanym „Bezpieczeństwo (…)”, znajduje swoje odzwierciedlenie – wbrew twierdzeniu Spółki – w treści ww. przepisu.
Skoro bowiem regularne testowanie, mierzenie i ocenianie zastosowanych środków technicznych i organizacyjnych w Spółce, w świetle art. 32 ust. 1 lit. d) rozporządzenia 2016/679, ma zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności podmiotów danych w wyniku ich przetwarzania, to sposób, forma, częstotliwość lub terminy przeprowadzania ww. czynności powinny być skonkretyzowane w treści stosownych procedur i stosownie do wyników uzyskanych w przeprowadzonej analizie ryzyka. Ukonkretnieniu powinny być też poddane takie kwestie, jak sposób raportowania ww. czynności, przechowywania raportów, a także podejmowane na podstawie rzeczonych raportów działania zaradcze.
Innymi słowy, hasłowe i ogólnikowe uregulowanie kwestii testowania, mierzenia i oceniania środków technicznych i organizacyjnych w zatytułowanym „Bezpieczeństwo (…)” ust. (…) procedury o nazwie „Zarządzanie (…)”, bez uwzględnienia ww. kwestii szczegółowych, jest jedynie swego rodzaju ogólną deklaracją i zarazem powtórzeniem i tak obowiązującego Spółkę art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Jeżeli zatem wykonywanie ww. czynności ma być regularne i zarazem realnie wdrożone w działalności Spółki, to wdrożenie to wymaga proceduralnej konkretyzacji i uszczegółowienia w opisie metod, sposobu czy częstotliwości dokonywania tych czynności. Takiego uszczegółowienia i konkretyzacji zapewniającej regularność ww. czynności brak jest w ww. procedurze Spółki, co w rezultacie stanowi naruszenie art. 32 ust. 1 lit. d) rozporządzenia 2016/679, tym bardziej, że Spółka przetwarza dane na dużą skalę (co Spółka potwierdziła w wyjaśnieniach), a w zakresie przetwarzanych danych znajdują się również dane podlegające szczególnej ochronie, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679 (dotyczące zdrowia).
Co istotne, przywołane przez Spółkę w jej wyjaśnieniach po kontroli (pismo z dnia (…) 2022 r.) przepisy (…) Polityki (…) również nie zawierają należytej konkretyzacji ani uszczegółowienia procedur testowania, mierzenia i oceniania skuteczności zastosowanych środków technicznych i organizacyjnych. Treść ww. postanowień Polityki Bezpieczeństwa zawiera ogólnikowe, deklaratywne zobowiązania do przeprowadzania przedmiotowych czynności, bez wskazania ich technicznych szczegółów, takich jak terminy, metody, częstotliwość, przechowywanie raportów, itd. Stanowią one zatem nieznaczne skonkretyzowanie obowiązku sformułowanego w art. 32 ust. 1 lit. d) rozporządzenia 2016/679, jednak dalece niewystarczające, bowiem sprowadzające się jedynie do ogólnikowych stwierdzeń, że określone kwestie są kontrolowane lub nadzorowane, podejmowane są działania na rzecz zapewnienia bezpieczeństwa, itp.
Tak więc treści wskazanych przez Spółkę postanowień również nie można uznać za przejaw spełnienia wymogu art. 32 ust. 1 lit. d) rozporządzenia 2016/679 w zakresie obowiązku regularnego testowania, mierzenia i oceniania skuteczności stosowanych środków organizacyjnych i technicznych. Postanowienia zamieszczane w dokumentacji dotyczącej ochrony danych przetwarzanych przez administratora, pełniącej rolę de facto polityki ochrony danych wskazanej w art. 24 ust. 2 rozporządzenia 2016/679, nie mogą stanowić jedynie, swego rodzaju, kopii przepisów ww. rozporządzenia, bowiem inaczej stają się przez to w praktyce bezużyteczne. Celem europejskiego prawodawcy przy tworzeniu przepisów rozporządzenia 2016/679, a w szczególności art. 32 oraz art. 24, było nałożenie na administratorów obowiązku stosowania środków odpowiadających specyfice zachodzących u każdego z nich indywidualnie procesów przetwarzania. Powyższe determinuje zatem po stronie administratorów obowiązek takiego kształtowania treści stosowanych przez nich procedur składających się na politykę ochrony danych, aby były one dostosowane do zachodzących u tych administratorów czynności przetwarzania.
Skoro bowiem regularne testowanie, mierzenie i ocenianie zastosowanych środków technicznych i organizacyjnych w Spółce, w świetle art. 32 ust. 1 lit. d) rozporządzenia 2016/679, ma zapewnić stopień bezpieczeństwa odpowiadający m.in. ryzyku naruszenia praw lub wolności podmiotów danych w wyniku ich przetwarzania, to sposób, forma, częstotliwość lub terminy przeprowadzania ww. czynności powinny być skonkretyzowane w treści stosownych procedur i stosownie do wyników uzyskanych w przeprowadzonej analizie ryzyka. Ukonkretnieniu powinny być też poddane takie kwestie, jak sposób raportowania ww. czynności, przechowywania raportów, a także podejmowane na podstawie rzeczonych raportów działania zaradcze.
Jak wskazał Wojewódzki Sąd Administracyjny w wyroku z 21 października 2021 r. (sygn. akt: II SA/Wa 272/21), „Sąd zgadza się ze stanowiskiem Prezesa UODO (…), że dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające”.
Niewłaściwe przeprowadzenie analizy ryzyka skutkujące doborem nieodpowiednich środków bezpieczeństwa oraz brak regularnego testowania, mierzenia i oceniania przez Spółkę skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania wydatnie zwiększało ryzyko naruszenia praw lub wolności podmiotów danych, a nadto stanowiło naruszenie przez Spółkę spoczywających na niej obowiązków, wynikających z art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji również zasady integralności i poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.
Wraz z naruszeniem zasady integralności i poufności nastąpiło również naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. Jak bowiem wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 10 lutego 2021 r. (sygn. II SA/Wa 2378/20, Legalis nr 2579568), „(…) administrator danych jest odpowiedzialny za przestrzeganie wszystkich zasad przy przetwarzaniu danych osobowych (wymienionych w art. 5 ust. 1) i musi być w stanie wykazać ich przestrzeganie. Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię tę zinterpretował Wojewódzki Sądu Administracyjny w Warszawie z dnia 26 sierpnia 2020 r. (sygn. II SA/Wa 2826/19, Legalis nr 2480051), stwierdzając, iż „[b]iorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.
Jak wykazano wcześniej, zapewnienie bezpieczeństwa przetwarzanych danych stanowi podstawowy obowiązek administratora, będący przejawem realizacji ogólnej zasady przetwarzania danych, tj. zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. W literaturze wskazuje się (P. Barta, P. Litwiński, M. Kawecki, Komentarz do art. 32, w: Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, Legalis 2021), że zasada ta „(…) nakłada na administratora danych lub podmiot przetwarzający obowiązek zabezpieczenia danych, w szczególności przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem, lub uszkodzeniem danych. Należy go więc rozumieć również jako uniemożliwienie dostępu do danych osobom nieupoważnionym”.
Należy zwrócić uwagę na okoliczność, że dla oceny sprawy i sformułowania zarzutów wobec Spółki nie ma znaczenia podniesiona przez nią w pisemnych wyjaśnieniach (pismo z 2 listopada 2022 r.) kwestia, czy stwierdzone w toku kontroli uchybienia odbiegały albo nie odbiegały od poziomu zabezpieczeń w typowych zakładach leczniczych. Istotną okolicznością dla sprawy jest sam fakt, iż biorąc pod uwagę wymogi przepisów rozporządzenia 2016/679 oraz zasady obowiązujące w dziedzinie tzw. cyberbezpieczeństwa, Spółka naruszyła jedne i drugie, powodując zwiększenie zagrożenia dla ochrony danych osobowych, poprzez zaniechania w zakresie stosowania niezbędnych w warunkach prowadzonej przez Spółkę działalności środków organizacyjnych i technicznych służących tejże ochronie.
Okoliczność, na którą powołuje się Spółka, że w innych podmiotach działających na rynku usług medycznych występują podobne, a nawet poważniejsze uchybienia, nie zmniejsza, a tym bardziej nie uchyla odpowiedzialności Spółki w zakresie stwierdzonych u niej naruszeń przepisów rozporządzenia 2016/679.
Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 19 stycznia 2021 r. (sygn. II SA/Wa 702/20, Legalis nr 2821108) podkreślił, że „(…) administrator danych powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679). (…) administrator danych jest odpowiedzialny nie tylko za działania swoich pracowników, ale także za przetwarzanie danych w systemie informatycznym, z którego korzysta”.
Należy także podnieść, że wyjaśnienia Spółki złożone w piśmie z dnia (…) 2022 r. wskazują, że podjęła ona działania naprawcze w związku z uchybieniami stwierdzonymi w toku kontroli Prezesa UODO. Przy czym należy zaznaczyć, że działania te nie objęły wszystkich naruszeń przepisów rozporządzenia 2016/679 stwierdzonych w toku kontroli UODO i będących przedmiotem niniejszej decyzji. Zważywszy zatem na okoliczność, iż Spółka nadal przetwarza dane osobowe w szczególności bez opracowania i wdrożenia szczegółowej procedury odnoszącej się do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (a także faktycznie nie dokonując powyższych czynności), jak również bez aktualizowania oprogramowania urządzeń brzegowych wykorzystywanych w systemie informatycznym Spółki zgodnie z planem aktualizacji producenta oprogramowania, Prezes UODO, na podstawie art. 58 ust. 2 lit. d) rozporządzenia 2016/679, nakazał jej wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych oraz wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków mających zapewnić bezpieczeństwo przetwarzania.
Odnosząc się do treści pism Spółki z dnia (…) 2023 r. oraz (…) 2023 r. zawierających wnioski dowodowe strony postępowania, Prezes UODO uznał, że wnioski te nie zasługują na uwzględnienie. W myśl art. 78 § 1 Kpa, żądanie strony dotyczące przeprowadzenia dowodu należy uwzględnić, jeżeli przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy. Ponadto, zgodnie z brzmieniem art. 78 § 2 Kpa, organ administracji publicznej może nie uwzględnić żądania (§ 1), które nie zostało zgłoszone w toku przeprowadzania dowodów lub w czasie rozprawy, jeżeli żądanie to dotyczy okoliczności już stwierdzonych innymi dowodami, chyba że mają one znaczenie dla sprawy. Z kolei w myśl art. 75 § 1 Kpa, jako dowód należy dopuścić wszystko, co może przyczynić się do wyjaśnienia sprawy, a nie jest sprzeczne z prawem. W szczególności dowodem mogą być dokumenty, zeznania świadków, opinie biegłych oraz oględziny.
W przypadku wniosków dowodowych złożonych przez Spółkę przedmiotem dowodów mają być okoliczności, które – w ocenie Prezesa UODO – bądź nie mają znaczenia dla sprawy, bądź żądanie przeprowadzenia dowodów dotyczy okoliczności już stwierdzonych innymi dowodami lub wnioskowane dowody nie mogą przyczynić się do wyjaśnienia sprawy, tj.:
1) dowód z przesłuchania świadka, Pana P.K., zatrudnionego jako inspektor ochrony danych osobowych w Spółce, w czasie, gdy miało miejsce naruszenie ochrony danych osobowych na okoliczność:
- rozmiaru ataku hakerskiego – okoliczność ta została już stwierdzona innym dowodem, tj. została opisana m.in. w protokołach przyjęcia ustnych wyjaśnień z udziałem ww. osoby w toku czynności kontrolnych organu,
- możliwości ustalenia sprawców ataku – okoliczność niemająca znaczenia dla sprawy z uwagi na stwierdzone naruszenia przepisów rozporządzenia 2016/679, same w sobie będące przedmiotem rozstrzygnięcia niniejszej decyzji, niezależnie od kwestii ich wpływu na przebieg naruszenia ochrony danych osobowych; wynik postępowania karnego nie ma wpływu na postępowanie administracyjne dotyczące naruszenia przepisów rozporządzenia 2016/679, bowiem okoliczność ewentualnego wykrycia czy też niewykrycia sprawców przestępstwa oraz stwierdzenia czy niestwierdzenia jego popełnienia nie ma wpływu na fakt, że niezależnie od ww. potencjalnych okoliczności sprawy, Prezes UODO ustalił w wyniku podjętych czynności kontrolnych i postępowania administracyjnego, że Spółka dopuściła się naruszeń przepisów rozporządzenia 2016/679, które podlegają sankcji administracyjnej niezależnie od takich okoliczności, jak np. ustalenie sprawców przestępstwa w prowadzonym niezależnie od postępowania administracyjnego postępowaniu karnym,
- możliwości ustalenia technicznych sposobów działania hakerów – okoliczność stwierdzona innym dowodem, m.in. w protokołach przyjęcia ustnych wyjaśnień z udziałem P. K. w toku czynności kontrolnych organu, a także w pokontrolnych, pisemnych wyjaśnieniach Spółki (potwierdzony przez Spółkę fakt zastosowania do ataku oprogramowania typu „ransomware”),
- zorganizowanego i specjalistycznego działania sprawców ataku hakerskiego – okoliczność niemająca znaczenia dla sprawy z uwagi na stwierdzone naruszenia przepisów rozporządzenia 2016/679, same w sobie będące przedmiotem rozstrzygnięcia w decyzji niezależnie od kwestii ich wpływu na przebieg naruszenia ochrony danych osobowych; z przyczyn wskazanych powyżej wynik postępowania karnego nie ma wpływu na postępowanie administracyjne dotyczące naruszenia przepisów rozporządzenia 2016/679,
- działań podjętych przez Spółkę w celu zminimalizowania skutków ataku hakerskiego – okoliczność stwierdzona innym dowodem, m.in. w protokołach przyjęcia ustnych wyjaśnień z udziałem P. K. w toku czynności kontrolnych organu, a także w pokontrolnych, pisemnych wyjaśnieniach Spółki,
2) dowód z przesłuchania świadka, Pana J. B., zatrudnionego aktualnie w Spółce na stanowisku inspektora ochrony danych, na okoliczności:
- rozmiaru ataku hakerskiego, braku możliwości ustalenia sprawców ataku, braku możliwości ustalenia technicznych sposobów działania hakerów, zorganizowanego i wysoce specjalistycznego działania nieustalonych sprawców ataku hakerskiego, działań podjętych przez Spółkę w celu zminimalizowania skutków ataku hakerskiego – wnioskowane wyżej dowody nie mogą przyczynić się do wyjaśnienia sprawy z uwagi na fakt, iż zeznania J. B. jako świadka na okoliczność przebiegu naruszenia ochrony danych nie mogą być miarodajne, skoro w chwili jego wystąpienia nie był osobą zatrudnioną w Spółce na stanowisku, które wymagało od niego pełnienia obowiązków dotyczących śledzenia, oceny oraz podejmowania działań w związku z ww. zdarzeniem, w zakresie ochrony danych, a ponadto okoliczności mające być przedmiotem ww. dowodów zostały stwierdzone innym dowodem, m.in. w protokołach przyjęcia ustnych wyjaśnień z udziałem P. K. w toku czynności kontrolnych organu, a także w pokontrolnych, pisemnych wyjaśnieniach Spółki albo przedmiotem dowodu ma być okoliczność niemająca znaczenia dla sprawy;
3) dowód z dokumentu, tj. wnioskowane przez Spółkę „wystąpienie do Komendanta Wojewódzkiego Policji w K., w trybie art. 76a § 1 Kpa, z żądaniem udzielenia odpisów lub z żądaniem dostarczenia oryginałów dokumentów znajdujących się w aktach śledztwa w sprawie o sygnaturze (…) prowadzonego przez Wydział (…), w tym w szczególności postanowienia z dnia (…) 2022 r. o umorzeniu śledztwa w sprawie zdarzenia powiązanego ze zdarzeniem będącym przedmiotem niniejszego postępowania” – przedmiotem dowodu ma być okoliczność niemająca znaczenia dla sprawy z uwagi na stwierdzone przez Prezesa UODO naruszenia przepisów rozporządzenia 2016/679, same w sobie będące przedmiotem rozstrzygnięcia w decyzji, niezależnie od kwestii ich wpływu na przebieg naruszenia ochrony danych osobowych, a także niezależnie od orzeczenia w niniejszej sprawie przez właściwy organ popełnienia albo niepopełnienia czynu zabronionego w rozumieniu przepisów prawa karnego, bowiem powyższe nie ma wpływu na ocenę przez Prezesa UODO działań Spółki jako administratora w świetle przepisów rozporządzenia 2016/679; z przyczyn wskazanych powyżej wynik postępowania karnego nie ma wpływu na postępowanie administracyjne dotyczące naruszenia przepisów rozporządzenia 2016/679,
4) dopuszczenie i przeprowadzenie dowodu w trybie art. 75 § 1 Kpa z dokumentów znajdujących się w aktach śledztwa w sprawie o sygnaturze (…) prowadzonego przez Wydział (…), w tym w szczególności postanowienia z dnia (…) 2022 r. o umorzeniu śledztwa w sprawie zdarzenia powiązanego ze zdarzeniem będącym przedmiotem niniejszego postępowania na następujące okoliczności: ich treści, rozmiaru ataku hakerskiego, braku możliwości ustalenia sprawców, braku możliwości ustalenia technicznych sposobów działania hakerów, zorganizowanego i wysoce specjalistycznego działania nieustalonych sprawców ataku hakerskiego, działań podjętych przez Spółkę w celu zminimalizowania skutków ataku hakerskiego – przedmiotem dowodu mają być okoliczności niemające znaczenia dla sprawy z uwagi na stwierdzone przez organ nadzorczy naruszenia przepisów rozporządzenia 2016/679, same w sobie będące przedmiotem rozstrzygnięcia w decyzji, niezależnie od kwestii ich wpływu na przebieg naruszenia ochrony danych osobowych, a także niezależnie od treści wydanego orzeczenia w niniejszej sprawie przez właściwy organ w przedmiocie popełnienia albo niepopełnienia czynu zabronionego w rozumieniu przepisów prawa karnego, bowiem orzeczenie takie nie ma wpływu na ocenę działań Spółki jako administratora w świetle przepisów rozporządzenia 2016/679, dokonywanej przez Prezesa UODO; z przyczyn wskazanych powyżej wynik postępowania karnego nie ma wpływu na postępowanie administracyjne dotyczące naruszenia przepisów rozporządzenia 2016/679. Ponadto, niektóre z powyższych okoliczności zostały stwierdzone innym dowodem, tj. opisane m.in. w protokołach przyjęcia ustnych wyjaśnień od pracowników Spółki w toku czynności kontrolnych organu.
W związku z powyższym, nie można zgodzić się z twierdzeniem Spółki zawartym w piśmie z (…) 2023 r, że wydanie niniejszej decyzji nastąpiło na podstawie „niekompletnego materiału dowodowego, niepozwalającego na pełne odtworzenie obiektywnego przebiegu zdarzeń naruszałoby zasadę prawdy obiektywnej (art. 7 k.p.a.) oraz zasadę zaufania obywateli do władzy publicznej (art. 8 k.p.a.), a także standardy sprawiedliwego postępowania administracyjnego”.
Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze stwierdzone naruszenia przepisów rozporządzenia 2016/679, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w ww. przepisie, stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej. Stosownie zaś do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j) rozporządzenia 2016/679.
Wedle art. 83 ust. 4 lit. a) rozporządzenia 2016/679 naruszenia przepisów kształtujących obowiązki administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Z kolei art. 83 ust. 3 rozporządzenia 2016/679 stanowi, iż jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia 2016/679, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
W niniejszym postępowaniu administracyjna kara pieniężna wobec Spółki nałożona została za naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 na podstawie art. 83 ust. 5 lit. a) rozporządzenia 2016/679. Jednocześnie kara nałożona na Spółkę łącznie za naruszenie wszystkich powyższych przepisów, stosownie do art. 83 ust. 3 rozporządzenia 2016/679, nie przekracza wysokości kary za najpoważniejsze stwierdzone w toku postępowania naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego światowego obrotu z poprzedniego roku obrotowego.
Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO – w myśl art. 83 ust. 2 lit. a) – k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
a) charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
Naruszenie przepisów oraz zasad dotyczących ochrony danych osobowych w związku z ich przetwarzaniem przez Spółkę w ramach prowadzonej przez nią działalności gospodarczej w zakresie usług medycznych bez wdrożenia adekwatnych środków technicznych i organizacyjnych, w tym wspieranego przez jego producenta aktualizacjami oprogramowania systemowego urządzeń brzegowych (naruszenie art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679), ma znaczną wagę, z uwagi na znaczną skalę przetwarzania danych przez Spółkę oraz rodzaj wykonywanej przez nią działalności, a przez to także zakres przetwarzanych danych (dane szczególnych kategorii, w tym m. in. dane dotyczące zdrowia). Należy raz jeszcze podnieść, że Spółka świadczy na terenie Polski usługi lecznicze, m.in. z zakresu (…). Fakt ten determinuje zakres przetwarzanych przez nią danych, których ujawnienie może wyrządzać szczególne szkody osobom, których one dotyczą. Zauważyć też należy, że dane przetwarzane przez Spółkę stanowią tajemnicę lekarską, co także ma wpływ na konieczność przyjęcia znacznego charakteru i wagi naruszenia.
Ponadto, stwierdzone w toku kontroli, a następnie w rezultacie postępowania administracyjnego naruszenia przepisów rozporządzenia 2016/679 wiązały się w konsekwencji z naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679), tj. obowiązku przetwarzania w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, a także zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679), przez co miały one znaczną wagę i poważny charakter z uwagi na fakt, iż wszystkie wyżej wymienione organizacyjne i techniczne środki mają podstawowe znaczenie dla zapewnienia bezpieczeństwa przetwarzania danych pod względem technicznym (np. wdrożenie aktualizacji oprogramowania) i organizacyjnym (wdrożenie szczegółowej procedury dotyczącej regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych).
Stwierdzone w niniejszej sprawie naruszenie przepisów o ochronie danych osobowych, którego skutkiem było zwiększenie ryzyka uzyskania przez osoby trzecie nieuprawnionego dostępu do przetwarzanych przez Spółkę w systemie informatycznym danych osobowych, ma poważny charakter i znaczną wagę także z tego względu, że stwarza wysokie ryzyko wystąpienia negatywnych skutków prawnych dla m.in. (…) osób, których dane uległy utracie poufności w związku z naruszeniem ochrony danych osobowych. Niewywiązanie się przez Spółkę z obowiązku zastosowania odpowiednich środków zabezpieczających przetwarzane dane przed nieuprawnionym ujawnieniem pociągało za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania ich przed podmioty trzecie niezgodnie z przepisami rozporządzenia 2016/679 bez wiedzy i wbrew woli osób, których dane dotyczą, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w ich imieniu.
W niniejszej sprawie brak jest dowodów wskazujących na to, że osoby (pacjenci, pracownicy Spółki), do których danych uzyskały dostęp osoby trzecie, doznali szkody majątkowej, niemniej samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę), np. poprzez naruszenie ich dóbr osobistych, takich jak dobrostan psychiczny, prawo do prywatności, itp. Osoby fizyczne, których dane pozyskano w sposób nieuprawniony w wyniku naruszenia ochrony danych osobowych, mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją (dane dotyczące zdrowia) czy wreszcie – stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z dnia 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w wyroku z dnia 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.
Przetwarzanie danych z naruszeniem przepisów rozporządzenia 2016/679 odbywało od dnia rozpoczęcia stosowania przepisów rozporządzenia 2016/679, tj. od dnia 25 maja 2018 r., z uwagi na treść dokumentu „(…)” sporządzonego na dzień (…) 2020 r. oraz dokumentu „(…)” sporządzonego na dzień (…) 2018 r. z aktualizacją w dniu (…) 2019 r. (przy czym w związku z korzystaniem z systemu (…) pomimo braku wsparcia technicznego producenta naruszenie przepisów miało miejsce od (…) 2020 r.) i trwa nadal z uwagi na brak usunięcia wszystkich stwierdzonych w toku kontroli uchybień w zakresie stosowanych środków bezpieczeństwa.
b) nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Spółka wskazała w swoich pisemnych wyjaśnieniach z dnia (…) 2022 r., że jej działania nie miały umyślnego charakteru, a także, iż podjęła działania naprawcze w celu zminimalizowania ryzyka ponownego naruszenia. Z materiału dowodowego zebranego w toku kontroli oraz z wyjaśnień Spółki zawartych w ww. piśmie wynika, że Spółka nie korzystała świadomie z zasobów informatycznych pozbawionych bieżącego wsparcia ich producentów, bowiem świadomości w ww. względzie nie mieli członkowie jej zarządu, pomimo że mieli ją pracownicy działu IT Spółki.
W związku z powyższym należy stwierdzić, że członkowie zarządu Spółki świadomość powyższego powinni byli jednak mieć również, tak więc okoliczność braku wewnętrznej komunikacji pomiędzy pracownikami Spółki a jej zarządem jest sama w sobie dodatkową okolicznością obciążającą Spółkę w niniejszej sprawie, nie zaś usprawiedliwiającą jej postawę i zarazem łagodzącą. Powyższe zdaje się świadczyć o popełnionych błędach w zarządzaniu Spółką, które przełożyły się na wskazane w niniejszej decyzji naruszenia przepisów rozporządzenia 2016/679. Potencjalny wpływ na powyższy stan faktyczny mogła mieć także okoliczność braku stosownych, konkretnych postanowień proceduralnych, odnoszących się do kwestii regularnego testowania, mierzenia i oceniania skuteczności środków organizacyjnych i technicznych stosowanych w Spółce celem zapewnienia należytej ochrony przetwarzanych przez nią danych. Spółka była świadoma, że w przypadku dopuszczenia przetwarzania danych osobowych o tak szerokim zakresie powinna zapewnić tym danym odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych i organizacyjnych, a więc w taki sposób, aby przetwarzanie to odbywało się zgodnie z zasadą integralności i poufności wyrażoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.
Znając charakter i specyfikę tego typu procesów, Spółka powinna była wykluczyć możliwości ewentualnego wystąpienia naruszenia ochrony danych osobowych ze względu na specyfikę działania systemów informatycznych, w których błąd ludzki (brak aktualizacji oprogramowania, zła konfiguracja systemu, itp.) należy zawsze brać pod uwagę. Mimo przyjętej praktyki wykorzystywania takich systemów do przetwarzania danych osobowych Spółka nie przeprowadziła właściwie analizy ryzyka w obszarze objętym naruszeniem ochrony danych osobowych nie tylko do momentu jego wystąpienia, ale nawet po nim (np. w zakresie korzystania z nieaktualizowanego oprogramowania). W niniejszej sprawie Spółka powinna była mieć na względzie, że przyjęte rozwiązania nie zapewnią adekwatnego poziomu bezpieczeństwa danych osobowych, co prowadzić może do naruszenia przepisów o ochronie danych osobowych.
Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Spółka nie miała świadomości powyżej wskazanych okoliczności, a więc nie działała umyślnie, niemniej jednak dopuściła się zaniedbania skutkującego znaczącym zwiększeniem ryzyka naruszenia dostępności i poufności przetwarzanych danych, co stanowi istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej.
c) wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Przy podejmowaniu decyzji o nałożeniu i wysokości administracyjnej kary pieniężnej, organ nadzorczy zobowiązany jest do zwrócenia uwagi na wszelkie wcześniejsze naruszenia rozporządzenia 2016/679. EROD w Wytycznych 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych w dniu 24 maja 2023 r., zwanych dalej Wytycznymi 04/2022, wprost wskazuje: „Istnienie wcześniejszych naruszeń można uznać za czynnik obciążający przy obliczaniu wysokości kary pieniężnej. Waga przypisywana temu czynnikowi powinna być ustalana z uwzględnieniem charakteru i częstotliwości wcześniejszych naruszeń. Brak wcześniejszych naruszeń nie może jednak zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów [rozporządzenia 2016/679] stanowi normę”. I choć jak wskazują ww. wytyczne „większe znaczenie należy przypisać naruszeniom dotyczącym tego samego przedmiotu, ponieważ są one bliższe naruszeniu będącemu przedmiotem obecnego postępowania, w szczególności gdy administrator lub podmiot przetwarzający dopuścili się wcześniej tego samego naruszenia (powtarzające się naruszenia)” (pkt 88 wytycznych), to jednak „wszystkie wcześniejsze naruszenia mogą stanowić informację o ogólnym podejściu administratora lub podmiotu przetwarzającego do przestrzegania przepisów rozporządzenia 2016/679”.
Organ nadzorczy stwierdził już we wcześniej wydawanych decyzjach administracyjnych naruszenie przez Spółkę przepisów o ochronie danych osobowych:
1) w decyzji z dnia (…) 2022 r. (sygn. (…)) – naruszenie art. 6 ust. 1, art. 5 ust. 1 lit. a) i lit. b) rozporządzenia 2016/679;
2) w decyzji z dnia (…) 2021 r. (sygn. (…)) – naruszenie art. 5 ust. 1 lit. c) i art. 9 ust. 1 rozporządzenia 2016/679;
3) w decyzji z dnia (…) 2021 r. (sygn. (…)) – naruszenie art. 5 ust. 1 lit. c) i art. 9 ust. 1 rozporządzenia 2016/679;
4) w decyzji z dnia (…) 2021 r. (sygn. (…)) – naruszenie art. 5 ust. 1 lit. a) i art. 9 ust. 1 rozporządzenia 2016/679;
5) w decyzji z dnia (…) 2021 r. (sygn. (…)) – naruszenie art. 5 ust. 1 lit. a) i art. 9 ust. 1 rozporządzenia 2016/679.
Wymienione powyżej wcześniejsze naruszenia przepisów rozporządzenia 2016/679 wskazują na ogólnie lekceważące podejście Spółki do kwestii ochrony danych, a zastosowane uprzednio wobec niej w ww. sprawach środki naprawcze, tj. udzielenie Spółce przez Prezesa UODO upomnienia za naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679, jak miało to miejsce w sprawie o sygn. (…), oraz art. 9 ust. 1 rozporządzenia 2016/679 (sprawy o sygn. (…) i (…)), w pełni uzasadniają wymierzenie w niniejszym postępowaniu sankcji finansowej, a także jej wymiar.
Z uwagi na powyższe, w przedmiotowej sprawie należy uznać, że istnieją podstawy do traktowania przesłanki z art. 83 ust. 2 lit. e) rozporządzenia 2016/679 jako obciążającej.
d) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
Spółka w toku kontroli udzielała kompletnych i konkretnych wyjaśnień w związku z przedmiotem kontroli oraz stwierdzonymi uchybieniami przepisom o ochronie danych osobowych, a nadto po kontroli Prezesa UODO przedsięwzięła działania i środki zmierzające do poprawy stanu ochrony przetwarzanych przez nią danych w związku ze stwierdzonymi w toku kontroli naruszeniami przepisów rozporządzenia 2016/679. Jednakże działania naprawcze zostały przedsięwzięte nie w pełnym zakresie, tzn. Spółka na dzień wydania niniejszej decyzji w szczególności nie opracowała procedury testowania, mierzenia i oceniania skuteczności środków organizacyjnych i technicznych służących ochronie danych, ani faktycznie nie dokonywała ww. czynności w regularny sposób. Z powyższej przyczyny stopień współpracy Spółki z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków należy ocenić jako nie w pełni zadowalający, a przez to stanowi on czynnik obciążający Spółkę przy ustalaniu wysokości administracyjnej kary pieniężnej.
e) kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Wśród danych osobowych przetwarzanych przez Spółkę, oprócz tzw. danych zwykłych, takich jak: imię, nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwa użytkownika lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego oraz numer telefonu, znalazły się również dane szczególnych kategorii, tj. dotyczące zdrowia, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679.
Wobec powyższego, Spółka, przetwarzając dane osobowe ww. kategorii powinna wykazać się co najmniej należytą, szczególną starannością w przestrzeganiu przepisów prawa o ochronie danych osobowych, bowiem wszelkiego rodzaju naruszenie poufności, integralności bądź dostępności ww. danych wiąże się dla ich podmiotów ze szczególnie wysokimi ryzykami naruszenia ich praw lub wolności, a także możliwością wyrządzenia im szkód. Spółka, niedoszacowując niektórych ww. ryzyk, wdrożenia aktualizacji oprogramowania systemowego, procedur dotyczących regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych oraz należytej konfiguracji ww. systemów, nie dołożyła tym samym należytej staranności w zakresie zapewnienia bezpieczeństwa tym danych.
Należy zwrócić uwagę na fakt, że wśród danych osobowych przetwarzanych przez Spółkę jest również numer ewidencyjny PESEL. Mimo, że nie należy on do kategorii danych szczególnych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, należy podkreślić, że w szczególności nieuprawnione ujawnienie numeru ewidencyjnego PESEL wraz z imieniem i nazwiskiem, które jednoznacznie identyfikują osobę fizyczną, może realnie i negatywnie wpływać na ochronę praw lub wolności tej osoby. Jak bowiem wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 1 lipca 2022 r. (sygn. II SA/Wa 4143/21, Legalis nr 2760091), „[w] przypadku naruszenia takich danych, jak imię, nazwisko oraz nr PESEL, możliwa jest kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, pożyczek w instytucjach pozabankowych bądź wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje związane z próbą przypisania osobom, których dane dotyczą, odpowiedzialności za dokonanie takiego oszustwa”.
Uznać zatem należy, że numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i jako taka – wymaga równie szczególnej ochrony.
Jak wskazano w Wytycznych EROD 04/2022 (str. 22), „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 RODO oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać temu czynnikowi.”
Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO wziął pod uwagę następujące okoliczności sprawy, wpływające łagodząco na wymiar nałożonej administracyjnej kary pieniężnej:
a) działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Zgodnie z treścią uzupełniającego zgłoszenia naruszenia ochrony danych, które wpłynęło do Prezesa UODO w dniu (…) 2021 r., podmioty danych, w stosunku do których jednoznacznie stwierdzono, że ich dane osobowe zostały objęte tym naruszeniem, otrzymały zawiadomienia wskazujące możliwe ryzyka związane z tym naruszeniem oraz sugerowane środki zaradcze. W stosunku do osób, u których potwierdzono ujawnienie nr PESEL i dowodu osobistego, administrator zaoferował opłacenie raportowania BIK. Spółka skierowała do podmiotów danych trzy rodzaje zawiadomień – zawiadomienie do pacjenta, zawiadomienie do pracownika oraz zawiadomienia do pracownika obejmujące również powiadomienie o ujawnieniu numeru dowodu osobistego. Pracownicy Spółki otrzymali komunikat przypominający o obowiązkach w zakresie informacji chronionych, w tym ochrony danych osobowych.
Powyższe działania Spółki należy ocenić jako właściwe i proporcjonalne do stopnia szkody (krzywdy) niematerialnej wyrządzonej podmiotom danych, dlatego należało ocenić je pozytywnie i uwzględnić przy oszacowaniu wymiaru nałożonej administracyjnej kary pieniężnej.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
a) stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Część środków technicznych i organizacyjnych służących ochronie danych osobowych przetwarzanych przez Spółkę była niewystarczająca i niewdrożona (przede wszystkim błędy w przeprowadzonych analizach ryzyka, błędy konfiguracji sprzętu informatycznego, brak aktualizacji oprogramowania systemowego oraz brak procedur dotyczących testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnym). Z powyższego względu, stopień odpowiedzialności Spółki za zaistniały stan faktyczny jest wysoki. Spółka miała świadomość konieczności, np. aktualizacji oprogramowania systemowego. Powyższe należy odnieść także do kwestii niedoszacowania niektórych ryzyk, braku procedur dotyczących testowania, mierzenia i oceniania środków technicznych i organizacyjnych, a także braku należytej konfiguracji ww. systemów. W niniejszej sprawie nie sposób przypisać odpowiedzialność za przedmiotowe naruszenia przepisów rozporządzenia 2016/679 innym niż Spółka podmiotom lub założyć działanie siły wyższej.
Jak wskazała Grupa Robocza Art. 29 (Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 przyjęte w dniu 3 października 2017 r., 17/PL, WP 253, zwane dalej „Wytycznymi WP 253”), rozpatrując ww. przesłankę „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator »zrobił wszystko, czego można by było oczekiwać«, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.
Organ nadzorczy stwierdził w niniejszej sprawie naruszenie przez Spółkę przepisów art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na Spółce ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które mogłyby zapobiec naruszeniu ochrony danych osobowych. Oczywistym jest zatem, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Spółka nie zrobiła wszystkiego, czego można by było oczekiwać, nie wywiązując się tym samym z obowiązków nałożonych na nią na mocy art. 32 rozporządzenia 2016/679.
W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia – nie jest zaś jedynie czynnikiem wpływającym – obciążająco lub łagodząco – na jego ocenę. Z tego też powodu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie może zostać uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na ocenę naruszenia i wymiar nałożonej na Spółkę administracyjnej kary pieniężnej.
b) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie przez Spółkę przepisów o ochronie danych osobowych w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Spółkę oraz przeprowadzonej kontroli. Spółka, dokonując zgłoszenia, realizowała ciążący na niej obowiązek prawny, brak jest zatem podstaw do uznania, że fakt ten stanowi okoliczność łagodzącą. Jak wskazała EROD w Wytycznych 04/2022 (str. 32), „Zgodnie z art. 83 ust. 2 lit. h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, może stanowić istotny czynnik obciążający lub łagodzący. Przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze – na przykład – skargi lub dochodzenia. Okoliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń (jak np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33). W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną.”
c) jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
d) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na moc art. 42 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Spółka na dzień wydania decyzji nie stosowała zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Spółki. Na jej korzyść mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych.
e) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięcie straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, aby w związku z naruszeniem Spółka odniosła jakiekolwiek korzyści finansowe lub uniknęła tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Spółkę. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Nieosiągnięcie zaś przez Spółkę takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodząca dla Spółki. Interpretację tę potwierdza już samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
Prezes UODO, wszechstronnie rozpatrując przedmiotową sprawę, nie odnotował okoliczności innych, niż powyżej opisane, mogących wpłynąć na ocenę naruszenia i wysokość orzeczonej administracyjnej kary pieniężnej.
W szczególności, ustosunkowując się do pisma Spółki z dnia (…) 2022 r., w którym podniosła, że podobnie jak w przypadku sprawy o sygn. (…) naruszenie ochrony danych osobowych wystąpiło w okresie pandemii COVID-19, tj. w warunkach zaangażowania personelu Spółki w działania mające na celu przeciwdziałanie jej skutkom, co stanowi okoliczność łagodzącą w niniejszej sprawie, wskazać należy, że z powyższym poglądem Spółki nie sposób zgodzić się. Okoliczność wystąpienia naruszenia ochrony danych osobowych w czasie pandemii COVID-19 nie stanowi w niniejszej sprawie okoliczności łagodzącej z tego względu, że stwierdzone przez Prezesa UODO zaniedbania ze strony Spółki, stanowiące zarazem naruszenie przepisów rozporządzenia 2016/679, nie miały żadnego związku z ww. pandemią, a stan naruszenia istniał już przed terminem jej rozpoczęcia. Tak więc okoliczności pandemiczne nie mogły mieć wpływu na wszystkie zaniechania Spółki w dziedzinie bezpieczeństwa danych osobowych. Znaczne zaangażowanie służb informatycznych Spółki w różne działania związane z wybuchem pandemii nie jest więc usprawiedliwieniem z uwagi na stwierdzone nieprawidłowości, mające miejsce zarówno przed, jak i w trakcie trwania pandemii.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, iż nałożenie administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Spółce naruszeń. Stwierdzić należy, że zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuści się kolejnych zaniedbań.
Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej wskazać należy, iż w ustalonych okolicznościach niniejszej sprawy, wobec stwierdzenia naruszenia kilku przepisów rozporządzenia 2016/679, tj. zasady integralności i poufności danych, wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a odzwierciedlonej w postaci obowiązków określonych w art. 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji również art. 5 ust. 2 rozporządzenia 2016/679, regulującego zasadę rozliczalności, zastosowanie znajdzie art. 83 ust. 4 lit. a i ust. 5 lit. a) rozporządzenia 2016/679.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz.1781), dalej ustawa z dnia 10 maja 2018 r., równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego. W 2024 r. średni kurs euro został ogłoszony przez Narodowy Bank Polski na dzień 29 stycznia 2024 r. w wysokości 1 EUR = 4,3653.
Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 3 i art. 83 ust. 5 lit. a) rozporządzenia 2016/679 w związku z art. 103 ustawy o ochronie danych osobowych, za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro ogłoszony przez Narodowy Bank Polski z dnia 29 stycznia 2024 r. (1 EUR = 4,3653 PLN) – administracyjną karę pieniężną w kwocie 1 440 549,00 PLN (słownie: jeden milion czterysta czterdzieści tysięcy pięćset czterdzieści dziewięć złotych), stanowiącej równowartość 330 000,- EUR (słownie: trzysta trzydzieści tysięcy euro).
Koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:
1. Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Wśród naruszonych przez Spółkę przepisów rozporządzenia 2016/679 znajdują się przepisy art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 określające podstawowe zasady przetwarzania. Naruszenia tych przepisów należą – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 EUR lub do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto poważniejsze od innych (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679) naruszeń.
2. Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenia (w szczególności naruszenia podstawowych zasad przetwarzania) jako naruszenia o średnim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. Wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest średni. Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10% do 20% maksymalnej wysokości kary możliwej do orzeczenia wobec Spółki, to jest – zważywszy na limit określony w art. 83 ust. 5 rozporządzenia 2016/679 – od kwoty 2 000 000 EUR do kwoty 4 000 000 EUR (vide Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 3 000 000 EUR (równowartość 13 095 900,- PLN).
3. Prezes UODO dostosował kwotę wyjściową, odpowiadającą średniej powadze stwierdzonego naruszenia, do obrotu Spółki jako miernika jej wielkości i siły gospodarczej (vide Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi do 100 – 250 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 15% do 50% kwoty wyjściowej. Zważywszy, że obrót (przychód) Spółki w roku 2022 wyniósł (…),- PLN, to jest ok. (…) EUR (wg średniego kursu EUR z dnia 29 stycznia 2024 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 20% kwoty wyjściowej, to jest do kwoty 600 000 EUR (równowartość 2 619 180,- PLN).
4. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Przesłanki (z art. 83 ust. 2 lit. d), e), h), i), j), k) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary.
5. Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia (vide Rozdział 6 Wytycznych 04/2022). Jak wskazano powyżej, najpoważniejszym naruszeniem jest w niniejszej sprawie naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, zagrożone administracyjną karą pieniężną w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Prezes UODO ustalił, że „dynamiczna kwota maksymalna” dla tego naruszenia i dla tego sprawcy naruszenia wyrażona w procencie (…%) jego obrotu wyniosłaby (…) EUR, w związku z czym zastosować należy w niniejszej sprawie – jako wyższą – „statyczną kwotę maksymalną” wynoszącą dla rozpatrywanego naruszenia 20 000 000 EUR. Wskazana powyżej kwota 600 000,- EUR w sposób oczywisty nie przekracza kwoty 20 000 000 EUR.
6. Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości 600 000,- EUR byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Spółkę, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną ze względu na swoją nadmierną dolegliwość. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Mając więc na uwadze wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia wysokości kary – do 55% kwoty uzyskanej po uwzględnieniu okoliczności obciążających i łagodzących (vide pkt 4 powyżej), to jest do kwoty 330 000,- EUR (równowartość kwoty 1 440 549,00 PLN). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
Odstraszający charakter administracyjnej kary pieniężnej wiąże się z zapobieganiem naruszeniom przepisów rozporządzenia 2016/679 w przyszłości oraz przykładaniem większej wagi do realizacji zadań Spółki jako administratora danych. Kara ma odstraszać zarówno Spółkę przed ponownym naruszeniem, jak i inne podmioty uczestniczące w przetwarzaniu danych. Nakładając niniejszą decyzją administracyjną karę pieniężną za naruszenie przepisów o ochronie danych osobowych Prezes UODO wziął pod uwagę oba aspekty: po pierwsze – charakter represyjny (Spółka naruszyła przepisy rozporządzenia 2016/679), po drugie – charakter prewencyjny (zarówno Spółka, jak i inne podmioty uczestniczące w przetwarzaniu danych osobowych, będą z większą uwagą i należytą starannością realizować swoje obowiązki wynikające z rozporządzenia 2016/679). Innymi słowy, w ocenie Prezesa UODO, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679, ale i prewencyjną, jako że sama Spółka będzie skutecznie zniechęcona do naruszania w taki sposób przepisów ochrony danych osobowych w przyszłości.
Celem nałożonej kary jest zobligowanie Spółki do właściwego wykonywania obowiązków wynikających z rozporządzenia 2016/679, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa. Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka dostosuje swoje procesy przetwarzania danych do stanu zgodnego z prawem. Zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest niezbędne zważywszy także na to, że Spółka przetwarzała dane swoich pacjentów (a w szczególności dane dotyczące zdrowia), bez prawidłowego przeprowadzenia analizy ryzyka, bez aktualizacji oprogramowania systemowego, bez wdrożenia odpowiednich procedur dotyczących testowania, mierzenia i oceniania środków technicznych i organizacyjnych, a także należytej konfiguracji ww. systemów.
Zastosowana administracyjna kara pieniężna, jak wykazano wyżej, jest również proporcjonalna do stwierdzonego naruszenia, w tym w szczególności jego wagi, skutku, kręgu dotkniętych nim osób fizycznych oraz wysokiego ryzyka negatywnych konsekwencji, jakie w związku z naruszeniem mogą one ponieść. W ocenie Prezesa UODO nałożona na Spółkę administracyjna kara pieniężna nie będzie stanowiła nadmiernego dla niej obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków przez Spółkę, nie powodując z drugiej strony sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa w postaci istotnego pogorszenia sytuacji finansowej Spółki. Zdaniem Prezesa UODO Spółka powinna – i jest w stanie – ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, w związku z czym uznaje on nałożenie kary w wysokości 1 440 549,00 PLN (słownie: jeden milion czterysta czterdzieści tysięcy pięćset czterdzieści dziewięć złotych) za w pełni uzasadnione.
W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W związku z powyższym wskazać należy, że administracyjna kara pieniężna w wysokości 1 440 549,00 PLN spełnia przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowych zasad rozporządzenia 2016/679 – zasady poufności i integralności oraz zasady rozliczalności.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[1] Norma PN-EN ISO/IEC 27002 Rozdział 12.5.1 lit. a) „Instalacja oprogramowania w systemach produkcyjnych”.
[2] Wytyczne Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętych 14 grudnia 2021 r. wersja 2.0., rozdział 2.5 „Środki organizacyjne i techniczne służące zapobieganiu skutkom ataków za pomocą oprogramowania szantażującego i ich łagodzeniu”.
[3] Źródło: publikacje The National Cyber Security Centre, informacje na stronie internetowej gov.pl, NIST Digital Identity Guidelines materiały opublikowane przez FBI w ramach akcji Protected Voices oraz CERT Polska.
Mirosław Wróblewski
2024-05-20
Wioletta Golańska
2024-08-13 10:34:16
Karolina Jastalska
2024-08-13 13:34:48