Warszawa, dnia 09
października
2024 r.
Decyzja
DKN.5131.1.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 poz. 572), art. 7 ust. 1 i 2, art. 60, art. 101 i art. 103 ustawy o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 2 lit. d) i lit. i), art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3, art. 32 ust. 1 i 2 oraz art. 34 ust. 2 w zw. z art. 33 ust. 3 lit. c) i d) oraz art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Pana AB, prowadzącego działalność gospodarczą pod firmą X, ul. (…) (jako administratora danych) oraz Panią CD, Pana EF i Pana GH, wspólników spółki cywilnej Y, Al. (…) (jako podmiotów przetwarzających), Prezes Urzędu Ochrony Danych Osobowych,
I. stwierdzając naruszenie przez Pana AB, prowadzącego działalność gospodarczą pod firmą X, ul. (…), przepisów:
a) art. 24 ust. 1, art. 25 ust. 1 i art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na:
- niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,
- niewdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia,
- niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających zdolność do szybkiego przywrócenia dostępności danych osobowych przetwarzanych w systemach informatycznych i dostępu do nich w razie incydentu fizycznego lub technicznego,
skutkujące naruszeniem zasady poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679),
b) art. 28 ust. 1 rozporządzenia 2016/679, polegające na braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą,
c) art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679, polegające na nieprzekazaniu osobom, których dane dotyczą, opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych,
1. nakłada na Pana AB, prowadzącego działalność gospodarczą pod firmą X, ul. (…), za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 28 ust. 1,art. 32 ust. 1 i 2 oraz art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679, administracyjną karę pieniężną w kwocie 353 589,- PLN (słownie: trzysta pięćdziesiąt trzy tysiące pięćset osiemdziesiąt dziewięć złotych);
2. nakazuje Panu AB, prowadzącemu działalność gospodarczą pod firmą X, ul. (…), dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679, poprzez przeprowadzenie analizy ryzyka przetwarzania danych osobowych, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, i na jej podstawie:
a) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych w systemach informatycznych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,
b) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków mających zapewnić bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych,
c) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zdolności do szybkiego przywrócenia dostępności danych osobowych przetwarzanych w systemach informatycznych i dostępu do nich w razie incydentu fizycznego lub technicznego.
w terminie 60 dni od dnia doręczenia niniejszej decyzji.
II. stwierdzając naruszenie przez Panią CD, Pana EF oraz Pana GH, wspólników Y s.c., Al. (…), art. 28 ust. 3 lit. f) w związku z art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na nieudzieleniu pomocy administratorowi w wywiązywaniu się przez niego z obowiązku wdrożenia adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych, nakłada na Pana EF i Pana GH, wspólników Y s.c., Al. (…) oraz na Panią CD, byłego wspólnika Y s.c., wszystkich odpowiadających solidarnie, administracyjną karę pieniężną w kwocie 9 822,- PLN (słownie: dziewięć tysięcy osiemset dwadzieścia dwa złote).
Uzasadnienie
W dniu 3 grudnia 2019 r. Pan AB, prowadzący działalność gospodarczą pod X, ul. (…), związaną – wedle zawartych na jego witrynie internetowej informacji – z produkcją o zasięgu ogólnopolskim „(…)” zwany dalej Administratorem, dokonał Prezesowi Urzędu Ochrony Danych Osobowych, zwanemu dalej Prezesem UODO lub organem nadzorczym, wstępnego zgłoszenia naruszenia ochrony danych osobowych, polegającego na ataku ransomware dokonanym przez nieustalonych sprawców, w wyniku którego utracona została dostępność następujących kategorii danych osobowych zarówno „(…) klientów, którzy chociaż jednokrotnie dokonali zakupu [przyp. red. u Administratora] (…)” oraz byłych, jak i obecnych pracowników Administratora „(…) w liczbie ok. 200 (…)”: numer PESEL, seria i nr dowodu osobistego, imiona i nazwiska, imiona rodziców, data urodzenia, nr rachunku bankowego, adres zamieszkania lub pobytu, adres e-mail, nr telefonu. W ww. zgłoszeniu naruszenia ochrony danych osobowych Administrator podał, że – w jego ocenie – „(…) przyczyną naruszenia był najprawdopodobniej błąd człowieka – pracownika (…)”, jednocześnie modus operandi sprawców pozwalał Administratorowi na przyjęcie założenia, zgodnie z którym „(…) celem zaszyfrowania danych nie była ich kradzież (…), a jedynie „(…) uzyskanie korzyści materialnej (…)”. Administrator wskazał również, że z uwagi na krótkotrwałość przedmiotowego incydentu oraz wobec faktu, iż„(…) uzyskano dostęp do zaszyfrowanych danych” nie stwierdził on wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, a wdrożone przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych techniczne i organizacyjne środki bezpieczeństwa uzasadniały – w opinii Administratora – brak konieczności dokonania zawiadomienia osób, których dane dotyczą, o fakcie naruszenia ochrony ich danych osobowych. W zgłoszeniu uzupełniającym dokonanym Prezesowi UODO 8 stycznia 2020 r. Administrator podtrzymał dotychczasową argumentację, informując przy tym o dokonaniu zawiadomienia podmiotów danych o fakcie wystąpienia przedmiotowego naruszenia ochrony danych osobowych w formie publicznego komunikatu dostępnego w siedzibie firmy Administratora, przedstawiając jednocześnie zanonimizowaną treść zawiadomienia skierowanego do osób, których dane dotyczą, w związku z tym naruszeniem.
Przedmiotowe zgłoszenia naruszenia ochrony danych osobowych stały się dla organu nadzorczego impulsem do dokonania oceny realizacji przez Administratora spoczywających na nim obowiązków wynikających z przepisów rozporządzenia 2016/679 dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych.
Wobec powyższego, Prezes UODO, działając na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, pismem z 24 lutego 2020 r. zwrócił się do Administratora o złożenie w przedmiotowej sprawie dodatkowych wyjaśnień, w tym m.in. o:
1) podanie cech charakterystycznych dla zaszyfrowanych plików, a przede wszystkim rozszerzenia pliku;
2) przekazanie pełnej treści komunikatu pliku RTF, „(…) w którym wskazano instrukcję działania w celu odblokowania zaszyfrowanych danych”;
3) podanie informacji, czy w związku z wystąpieniem przedmiotowego naruszenia ochrony danych osobowych Administrator rozważał zgłoszenie tego incydentu do CSIRT NASK (incydent.cert.pl) celem uzyskania szerszych informacji na temat złośliwego oprogramowania w oparciu o przesłanie jednego z zaszyfrowanych plików;
4) wskazanie, czy Administrator przeprowadził postępowanie wyjaśniające, które pozwoliło na ustalenie, że dane osobowe nie zostały ujawnione osobom nieuprawnionym;
5) przekazanie informacji w przedmiocie przeprowadzonej przez Administratora analizy zaistniałego naruszenia ochrony danych osobowych, na podstawie której ustalono, że brak dostępności danych nie spowodował wysokiego ryzyka naruszenia praw lub wolności osób fizycznych;
6) poinformowanie, czy Administrator zrealizował środki zadeklarowane w pkt 9B formularza zgłoszenia z 8 stycznia 2020 r., służące zminimalizowaniu ryzyka ponownego wystąpienia naruszenia ochrony danych osobowych, m.in. w postaci nawiązania współpracy z profesjonalnym podmiotem z dziedziny IT, mającym przeprowadzać „(…) co najmniej dwukrotnie w roku dodatkowy niezależny audyt [infrastruktury informatycznej Administratora – dod. wł.] (…)”, wprowadzenia „(…) systemu (…) (…)”, zakończenia prac zmierzających do ustanowienia „(…) segmentacji sieci (…)”, czy ograniczenia jej użytkownikom możliwości „(…) ingerencji w pracę oprogramowania antywirusowego (…)”.
W piśmie z 5 marca 2020 r., będącym odpowiedzią na ww. wezwanie Prezesa UODO, Administrator wyjaśnił, że zgłoszenie przedmiotowego „(…) incydentu do CSIRT NASK (…)” znajdowało się wprawdzie w obszarze jego zainteresowania lecz ostatecznie nie zdecydował się on na ten krok. Niemniej jednak, Administrator wskazał, że „(…) przeprowadził postępowanie wyjaśniające, jednak w pierwszej kolejności skoncentrował się na usunięciu skutków naruszenia (…)”, w którym „(…) charakter przeprowadzonego ataku (…)” wskazywał - w ocenie Administratora - z dużym prawdopodobieństwem wyłącznie na chęć „(…) wymuszenia okupu za odszyfrowanie danych, a nie ich dalsze rozpowszechnienie (…)”. Administrator nadmienił przy tym, że „(…) nie dysponuje danymi jednoznacznie wykluczającymi możliwość pobrania danych przez nieuprawnione osoby trzecie podczas włamania (…)”, zapewniając jednocześnie o pomyślnym wdrożeniu „(…) w przeważającej większości (…)” środków zadeklarowanych w pkt 9B formularza zgłoszenia naruszenia ochrony danych osobowych z 8 stycznia 2020 r., ograniczających ryzyko ponownego wystąpienia naruszenia ochrony danych osobowych, za wyjątkiem „(…) wprowadzenia systemu (…)”. Niezależnie od powyższego, Administrator przekazał treść komunikatu zawartego w pliku RTF, a także nazwę oraz rozszerzenie zaszyfrowanego pliku, tj. „(…)”.
Na podstawie analizy treści zawiadomienia przekazanego osobom, których dane dotyczą oraz charakteru zaistniałego naruszenia, czasu trwania, kategorii danych i kategorii osób, których dotyczyło naruszenie oraz zastosowanych środków naprawczych, a także w świetle złożonych przez Administratora dodatkowych wyjaśnień w związku z przedmiotowym naruszeniem ochrony danych osobowych, a w szczególności wobec braku przedstawienia przez Administratora szczegółów dotyczących przeprowadzonego postępowania wyjaśniającego oraz jego wyników, w tym dowodów, które uprawdopodabniałyby dokonanie przez Administratora stosownych ustaleń w celu rzeczywistej identyfikacji sposobu działania złośliwego oprogramowania, Prezes UODO uznał, że brak jest wystarczających przesłanek do przyjęcia założenia, pozwalającego jednoznacznie stwierdzić, że „(…) celem zaszyfrowania danych nie była ich kradzież (…)”. Na powyższej ocenie zaważyło przede wszystkim niepodanie przez Administratora szczegółów, dotyczących przeprowadzonego postępowania wyjaśniającego oraz jego wyników, w tym w szczególności brak wystarczających dowodów na przedsięwzięcie przez niego działań w celu rzeczywistego ustalenia sposobu działania złośliwego oprogramowania.
W tym świetle, uznając, że w przedmiotowej sprawie mogło jednak dojść do naruszenia poufności kategorii danych osobowych pracowników oraz klientów Administratora w postaci: numeru PESEL, serii i nr dowodu osobistego, imion i nazwisk, imion rodziców, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, adresów e-mail oraz numerów telefonu, powodujące tym samym wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Prezes UODO, działając w trybie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej uodo, oraz art. 34 ust. 4 rozporządzenia 2016/679, zwrócił się do Administratora o ponowne skierowanie zawiadomienia do osób, których dane dotyczą, w związku z naruszeniem ochrony ich danych osobowych. Organ skonstatował przy tym, że zawiadomienie przesłane do osób, których dane dotyczą, nie spełniało warunków określonych w rozporządzeniu 2016/679 w zakresie, w jakim nie zawierało informacji dotyczących imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji, opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu – w tym w stosownych przypadkach – środków w celu zminimalizowania jego ewentualnych negatywnych skutków. Stosownie do przepisów art. 52 ust. 1 uodo oraz art. 34 ust. 4 rozporządzenia 2016/679, Prezes UODO zobowiązał Administratora do poinformowania organu o wykonaniu działań w przedstawionym powyżej zakresie w terminie 30 dni od dnia otrzymania przedmiotowego wystąpienia. Niezależnie od powyższego, działając na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, organ wezwał również Administratora do uzupełnienia dotychczas złożonych wyjaśnień, poprzez:
1) przedstawienie wyników postępowania wyjaśniającego, o którym mowa w pkt (…) pisma z 5 marca 2020 r., a w szczególności wskazanie podatności, która została wykorzystana do przeprowadzenia przedmiotowego ataku, w tym sposobu, w jaki doszło do niniejszego naruszenia – czy było ono spowodowane czynnikiem ludzkim, wynikającym np. z otwarcia załącznika w korespondencji mailowej, a jeśli tak, czy administrator dokonał analizy mającej na celu ustalenie sposobu działania złośliwego oprogramowania, czy raczej naruszenie ochrony danych osobowych było efektem podatności istniejącej w systemie informatycznym, a jeżeli tak, o wskazanie okresu istnienia tej podatności oraz ewentualnych działań, jakie zostały w związku z tym faktem podjęte;
2) przekazanie informacji, czy, a jeśli tak, to kiedy i w jaki sposób Administrator regularnie testował, mierzył i oceniał skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.
W odpowiedzi na ww. wystąpienie Prezesa UODO, Administrator pismem z 10 kwietnia 2020 r. wskazał, że w sposób bezpośredni poinformował pracowników o naruszeniu ochrony ich danych osobowych, natomiast z uwagi na „(…) nadzwyczajną i obiektywną sytuację związaną z epidemią COVID-19 (…)” „(…) klienci Administratora zostali poinformowani w drodze publicznego komunikatu (…)”. Przekazał też treść sformułowanych ponownie w związku z wystąpieniem przedmiotowego naruszenia ochrony danych osobowych zawiadomień adresowanych do osób, których dane dotyczą. Administrator, w opisie możliwych konsekwencji tego naruszenia wskazywał na następujące negatywne skutki z nim związane : „(…) [d]ane, których dotyczy naruszenie mogą zostać wykorzystane w takich celach jak próba wyłudzenia innych Twoich danych, lub próba zawarcia z Tobą umowy (na przykład sprzedaży przez Internet) przy użyciu tych danych, wykonania ataku hakerskiego poprzez przesłanie powiadomienia na e-mail bądź numer telefonu. Istnieje także szansa, że otrzymasz informację handlową, marketingową, na którą nie wyraziłeś/aś zgody.”. W próbie zaś przekazania osobom, których dane dotyczą, opisu środków w celu zminimalizowania ewentualnych negatywnych następstw zdarzenia z 25 listopada 2019 r., Administrator doradzał podjęcie te osoby działań w następującym kształcie:„(…) [n]ie odpowiadaj na e-maile i smsy, których pochodzenia nie "jesteś pewien/pewna i nie otwieraj zamieszczonych w nich linków. Może to spowodować zainfekowanie Twojego sprzętu.”.
Ponadto, Administrator, nawiązując również do wcześniejszej wymiany korespondencji prowadzonej z organem nadzorczym, poinformował, że „(…) wykonał następujące czynności, zmierzające do wzmocnienia bezpieczeństwa przetwarzanych danych osobowych (…)”, wśród których należy wymienić: „(…) zupełne wycofanie z użytku systemu, na którym doszło do infekcji (…); aktualizację systemów operacyjnych do najnowszych dostępnych wersji, w tym zmianę systemu operacyjnego (…) na system (…); oparcie kontroli nad dostępem do procesów przetwarzania danych, w tym danych osobowych o „(…)”, także poprzez przypisanie użytkownikom struktury informatycznej „(…) ról odpowiadającym ich stanowiskom (…)”, z jednoczesnym ograniczeniem dostępu do pozostałych zasobów sieci;(…) „(…) pomiędzy dostępem do aplikacji na których pracują użytkownicy, a bazą danych na których są przechowywane dane osobowe i dane biznesowe (…)”; stworzenie użytkownikom sieci „(…) (…)”.
Niezależnie od powyższego, Administrator zaznaczył, że dokonał zmiany modelu pracy, poprzez wdrożenie rozwiązania (…), z jednoczesnym zamknięciem „(…) infrastruktury [informatycznej – dod. wł.] z zewnątrz (…)”; wprowadzenie (…); zaplanowanie (…) „(…) (…) (…)”. W treści wzmiankowanego pisma podkreślono również okoliczność postępującej, sukcesywnej wymiany „(…) (…) (…)” oraz fakt odebrania „(…) użytkownikom możliwości kontrolowania oprogramowania antywirusowego (…)”, które po zmianach „(…) może wyłączyć wyłącznie zespół IT (…)”. Wedle dalszych zapewnień ze strony Administratora nastąpiła „(…) (…) (…)”, a także „(…) wdrożono oprogramowanie (…) (…)”, mające w zamyśle Administratora „(…) (…)”.
Administrator wzmiankował również o planach powołania w swojej organizacji inspektora ochrony danych, „(…) który będzie odpowiedzialny za kontakty z UODO, ale też będzie w stanie zaproponować plan szkoleń dla pracowników (…)” oraz o potrzebie „(…) anonimizacji modułów bazy danych (dotyczących danych osobowych klientów indywidualnych i pracowników), aby w systemie elektronicznym dane te były szyfrowane, a ich odczyt byłby możliwy wyłącznie przez wąskie grono pracowników, posiadających kody do programu deszyfrującego.”
W próbie ustalenia etiologii przedmiotowego naruszenia ochrony danych osobowych, w ww. piśmie Administrator uzupełniająco wskazał, iż – w jego ocenie – było ono wynikiem „(…) wyłączenia licencjonowanego programu antywirusowego A. przez któregoś z pracowników (…), na skutek czego „(…) doszło do zainfekowania sprzętu (…) (…)”, „(…) uzyskania poświadczeń użytkownika (…)”, następnie zdalnego zalogowania się sprawców do systemu informatycznego i w konsekwencji do zaszyfrowania danych osobowych. Administrator poinformował też, że dla powyższego działania przestępnego wykorzystana została „(…) podatność serwera B., który od dłuższego czasu był nieaktualizowany”, wskutek niewykonania bądź niewłaściwie wykonanego zobowiązania przez podmioty, świadczące dotąd na rzecz Administratora usługi informatyczne. Wreszcie, Administrator przekazał też informację odnośnie do dokonania zgłoszenia przedmiotowej sprawy do CSIRT NASK.
Przedstawione przez Administratora informacje w powyższym zakresie i zawarte w dotychczas prowadzonej z organem nadzorczym wymianie korespondencji stanowiły – w ocenie Prezesa UODO – wystarczającą przesłankę do wszczęcia z urzędu postępowania administracyjnego w sprawie naruszenia przez Administratora przepisów o ochronie danych osobowych w rozumieniu rozporządzenia 2016/679, tj. art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i art. 28 ust. 3, art. 32 ust. 1 i art. 32 ust. 2 oraz art. 34 ust. 2 w zw. z art. 33 ust. 3 lit. c) i art. 33 ust. 3 lit. d) rozporządzenia 2016/679, o czym strona została zawiadomiona pismem z 29 stycznia 2021 r. Jednocześnie, w zawiadomieniu tym Prezes UODO wezwał Administratora do złożenia dodatkowych wyjaśnień, w tym m.in. do:
1) wskazania umowy o świadczenie usług i umowy powierzenia przetwarzania danych osobowych zawartych z podmiotami z obszaru IT, o których była mowa w piśmie z 10 kwietnia 2020 r., w tym okresu świadczenia tych usług, wraz z uzasadnieniem tego, w jaki sposób Administrator weryfikował ww. podmioty pod kątem zapewnienia wystarczających gwarancji profesjonalnego świadczenia tych usług;
2) opisania złożoności organizacyjnej Administratora, w tym podania m.in. ilości stacji roboczych, organizacji pracy, liczby pracowników obsługujących ww. stacje robocze;
3) przekazania informacji, dotyczących okresu funkcjonowania organizacji w sposób przedstawiony w piśmie z 10 kwietnia 2020 r., w szczególności poinformowania, od kiedy Administrator używał oprogramowania B.;
4) wskazania, czy Administrator posiadał – określony w piśmie z 10 kwietnia 2020 r. – serwer we własnej infrastrukturze oraz czy usługi te były i są obecnie realizowane przez podmiot zewnętrzny w formie outsourcingu, a w przypadku odpowiedzi pozytywnej, przekazanie kopii umów o świadczenie usług, w tym umowy powierzenia przetwarzania danych osobowych, zawartych z tym podmiotem;
5) poinformowania, na jakich zasadach odbywał się dostęp do środowiska informatycznego Administratora przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych oraz czy została przez Administratora dokonana analiza ryzyka pod kątem bezpieczeństwa przetwarzania danych osobowych, z jednoczesnym przedstawieniem jej wyników;
6) wskazania uzasadnienia dla nadawania uprawień administracyjnych pracownikom na stacjach roboczych i umożliwienie im tym samym wyłączenie oprogramowania antywirusowego;
7) wskazania nazw oraz dat przeprowadzonych przez Administratora szkoleń dla pracowników z zakresu przepisów o ochronie danych osobowych.
W odpowiedzi na zawiadomienie o wszczęciu postępowania, pismem z 16 lutego 2021 r., Administrator, odnosząc się do kwestii wskazania umowy o świadczenie usług i umowy powierzenia przetwarzania danych osobowych zawartych z podmiotami z obszaru IT, poinformował, że „(…) zawarł z tymi podmiotami umowy powierzenia przetwarzania danych (daty zawarcia umów 24 maja 2018 roku) oraz umowy o świadczenie usług serwisowych. Zaznaczył przy tym, że „(…) umowa o świadczenie usług nie została zawarta w formie pisemnej, niemniej strony tej umowy nie miały nigdy wątpliwości, że Y s.c. CD, EF, GH (dalej: Y) była odpowiedzialna za pełne wsparcie informatyczne od co najmniej 2010 roku, zapewnienie bezpieczeństwa przetwarzanych cyfrowo danych oraz dostarczenie rozwiązań sprzętowych spełniających najwyższy standard bezpieczeństwa.” Odnosząc się z kolei do problematyki weryfikacji podmiotu przetwarzającego pod kątem spełnienia przez niego wymogów rozporządzenia 2016/679, Administrator wskazał, że wybór wzmiankowanego partnera podyktowany był jego wieloletnim doświadczeniem uzyskanym na polu implementacji w organizacjach (…), co znalazło swój wyraz w posiadanym przezeń statusie „(…) (…)”.
Opisując swą strukturę organizacyjną, Administrator wyjaśnił, że prowadzi on działania biznesowe, począwszy od roku 1992, w formie jednoosobowej działalności gospodarczej, w której każda z 30 zatrudnionych w organizacji osób – uczestniczących w procesach przetwarzania danych osobowych – działa stosownie do udzielonych upoważnień, realizując swoje zadania na 33 stacjach roboczych. Ponadto Administrator nakreślił obraz, w którym każdy z komputerów wyposażony jest w aktualny program antywirusowy, rekomendowany przez podmiot świadczący usługi informatyczne, gdzie dostęp do zasobów „(…) chroniony jest hasłami (…)”, pozostającymi w wyłącznej dyspozycji członków personelu firmy, a „(…) wyspecjalizowane podmioty świadczące usługi informatyczne zapewniają integralność i bezpieczeństwo systemu komputerowego i zawartych w nich informacji”. Administrator podniósł przy tym, iż jakkolwiek „(…) trudno z perspektywy 2021 roku jest ustalić (…)” kiedy konkretnie „(…) nastąpiła zmiana środowiska, zapór sieciowych, czy oprogramowania antywirusowego (…), to wedle jego wiedzy „(…) system operacyjny B. [B. – dod. wł.] został zastosowany w przedsiębiorstwie Administratora od października 2010 roku, natomiast program ten korzystał ze wsparcia (…) aż do 14 stycznia 2020 roku”.
W nawiązaniu do kwestii umiejscowienia zainfekowanego w przedmiotowym ataku serwera Administrator poinformował, że znajdował się on w strukturze własnej przedsiębiorstwa, a nad jego prawidłową obsługą czuwała firma Y s.c. W chwili obecnej – zgodnie z deklaracją Administratora – „(…) obsługą serwera zajmuje się [inny podmiot z sektora wsparcia informatycznego – dod. wł.] Z Sp. z o.o.”
W charakterystyce reguł dostępowych do środowiska informatycznego firmy przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych nie występowały te związane z rozwiązaniami opartymi o (…), a analiza ryzyka tak zaprojektowanego systemu (privacy by design) „(…) opierała się na bieżącym doradztwie informatycznym świadczonym przez firmę Y.”. Administrator zapewnił jednocześnie, że w chwili wystąpienia przedmiotowego naruszenia ochrony danych osobowych „(…) pracownicy posiadali status użytkowników standardowych, bez uprawnień administracyjnych do serwera (…)”, a ich poziom wiedzy z zakresu przepisów o ochronie danych osobowych, zdobyty dzięki uczestnictwu w dwóch przeprowadzonych przez Administratora szkoleniach, tj. odpowiednio „(…) w dniu 30 czerwca 2018 roku w przedmiocie: RODO — ogólne zasady stosowania nowych regulacji oraz w dniu 20 maja 2020 roku w przedmiocie: RODO i ustawa o ochronie danych osobowych w funkcjonowaniu przedsiębiorstwa (…)” pozwalał – w ocenie Administratora – na uznanie, że osoby u niego zatrudnione mają świadomość, że „(…) nie jest dopuszczalne samodzielne konfigurowanie ustawień sprzętu czy oprogramowania”.
W celu uzupełnienia dotychczas przedłożonych w niniejszej sprawie wyjaśnień, Prezes UODO, w piśmie z 1 lipca 2021 r. zwrócił się do Administratora o ustosunkowanie się do następujących kwestii:
1) opisania stosowanych przez Administratora procedur tworzenia, przechowywania oraz testowania kopii zapasowych zarówno przed, jak i po wystąpieniu przedmiotowego naruszenia;
2) wskazania, czy Administrator wdrożył skutecznie zapory (…), zgodnie z deklaracjami zawartymi w pismach z 5 marca oraz 10 kwietnia 2020 r., wraz z podaniem daty ich wprowadzenia;
3) przekazania kopii korespondencji prowadzonej – zgodnie z deklaracją Administratora – w odniesieniu do przedmiotowej sprawy z CSIRT NASK;
4) wskazania, jakie uprawnienia posiadali pracownicy Administratora na stacjach roboczych;
5) przekazania informacji, czy nowy podmiot świadczący na rzecz Administratora usługi informatyczne, tj. Z Sp. z o.o. z siedzibą w M., dokonywał audytu bezpieczeństwa środowiska informatycznego Administratora, do przeprowadzenia którego obligowała go treść pkt (…)Załącznika C „(…)" do „(…)”, w tym przedstawienie jego wyników oraz o poinformowanie, czy zostały one uwzględnione przez Administratora w dokonanej przez niego analizie ryzyka dla procesów przetwarzania danych osobowych;
6) poinformowania, czy Administrator przeprowadzał dla personelu szkolenia z zakresu przepisów o ochronie danych osobowych w drugiej połowie 2020 r. oraz w roku 2021, wraz z podaniem dat oraz nazw tych szkoleń.
W wyjaśnieniach z 16 sierpnia 2021 r. Administrator przedłożył, że kopie zapasowe wykonywane są w sposób automatyczny, w odstępach 24-godzinnych, z wykorzystaniem (…) oprogramowania (…), przy użyciu oprogramowania C. (…), gdzie generowany jest „(…) raport podsumowujący do administratorów odpowiedzialnych za nadzór nad kopiami zapasowymi.” Administrator podniósł także, iż „(…) przechowuje lokalnie co najmniej 90 ostatnich kopii zapasowych (…)”, zaś„(…) po zakończeniu każdego cyklu backupu wykonywana jest replika kopii zapasowej do repozytorium, którym dysponuje Z. Sp. z o.o. (…)”. Z kolei „(…) w zdalnym repozytorium przechowywane jest co najmniej 7 ostatnich punktów odtworzenia.”
Administrator wskazał również na okoliczność wstrzymania prac nad wdrożeniem „(…) urządzenia (…) oraz zmianie sposobu ochrony środowiska (…)”, poprzez zaimplementowanie „(…) na wszystkich komputerach końcowych [oraz serwerach z dostępem użytkowników końcowych – dod. wł.] oprogramowania (…) w wersji pozwalającej na analizę wszystkich stacji roboczych”. Co więcej – wedle deklaracji Administratora – użytkownicy pozbawieni są obecnie możliwości jakiegokolwiek wpływu na efektywność działania ww. oprogramowania, które zostało „(…) ustawione w maksymalnie agresywny sposób, przedkładając bezpieczeństwo ponad wygodę pracy użytkownika końcowego (…)”, tak aby „(…) aktywnie blokować połączenia przychodzące od analizowanego punktu końcowego (…)”.
Nawiązując do problematyki uprawnień, jakie były w posiadaniu pracowników Administratora na stacjach roboczych w czasie, gdy doszło do przedmiotowego naruszenia ochrony danych osobowych, Administrator scharakteryzował je jako „(…) uprawnienia użytkowników standardowych”. Z kolei w odniesieniu do kwestii dokonanego przez Z. Sp. z o. o. z siedzibą w M. audytu bezpieczeństwa środowiska informatycznego Administratora poinformowano o fakcie zrealizowania ww. działania, które zaowocowało powstaniem „(…)”, który w zamyśle Administratora stanowić ma punkt odniesienia dla wyznaczania kolejnych celów w zakresie bezpieczeństwa informatycznego.
Niezależnie od powyższego, Administrator przyznał, że w drugiej połowie 2020 r. oraz w roku 2021 „(…) nie zostały przeprowadzone dodatkowe szkolenia [z zakresu przepisów o ochronie danych osobowych – dod. wł.] (…)”, jednakże dotychczas zrealizowane działania edukacyjne w powyższym zakresie przełożyły się – jego zdaniem – na należyty „(…) wzrost świadomości pracowników Administratora w obszarze ochrony danych osobowych.”
Administrator przekazał też treść wymienionej z CSIRT NASK w przedmiotowej sprawie korespondencji.
Niezależnie od powyższego, Administrator w piśmie z 9 listopada 2021 r. ponownie odniósł się do przyczyn leżących u powstania przedmiotowego naruszenia ochrony danych osobowych, identyfikując je, jako będące wynikiem błędu ludzkiego, „(…) którego nie można było uniknąć, pomimo przedsięwzięcia działań zmierzających do ochrony danych osobowych (…)”, a który zmaterializował się z przyczyn losowych 25 listopada 2019 r., „(…) w trakcie przeprowadzania prac modernizacyjnych (…)” oraz w okresie kiedy miał miejsce transfer „(…) obowiązków pomiędzy dwoma firmami świadczącymi usługi [informatyczne – dod. wł.] dla firmy X (…)”. Administrator uwypuklił jednocześnie problem, z którym zmaga się – jego zdaniem – w codziennej działalności każda organizacja, a dotyczący czynnika ludzkiego, jako tego czynnika ryzyka, którego nie mogą całkowicie wyeliminować „(…) nawet nadzwyczajne działania pracodawcy (…)”, przytaczając przy tym szereg przypadków zaczerpniętych z historii funkcjonowania swojej organizacji, będących przykładami działań ze strony personelu, jawnie odbiegających od obowiązujących w organizacji Administratora procedur dotyczących ochrony danych osobowych.
Poczynione w toku niniejszego postępowania ustalenia pozwoliły na stwierdzenie, że za proces przetwarzania danych osobowych objętych przedmiotowym naruszeniem ochrony danych osobowych odpowiedzialny był również każdy ze wspólników Y s.c. (Al. (…)), zwanej dalej również Podmiotem przetwarzającym. W konsekwencji, wobec spełnienia określonych na gruncie art. 28 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), przesłanek, Prezes UODO zważył, że w niniejszej sprawie zachodzi uzasadniona konieczność dokonania przez organ oceny realizacji przez Panią CD, Pana EF oraz Pana GH, obowiązków Podmiotu przetwarzającego, którym Administrator powierzył na podstawie § 2 pkt 1 zawartej 24 maja 2018 r. „(…)” przetwarzanie w jego imieniu i na jego rzecz danych osobowych swoich „(…) pracowników, pracowników tymczasowych, zleceniobiorców, wykonawców, członków rodziny pracownika, praktykantów i stażystów, kontrahentów (…)”, o czym strony zostały odpowiednio zawiadomione w dacie 10 czerwca 2022 r. Należy przy tym zaznaczyć, że zgodnie z przedstawioną przez Podmiot przetwarzający pismem z 24 maja 2022 r. treścią zawartej 19 maja 1998 r. „(…)”, wraz z późniejszymi aneksami, Pani CD – stosownie do datowanego na dzień 28 grudnia 2021 r. „(…)” – wystąpiła „(…) [z] dniem 31 grudnia 2021 r. ze spółki Y S.C. (…)”.
Niezależnie od powyższego, działając w trybie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, Prezes UODO wezwał 10 czerwca 2022 r. każdą z osób, będącą w dacie zaistnienia przedmiotowego naruszenia ochrony danych osobowych wspólnikiem spółki cywilnej Y. (Al. (…)), tj. Panią CD, Pana EF oraz Pana GH do:
1) przedłożenia polityki bezpieczeństwa obowiązującej w Y s.c. w okresie od 24 maja 2018 r. do 3 grudnia 2019 r., mającej wpływ na procesy przetwarzania danych osobowych powierzonych przez Administratora;
2) scharakteryzowania podjętych przez Y s.c. w okresie od 24 maja 2018 r. do 3 grudnia 2019 r. działań, mających na celu wspomożenie Administratora w wywiązywaniu się przez niego z obowiązków określonych w art. 32 – 36 rozporządzenia 2016/679, w tym o wskazanie, czy Y s.c. dokonywała audytu bezpieczeństwa infrastruktury informatycznej Administratora, a w przypadku udzielenia odpowiedzi pozytywnej o podanie daty oraz wyników przeprowadzonej ewaluacji, zaś w sytuacji udzielenia odpowiedzi negatywnej o wskazanie przyczyn braku dokonania takiego sprawdzenia;
3) przedstawienia opisu przyczyn wystąpienia incydentu bezpieczeństwa z 25 listopada 2019 r, w wyniku którego doszło do naruszenia ochrony przetwarzanych przez Administratora danych osobowych;
4) przekazania informacji w przedmiocie posiadanych przez użytkowników infrastruktury informatycznej Administratora uprawnień do zainfekowanego serwera zarówno przed, jak i po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych;
5) wskazania daty zakończenia współpracy między Administratorem oraz Y s.c.
W zgodnych oświadczeniach złożonych organowi nadzorczemu odpowiednio 27 czerwca 2022 r. oraz 8 lipca 2022 r. ww. wspólnicy spółki cywilnej Y wskazali, co następuje:
1) „(…) Spółka Y s.c. nie ma i nie miała podpisanej umowy na administrowanie infrastruktury informatycznej w firmie X.”, będąc odpowiedzialną „(…) za dostarczenie serwera bazy danych, licencji, wdrożenie i prace serwisowe związane z systemem d., stąd „(…) posiada w obrębie infrastruktury informatycznej Administratora uprawnienia do zarządzania systemem d.”;
2) „(…) w okresie od dnia 24 maja 2018 do 3 grudnia 2019 (…)” podjęto szereg działań, mających na celu pomoc Administratorowi w wywiązywaniu się przez niego z obowiązków określonych w art. 32-36 rozporządzenia 2016/679, zgodnie z łączącą oba podmioty umową powierzenia przetwarzania danych osobowych z 25 maja 2018 r., tj.: „(…) - w dniach 25 oraz 27 czerwca 2019 wykonano kontrolę backupu, odłączono niepotrzebne dyski USB i dokonano konfiguracji backupu na wskazane przez Administratora miejsce na serwerze N., który nie był dostarczony, konfigurowany i zarządzany przez Y s.c.; - w dniu 16 września 2019 [Y s.c. – dod. wł.] dostarczyła Serwer (…), wraz z licencjami B. na potrzeby systemu d.; - w dniu 13 listopada 2019 złożyła ofertę na Router oraz UPS, po zaakceptowaniu oferty, w dniu 20 listopada 2019 dostarczyła fizycznie sprzęt, ale nie wykonano instalacji w siedzibie firmy X (…)”;
3) „(…) po wystąpieniu ataku ransomware na infrastrukturę informatyczną Administratora w dniach od 25 listopada do 3 grudnia 2019 podjęto [Y, Al. (…) – dod. wł.] następujące działania: odłączenie serwera od sieci; dostarczenie licencji oprogramowania antywirusowego A.; odszyfrowanie bazy; skanowanie komputerów z oddziałów i centrali; instalacja nowego (…) + podstawowa konfiguracja + (…); instalacja systemu na nowym serwerze; konfiguracja systemu i instalacja d. - odtworzenie bazy; rozpoczęcie analizy przypadku; skanowanie nowo zakupionym oprogramowaniem A. serwera”;
4) „(…) Spółka Y s.c. nie dokonywała audytu bezpieczeństwa infrastruktury informatycznej Administratora, a przyczyną był brak takiego zlecenia ze strony Administratora oraz nie wchodziło to w zakres zawartej umowy powierzenia danych osobowych zawartej w dniu 24 maja 2018.”
5) wedle oceny Podmiotu przetwarzającego, dokonanej na podstawie „(…) działań podjętych w celu odzyskania utraconej przez Administratora dostępności danych (…) głównymi przyczynami [zaistnienia przedmiotowego naruszenia ochrony danych osobowych – dod. wł.] były zaniedbania pracowników odnośnie przestrzegania zasad użytkowania sprzętu informatycznego wewnątrz firmy X.”
Jednocześnie, Podmiot przetwarzający przedstawił treść obowiązującej w jego organizacji „(…) w momencie wystąpienia incydentu” [przedmiotowego naruszenia ochrony danych osobowych – dod. wł.] Polityki bezpieczeństwa oraz przedłożył kopię „(…)” „(…) w celu realizacji [tej – dod. wł.] umowy w zakresie prowadzenia, eksploatacji i konserwacji systemu d. w przedsiębiorstwie Administratora, oraz należytego wypełnienia obowiązku wobec ustawowo umocowanych organów państwowych.”, wskazując przy tym, że „(…) powyższa Umowa powierzenia danych osobowych nie została wypowiedziana przez żadną ze stron i nadal obowiązuje.”
Celem uzupełnienia dotychczas złożonych w toku niniejszego postępowania administracyjnego wyjaśnień, Prezes UODO zwrócił się 25 maja 2023 r. do Administratora w trybie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 o:
1) wskazanie serwera, na którym doszło do wystąpienia przedmiotowego naruszenia ochrony danych osobowych;
2) poinformowanie, czy system „d.” posadowiony był na serwerze, korzystającym z oprogramowania (…);
Nadto, mając na uwadze, iż Administrator w pkt 3 pisma z 10 kwietnia 2020 r. podał, m. in., że „(…) Dotychczasowa firma (z której usług Administrator nie był zadowolony ze względu na brak terminowego świadczenia usług serwisowych oraz audytów systemów bezpieczeństwa) została zastąpiona na przełomie września i października 2019 roku przez firmę Y s.c.”, organ zwrócił się o ujawnienie podmiotu, który przed wspólnikami spółki cywilnej Y świadczył na rzecz Administratora usługi w zakresie bezpieczeństwa systemów IT oraz wezwał do wskazania, czy współpraca ze wspólnikami Y s.c., Al. (…), została zakończona, a w przypadku udzielenia odpowiedzi pozytywnej, poprosił Administratora o podanie daty zakończenia tej współpracy, w tym stosunku powierzenia przetwarzania danych osobowych.
Niezależnie od powyższego, Prezes UODO, pismami datowanymi na dzień 25 maja 2023 r., wezwał zarówno byłych, jak i obecnych wspólników spółki cywilnej Y, tj. Panią CD, Pana EF oraz Pana GH do:
1) poinformowania, czy dostarczony 16 września 2019 r. serwer (…) był serwerem, na którym doszło do wystąpienia przedmiotowego naruszenia ochrony danych osobowych, a w przypadku udzielenia odpowiedzi negatywnej, o wskazanie serwera objętego tym naruszeniem;
2) wskazania, jakie licencje zostały dostarczone przez Y s.c. (Al. (…)) na potrzeby systemu d.;
3) poinformowania, czy system d. posadowiony był na serwerze, korzystającym z oprogramowania E.
W odpowiedzi na wyżej postawione zagadnienia ww. wspólnicy spółki cywilnej Y, w zgodnych oświadczeniach złożonych do organu nadzorczego 5 czerwca 2023 r. wskazali, co następuje:
1) „(…) Przedmiotowe naruszenie ochrony danych osobowych wystąpiło na innym serwerze. Serwer, na którym doszło do naruszenia to Serwer (…) .”;
2) „(…) Na potrzeby systemu d. Y s.c. dostarczył do X następujące licencje: d. (…) - 1 szt., d.(…) - 2 szt., d. (…) - 1 szt., d. (…) - 23 szt. d. (…) - licencja serwerowa, d. (…) - licencja serwerowa, dodatek do systemu d. (…), dodatek do systemu d. (…), dodatek do systemu d. (…), M. (…) - 1 szt., (…) - 15 szt., (…) - 10 szt., M. (…) - 35 szt., (…) - 1 szt., E. - 20 szt.”;
3) „(…) Na serwerze korzystającym z oprogramowania E. był zainstalowany serwer F.z bazą danych, z której korzystał system d. Instalacja aplikacji klienckiej d. była wykonana na komputerach użytkowników.”.
Z kolei, Administrator odniósł się do postawionych przed nim przez Prezesa UODO w dacie 25 maja 2023 r. kwestii dopiero w piśmie z 7 lipca 2023 r. i to pomimo złożonego przed organem 5 czerwca 2023 r. pisemnego zobowiązania „(…) do przedłożenia w/w odpowiedzi do dnia 15 czerwca 2023 roku.”. Niemniej wyjaśnił, że:
1) „(…) Przedmiotowy incydent dotyczący ochrony danych osobowych wystąpił na serwerze: (…).”;
2) „(…) Na serwerze korzystającym z oprogramowania E. był zainstalowany serwer F. z bazą danych, z której korzystał system d. Instalacja aplikacji klienckiej e. była wykonana na komputerach użytkowników.”;
3) „(…) W piśmie z dnia 16 lutego 2021 roku Administrator wskazał, że Y s.c. CD, EF, GH (dalej Y) była odpowiedzialna za pełne wsparcie informatyczne od co najmniej 2010 roku, zapewnienie bezpieczeństwa przetwarzanych cyfrowo danych oraz dostarczenie rozwiązań sprzętowych spełniających najwyższy standard bezpieczeństwa. Z kolei V s.c. IJ, KL (dalej V) zajmował się kwestiami związanymi z alarmem, siecią Wi-fi czy łączami telefonicznymi.”;
4) „(…) Administrator nie rozwiązał umowy z Y albowiem w pewnym zakresie nadal współpracuje z tym podmiotem.”.
W próbie wszechstronnego rozpatrzenia zgromadzonego w ramach niniejszego postępowania administracyjnego materiału dowodowego i pojawiających się w związku z tym faktem nieścisłości odnośnie do ustaleń, dotyczących serwera, na którym doszło do wystąpienia przedmiotowego naruszenia ochrony danych osobowych, Prezes UODO zwrócił się pismami opatrzonymi datą 20 września 2023 r. do wszystkich stron tego postępowania o przekazanie w sposób jednoznaczny informacji, czy system „d.” posadowiony był na serwerze „(…)”, korzystającym z oprogramowania E., a w przypadku udzielenia odpowiedzi negatywnej, o wskazanie nazwy oprogramowania wykorzystywanego do obsługi serwera, na którym doszło do wystąpienia przedmiotowego naruszenia ochrony danych osobowych.
Na tak postawione przez organ pytanie, zarówno byli oraz obecni wspólnicy spółki cywilnej Y, jak również Administrator przedstawili odpowiednio 29 września 2023 r. i 3 października 2023 r. tożsame i precyzyjne wyjaśnienia o następującej treści, cyt. „(…) System >>d. << posadowiony był na serwerze „(…)", korzystającym z oprogramowania E.”.
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
I. Naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.
I.1. Zarządzanie ryzykiem dla operacji przetwarzania danych osobowych.
Organ nadzorczy w zawiadomieniu z 29 stycznia 2021 r. o wszczęciu postępowania administracyjnego wskazał, że Administrator nie wypełnił m.in. obowiązku wynikającego z art. 32 ust. 1 rozporządzenia 2016/679, polegającego na doborze odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, w tym zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, czym jednocześnie uchybił on swoim obowiązkom w zakresie zapewnienia i wykazania zgodności przetwarzania z wymogami rozporządzenia 2016/679, o których mowa w art. 24 ust. 1 rozporządzenia 2016/679 oraz obowiązkowi skutecznej realizacji zasad ochrony danych, określonemu w art. 25 ust. 1 rozporządzenia 2016/679, a w konsekwencji naruszył określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 zasadę integralności i poufności, nakładającą na Administratora obowiązek należytej dbałości przy zapewnianiu procesom przetwarzania danych osobowych odpowiedniego (w stosunku do ryzyka) poziomu bezpieczeństwa.
Biorąc pod uwagę szeroki zakres kategorii danych osobowych poddanych przez Administratora procesom przetwarzania, obejmujący również dane umożliwiające jednoznaczną identyfikację osób fizycznych, tj. numer PESEL oraz kategorie osób, których te dane dotyczyły, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia, Administrator tym bardziej zobowiązany był do podjęcia działań zapewniających właściwy poziom ochrony danych osobowych, poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych.
Nie budzi wątpliwości fakt, iż wedle unormowanego w przepisach rozporządzenia 2016/679 podejścia do ryzyka (risk based approach), to na administratorze spoczywa ciężar podjęcia procesów identyfikacji oraz oceny czynników ryzyka i na tym fundamencie sformułowania własnej strategii jego ograniczania. Błędne zaś oszacowanie poziomu ryzyka lub co gorsza jego brak uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu, co immanentnie przyczynia się do zwiększenia prawdopodobieństwa materializacji negatywnych skutków dla osób, których dane podlegają przetwarzaniu w ramach określonego procesu. W świetle powyższej argumentacji, wskazać zatem należy, że rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter nieprzerwanego procesu. Warunkiem zaś kluczowym dla wykazania spełnienia stawianych przed administratorami wymogów, zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, pozostaje nie tylko jednorazowe wdrożenie przez nich technicznych i organizacyjnych środków w celu zagwarantowania procesom przetwarzania danych osobowych odpowiedniego poziomu ochrony, ale również – w ramach dynamicznego podejścia – zapewnienie ciągłości monitorowania poziomu zagrożeń w relacji do adekwatności wprowadzonych zabezpieczeń. Administrator obowiązany jest zatem samodzielnie dokonać szczegółowej analizy realizowanych procesów przetwarzania danych osobowych i w sposób wyczerpujący ocenić potencjalne zagrożenia dla prywatności osób, których te dane dotyczą, a następnie zastosować środki, które będą adekwatne do oszacowanego ryzyka. W konsekwencji, uznać należy, że analiza ryzyka formuje grunt do odpowiedniego zarządzania możliwymi podatnościami, rozumianymi jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie danej organizacji, a nawet prowadzić do incydentów bezpieczeństwa bądź naruszeń ochrony danych osobowych.
Nie ulega wątpliwości, że w przedstawionym stanie faktycznym niniejszej sprawy główne ryzyko związane z realizowanymi przez Administratora procesami przetwarzania danych osobowych należało identyfikować z zagrożeniem płynącym z możliwości skompromitowania, z wykorzystaniem złośliwego oprogramowania, jego infrastruktury informatycznej, uruchomieniem w niej obcych procesów oraz rozpoczęciem procesu szyfrowania w celu uzyskania korzyści finansowej w zamian za późniejszą dekryptację danych, tj. ransomware. Kluczową metodę prewencji przed tego typu atakiem stanowi natomiast używanie aktualnego oprogramowania dla wszystkich elementów infrastruktury informatycznej.
Odnosząc powyższą konstatację do okoliczności przedmiotowej sprawy, wskazać zatem należy, że przedstawiony stan faktyczny stanowi czytelną egzemplifikację stanu przeciwnego do postulowanego przepisami rozporządzenia 2016/679. Poczynione w toku niniejszego postępowania ustalenia niezbicie bowiem dowodzą, że Administrator w niezwykle szerokim przedziale czasowym, bo co najmniej od daty rozpoczęcia stosowania przepisów rozporządzenia 2016/679, tj. od 25 maja 2018 r. (przyjęcie tej perspektywy wydaje się być najbardziej względne dla oceny Administratora w zakresie spełnienia przez niego zasady rozliczalności) wykorzystywał do realizacji procesów przetwarzania danych osobowych nieaktualne wersje serwera B. i to pomimo faktu, iż – jak sam zauważył w piśmie datowanym na 16 lutego 2021 r. – „(…) program ten korzystał ze wsparcia E. aż do 14 stycznia 2020 roku.” Przeciwnie: zgromadzony w niniejszej sprawie materiał dowodowy nie wykazuje, aby Administrator korzystał w okresie oferowanego przez producenta oprogramowania wsparcia technicznego z możliwości przeprowadzania bieżących aktualizacji oprogramowania serwera B. W tym świetle, sekwencja wydarzeń jaka miała miejsce 25 listopada 2019 r. w postaci „(…) zainfekowania sprzętu (…) (…)”, uzyskania na tej podstawie „(…) poświadczeń użytkownika, co pozwoliło na zdalne zalogowanie się do niego i rozpoczęcie procesu szyfrowania”, nie powinna budzić wątpliwości, albowiem stanowiła ona materializację utrzymującego się od dłuższego czasu stanu wysokiego ryzyka wystąpienia naruszenia ochrony danych, wywołanego faktem oparcia przez Administratora procesów przetwarzania danych osobowych na architekturze informatycznej posiadającej, wobec zaniechania należytej staranności przy dokonywaniu cyklicznych aktualizacji, szereg powszechnie znanych błędów bezpieczeństwa.
Co istotne, w pismach odpowiednio z 10 kwietnia 2020 r. oraz 16 lutego 2021 r. Administrator przyznał, że na podstawie przeprowadzonego postępowania zmierzającego do ustalenia przyczyn wystąpienia przedmiotowego naruszenia ochrony danych osobowych „(…) zakłada, że została wykorzystana podatność serwera B., który od dłuższego czasu był nie aktualizowany.”, pomimo faktu, iż „(…) program ten korzystał ze wsparcia E. aż do 14 stycznia 2020 roku.” Z powyższego stwierdzenia wynika zatem, że zdarzenie z 25 listopada 2019 r. było logiczną konsekwencją leżących po stronie Administratora i świadczących o jego rażącym niedbalstwie zaniechań, przejawiających się zarówno przystąpieniem przez niego do operacji przetwarzania danych osobowych z pominięciem dokonania identyfikacji ryzyk związanych z zachodzącymi w jego organizacji procesami przetwarzania danych osobowych, jak i brakiem regularnego testowania, mierzenia i oceniania wdrożonych dla tych procesów technicznych i organizacyjnych środków bezpieczeństwa (a których to wymogów Administrator zobowiązany był przestrzegać co najmniej od dnia rozpoczęcia stosowania rozporządzenia 2016/679) i to pomimo posiadania wiedzy na temat oferowanych przez producenta oprogramowania aktualizacji. W konsekwencji, uznać należy, że Administrator wdrażając techniczne i organizacyjne środki w celu zapewnienia bezpieczeństwa procesom przetwarzania danych osobowych w swojej organizacji, a priori pozbawiony był skutecznego narzędzia oceny, czy są one wystarczające, a brak dokonywania okresowych sprawdzeń zaimplementowanych narzędzi i ich oceny pod kątem ryzyka jedynie ten stan niewiedzy potęgował.
Nie ulega wątpliwości, że jednym z kluczowych elementów analizy ryzyka, obok ustalenia zasobów, które mają być w obszarze przetwarzania chronione, jest m.in. identyfikacja związanych z ww. obszarami przetwarzania możliwych rodzajów zagrożeń oraz przypisanie im odpowiednich poziomów. Tymczasem, w zgromadzonym w toku niniejszego postępowania materiale dowodowym na próżno doszukiwać się można jakiejkolwiek wzmianki o przedsiębranych przez Administratora działaniach zmierzających do przeprowadzenia stosownej ewaluacji ryzyka, immanentnie przecież związanego z realizowanymi w jego organizacji operacjami przetwarzania danych osobowych, nie wspominając o wzięciu przez niego pod uwagę prawdopodobieństwa zaktualizowania się zagrożenia związanego z atakiem cyberprzestępców na infrastrukturę informatyczną w celu zaszyfrowania przetwarzanych w niej danych osobowych i uzyskania na tej podstawie korzyści materialnych za ich późniejszą dekryptację.
Niewątpliwie, obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, wynikający m.in. z art. 32 ust. 1 rozporządzenia 2016/679, stanowi fundament skutecznego systemu ochrony danych osobowych. Rozporządzenie 2016/679, wprowadzając podejście oparte na ryzyku, wskazuje jednocześnie w art. 32 ust. 1 kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. I tak, obok identyfikacji ryzyka naruszenia praw lub wolności osób fizycznych, należy jeszcze uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. W konsekwencji uznać należy, że dobór środków bezpieczeństwa powinien być warunkowany przez okoliczności i warunki przetwarzania danych oraz prawdopodobieństwo i powagę zdarzeń, które mogą doprowadzić do naruszenia praw lub wolności osób, których dane są przetwarzane.
Podkreślenia przy tym wymaga fakt, że środki bezpieczeństwa, dobrane z uwzględnieniem kryteriów wynikających z art. 32 ust. 1 rozporządzenia 2016/679, dla swojej skuteczności, rozumianej jako właściwa ochrona procesów przetwarzanych danych osobowych, oparte być muszą na wszechstronnie przeprowadzonej, tj. z uwzględnieniem wszystkich realnie występujących w danym kontekście przetwarzania danych osobowych zagrożeń, analizie ryzyka, której w niniejszej sprawie wyraźnie zabrakło. Jak zostało to już bowiem zasygnalizowane, Administrator nie dostarczył żadnych dowodów, które uprawdopodabniałyby fakt dokonania przez niego tak przed, jak i po rozpoczęciu procesów przetwarzania danych osobowych, w sposób kompleksowy, a więc uwzględniający również prawdopodobieństwo wystąpienia ataku oprogramowaniem ransomware, analizy ryzyka, do czego był, stosownie do zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679, zobligowany. Rzecz jasna, nie można rozpatrywać w ujęciu holistycznym analizy ryzyka zaprojektowanego przez Administratora systemu, która „(…) opierała się na bieżącym doradztwie informatycznym świadczonym przez firmę Y”. W tym kontekście nie powinno więc dziwić, że wobec niemożności dobrania przez Administratora adekwatnych do istniejących zagrożeń środkówbezpieczeństwa zastosowane w jego infrastrukturze zabezpieczenia, przedstawione chociażby w pkt 9A uzupełniającego formularza zgłoszenia naruszenia ochrony danych osobowych z 8 stycznia 2020 r., tj. „(…) Zawieranie umów powierzenia przetwarzania danych z procesorami, ograniczone zakresowo upoważnienia dla pracowników, komputery posiadające indywidualne konta użytkowników i hasła, wygaszacze ekranu zmiana haseł, stosowanie oprogramowania antywirus, firewall, lokalizacja serwera w niedostępnym dla osób nieupoważnionych miejscu, system alarmowy, korzystanie z usług firmy ochroniarskiej poza godzinami pracy”, w przypadku ataku z użyciem złośliwego oprogramowania „M.”, okazały się nieskuteczne. Jednocześnie, nie ulega przy tym wątpliwości, iż tego niekorzystnego stanu rzeczy Administrator mógł uniknąć, gdyby istniejący w jego organizacji system ochrony danych osobowych oparty został na realnych przesłankach, a więc w szczególności na przeprowadzonej w sposób wyczerpujący i ponawianej cyklicznie analizie ryzyka (por. wyrok WSA w Warszawie z 13 maja 2021 r., sygn. akt II SA/Wa 2129/20; wyrok WSA w Warszawie z 5 października 2023 r., sygn. akt II SA/Wa 502/23).
Jak zostało wcześniej wykazane, Administrator nie zidentyfikował zagrożenia związanego z możliwością przełamania zabezpieczeń systemu informatycznego wykorzystywanego w procesach przetwarzania danych osobowych zarówno jego byłych, jak i obecnych pracowników oraz kontrahentów, a następnie ich zaszyfrowania. W tym kontekście, tym bardziej pewien niepokój i zdziwienie budzić więc musi – wobec niedostarczenia przez Administratora jakichkolwiek dowodów dokumentujących powzięte przez niego czynności, stosownie do zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679 – pominięcie dokonania przez niego ogólnej analizy ryzyka na kanwie przedmiotowego naruszenia ochrony danych osobowych, a więc z uwzględnieniem ryzyka skompromitowania jego infrastruktury informatycznej z wykorzystaniem złośliwego oprogramowania, za pośrednictwem stacji roboczej któregoś z jego pracowników. Zgodnie z zawartą przez Administratora w piśmie z 9 listopada 2021 r. deklaracją, decydującą „(…) przyczyną wystąpienia w listopadzie 2019 roku incydentu, który zapoczątkował prowadzenie przez Prezesa Urzędu Ochrony Danych Osobowych [postępowania administracyjnego w przedmiotowej sprawie – dod. wł.] był (prawdopodobieństwo graniczące z pewnością) błąd człowieka (…)” (notabene za główną przyczynę wystąpienia przedmiotowego naruszenia ochrony danych osobowych uznane zostały w zgodnej ocenie wspólników Y s.c., czyli Podmiotu przetwarzającego odpowiedzialnego względem Administratora „(…) za pełne wsparcie informatyczne od co najmniej 2010 roku, zapewnienie bezpieczeństwa przetwarzanych cyfrowo danych oraz dostarczenie rozwiązań sprzętowych spełniających najwyższy standard bezpieczeństwa” właśnie „(…) zaniedbania pracowników odnośnie przestrzegania zasad użytkowania sprzętu informatycznego wewnątrz firmy X.”). Rzecz jasna, za pewne remedium na ewentualność powtórzenia się sytuacji podobnej do tej zaistniałej 25 listopada 2019 r., uznać można szeroko opisane przez Administratora, m.in. w piśmie z 10 kwietnia 2020 r., techniczne i organizacyjne środki bezpieczeństwa, a które zostały przytoczone na str. 7 i 8 uzasadnienia niniejszej decyzji. Niemniej jednak, zgromadzony w niniejszej sprawie materiał dowodowy nie daje podstaw do przyjęcia, że owe środki mitygujące ryzyko ponownego wystąpienia naruszenia ochrony danych osobowych wdrożone zostały z uwzględnieniem prawideł logiki i doświadczenia życiowego.
Na podstawie utrwalonego w toku niniejszego postępowania materiału dowodowego nie sposób również w sposób jednoznaczny stwierdzić, czy wdrożone przez Administratora po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych środki zaradcze zasadzały się na przeprowadzeniu jakichkolwiek testów bezpieczeństwa posiadanych przez niego zasobów. O przeprowadzeniu takowych nie może świadczyć jedynie pojawiająca się w wyjaśnieniach Administratora z 16 sierpnia 2021 r. wzmianka o przeprowadzonym przez Z Sp. z o.o. z siedzibą w M. audycie bezpieczeństwa środowiska informatycznego Administratora, który zaowocował powstaniem „(…)”, mającym w zamyśle Administratora stanowić dopiero pewien punkt odniesienia dla wyznaczania kolejnych celów w zakresie bezpieczeństwa informatycznego firmy, tym bardziej, że Administrator nie ujawnił treści ww. dokumentu, pomimo skierowanego do niego w tej sprawie 1 lipca 2021 r. wezwania.
Zdaniem organu nadzorczego kompleksowa identyfikacja potencjalnych zagrożeń dla procesów przetwarzania danych osobowych i ich odpowiednia klasyfikacja, a następnie wdrożenie na tej podstawie odpowiednich środków technicznych i organizacyjnych w celu zagwarantowania procesom przetwarzania danych osobowych należytego poziomu ochrony stanowi obok ich właściwej weryfikacji, zarówno przed, jak i po uruchomieniu rzeczonych procesów, fundament, na którym opierać się powinien system ochrony danych osobowych w każdej organizacji. W tym kontekście, należy zauważyć, że Administrator nie przedstawił żadnych środków dowodowych jednoznacznie uprawdopodabniających fakt wdrożenia przez niego po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych technicznych i organizacyjnych środków bezpieczeństwa z uwzględnieniem ryzyka związanego z możliwością przełamania zabezpieczeń systemu informatycznego wykorzystywanego przez Administratora w procesach przetwarzania danych osobowych, a następnie ich zaszyfrowania. Powyższe stanowi zatem okoliczność, w której nie jest on w stanie w sposób nie budzący wątpliwości wykazać, stosownie do zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, że dobór tych środków nie nastąpił niejako w sposób dowolny, tj. bez należytego uwzględnienia ryzyka wynikającego z kontekstu realizowanych procesów przetwarzania. Co za tym idzie, tak wdrożone środki mitygujące prawdopodobieństwo wystąpienia naruszenia ochrony danych osobowych, narażają Administratora na realne niebezpieczeństwo, iż przewidziane przez niego działania stanowić będą w rezultacie nieadekwatną próbę reakcji na inherentne ryzyko dla procesów przetwarzania danych osobowych. Z kolei dalsze powstrzymywanie się przez niego od dokonywania ich regularnej ewaluacji (brak jest bowiem jakichkolwiek dowodów na to, że tego typu czynności były w ogóle przez Administratora podejmowane) i wymaganych okolicznościami aktualizacji, stwarza realne zagrożenie wystąpienia naruszenia ochrony danych osobowych w przyszłości.
Mając na względzie przytoczoną powyżej argumentację, w ocenie Prezesa UODO, niemożność wykazania się przez Administratora dokumentacją odnoszącą się do przeprowadzonych przez niego analiz nie daje podstawy do uznania, że miarkowanie ryzyka dokonane zarówno przed, jak i po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych w ogóle miało miejsce. Z analizy materiału dowodowego zgromadzonego w toku niniejszego postępowania jasno wynika, że Administrator pokusił się wprawdzie o dokonanie oceny stanu bezpieczeństwa systemów informatycznych wykorzystywanych do przetwarzania danych osobowych (vide: „(…)”), niemniej jednak nie ujawnił on ani treści wzmiankowanego dokumentu ani daty jego sporządzenia. Jedynie z daty pisma, w którym zawarta została deklaracja o jego powstaniu, tj. 16 sierpnia 2021 r., domniemywać można, że dotyczy on stanu infrastruktury informatycznej funkcjonującej w organizacji Administratora na długo po tym, gdy doszło do przedmiotowego ataku z wykorzystaniem złośliwego oprogramowania M. Tym samym, wobec braku przedstawienia przez Administratora wyników poczynionych analiz, nie sposób oceniać ich kompletności. Przyczynkiem zaś do dokonania odpowiednich kwalifikacji w tym zakresie byłby rzetelny opis wszystkich podatności oraz odporności na próby przełamania zabezpieczeń na skutek nieuprawnionego działania osoby trzeciej oraz złośliwego oprogramowania. Z tego powodu sama wzmianka o przeprowadzeniu ewaluacji stanu środowiska informatycznego w firmie X przez Z Sp. z o.o. z siedzibą w M. na zlecenie Administratora nie posiada żadnej mocy dowodowej i na pewno nie może stanowić o dokonaniu przez niego analizy ryzyka, tym bardziej, że sam Administrator postrzega ww. dokument jako swoisty punkt odniesienia, w oparciu o który „(…) zostały wyznaczone cele do realizacji w najbliższych latach.”, a zatem – czysto hipotetycznie – traktować go można li tylko jako element przyszłej analizy ryzyka.
W próbie rekapitulacji dotychczasowych rozważań wskazać należy, że analiza przedstawionego stanu faktycznego jednoznacznie wyklucza należyte spełnienie przez Administratora zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679) tak przed, jak i po zaistnieniu przedmiotowego naruszenia ochrony danych osobowych. Dzieje się tak, ponieważ na żadnym etapie realizowanych przez siebie procesów przetwarzania danych osobowych nie określił on precyzyjnie wszystkich możliwych do zidentyfikowania podatności, przez co wdrożone przez niego przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych środki bezpieczeństwa okazały się nieskuteczne, doprowadzając do kompromitacji jego infrastruktury informatycznej 25 listopada 2019 r. Z kolei techniczne i organizacyjne środki mitygujące ryzyko ponownego wystąpienia naruszenia ochrony danych osobowych zaimplementowane po tej dacie, również pozbawione są przymiotu adekwatności, albowiem Administrator nie jest w stanie obiektywnie wykazać, że stanowią one właściwą w stosunku do istniejącego ryzyka odpowiedź.
Co więcej, Administrator na kanwie wydarzeń z 25 listopada 2019 r. ustalił na podstawie postępowania wyjaśniającego źródło cyberataku, niemniej jednak zauważyć należy, iż identyfikacja ta została dokonana w celu ustalenia możliwości wycieku danych i dokonania oceny ryzyka naruszenia praw lub wolności osób fizycznych w związku z zaistniałym atakiem ransomware i nie została udokumentowana jako element ogólnej oceny ryzyka dla procesów przetwarzania danych osobowych. Administrator nie pokusił się również o opisanie luki w zabezpieczeniach systemu informatycznego, istniejącej w momencie zaistnienia przedmiotowego naruszenia ochrony danych osobowych, a która – gdyby została zidentyfikowana – mogłaby mieć istotne znaczenie w doborze instrumentów ograniczających ryzyko ponownego wystąpienia naruszenia ochrony danych.
Powyższe nie uchybia jednak argumentacji, zgodnie z którą fakt, iż Administrator zarówno przed datą 25 listopada 2019 r., jak i później, zaniechał przeprowadzenia analizy ryzyka, uwzględniającej oszacowanie wszystkich zagrożeń związanych z przetwarzaniem przez niego danych osobowych, czego wymaga od niego wprost art. 32 ust. 2 rozporządzenia 2016/679, przesądza o naruszeniu przez niego tego przepisu. Natomiast wdrożenie przez niego środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa procesom przetwarzania danych osobowych zachodzących w jego strukturze, w kształcie przedstawionym pismami z 10 kwietnia 2020 r. oraz 16 sierpnia 2021 r., w oderwaniu od tej analizy, a następnie – przy braku dowodów świadczących odmiennie – odstąpienie od poddania ich cyklicznym przeglądom, stawia pod znakiem zapytania zdolność Administratora do wykazania ciągłego zapewniania poufności, integralności, dostępności i odporności systemów i usług przetwarzania (por. wyroki WSA w Warszawie z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19, i 5 października 2023 r., sygn. akt II SA/Wa 502/23).
I.2. Środki techniczne i organizacyjne stosowane w celu zapewnienia ochrony przetwarzanych danych osobowych.
Jak dotychczas wykazano, ujawnione okoliczności przedmiotowej sprawy uwydatniają konieczność opierania przez administratorów procesów przetwarzania danych osobowych na podejściu opartym na ryzyku, znajomości jego skali oraz prawdopodobieństwa wystąpienia negatywnych skutków dla praw lub wolności osób, których dane dotyczą. Tym samym powstrzymanie się przez administratora od dokonania w odniesieniu do realizowanych procesów przetwarzania danych osobowych analizy obejmującej wszystkie wyszczególnione w motywach 76 i 83 preambuły rozporządzenia 2016/679 elementy przesądza jednoznacznie o braku możliwości zarządzania przez niego obiektywnie istniejącym ryzykiem związanym z procesami przetwarzania danych osobowych.
Niezdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania na podstawie wdrożonych przez administratora technicznych i organizacyjnych środków bezpieczeństwa stanowi zatem o uchybieniu przez niego obowiązków określonych w art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 rozporządzenia 2016/679. Jednocześnie, niedopełnienie ww. wyklucza możliwość wykazania się przez administratora spełnieniem reguł wyrażonych w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, zgodnie z zasadą bezpieczeństwa danych, a w konsekwencji również określonej w art. 5 ust. 2 rozporządzenia 2016/679 zasady rozliczalności (por. wyrok WSA z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, oraz 10 lutego 2021 r., sygn. II SA/Wa 2378/20).
W tym kontekście bezsprzecznie uznać należy, że korzystanie z systemów operacyjnych oraz systemów informatycznych służących do czynności przetwarzania danych osobowych bez dołożenia należytej staranności w celu zapewnienia im aktualizacji do najnowszej, stabilnej wersji w sposób istotny obniża poziom bezpieczeństwa realizowanych w ten sposób procesów przetwarzania. Brak wbudowanych oraz aktualizowanych zabezpieczeń zwiększa w szczególności ryzyko infekcji za pomocą złośliwego oprogramowania oraz ataków poprzez powstawanie nowych luk w zabezpieczeniach.
Celem zapewnienia przez administratorów odpowiedniego poziomu bezpieczeństwa procesom przetwarzania danych osobowych konieczne jednocześnie pozostaje projektowanie przez nich środków technicznych stosownie dozasady najmniejszego przywileju, z uwzględnieniem zaszeregowania osób zatrudnionych w ich organizacji. Oznacza to wprowadzanie nie tylko odpowiednich ograniczeń w stosunku do uprawnień użytkowników końcowych, ale – co równie istotne – sprawowanie nadzoru nad ich działaniami. Dopiero jednak powiązanie przez administratora ww. środków z regularnym inwestowaniem w kompetencje zatrudnionych w jego organizacji osób, zarówno w zakresie przepisów o ochronie danych osobowych, jak i wiedzy odnośnie do zagrożeń związanych z ich funkcjonowaniem w sieci Internet, stanowi o kompletności zaimplementowanych przez administratora środków i sposobów w celu zapewnienia procesom przetwarzania danych osobowych adekwatnego poziomu ochrony.
Określone w przepisach art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679 i adresowane wyłącznie do administratorów wymogi, przejawiające się obowiązkiem wdrożenia przez nich środków technicznych i organizacyjnych, każą traktować to działanie nie jako czynność jednorazową, lecz pewien proces, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Takiej ocenie powinny podlegać nie tylko środki techniczne, ale również organizacyjne w postaci wdrożonych przez administratora procedur, dotyczących przetwarzania danych osobowych, w tym procedur dokonywania zmian w systemach informatycznych wykorzystywanych do przetwarzania danych osobowych. Regularna ocena ww. procedury, stosownie do wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, pozwala administratorowi na weryfikację, czy procedury te nie wykazują braków, a jeśli nie, to czy taka procedura jest skuteczna, tzn. czy zapewnia, że podejmowane są właściwe działania w celu zapewnienia ochrony danych osobowych w trakcie procesu dokonywania zmian w systemie informatycznym i czy jest w ogóle przestrzegana przez osoby odpowiedzialne za przeprowadzenie tych zmian. Zauważyć zatem należy, że zapewnienie przez administratora nadzoru i monitorowania systemów informatycznych, nad którymi sprawowanie pieczy zlecone zostało podmiotom zewnętrznym, to jeden z podstawowych środków organizacyjnych, jaki powinien administrator skutecznie wdrożyć w celu zapewnienia bezpieczeństwa danych osobowych zgodnie z wymogami wynikającymi z rozporządzenia 2016/679 (por. wyrok WSA w Warszawie z 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22, wyrok WSA w Warszawie z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23).
W następstwie niestosowania się przez Administratora do powyższych zasad, nie może on skutecznie wykazywać, że ryzyka immanentnie związane z realizowanymi w jego imieniu i na jego rzecz procesami przetwarzania danych osobowych, były przez niego w sposób ciągły minimalizowane. A contrario,zastosowanie odpowiednich standardów bezpieczeństwa w zakresie eksploatacji systemów informatycznych wykorzystywanych przez Administratora w procesach przetwarzania danych osobowych, w tym ich weryfikacja pod kątem bezpieczeństwa, a w szczególności spełniania wymogów wynikających z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, a także skuteczna weryfikacja działań podmiotu przetwarzającego w tym zakresie, może istotnie to ryzyko minimalizować.
Niewdrożenie przez Administratora procedur dokonywania zmian w systemach informatycznych wykorzystywanych do przetwarzania danych osobowych pozbawiło go narzędzi skutecznej weryfikacji środków i sposobów realizacji przez Podmiot przetwarzający obowiązków „(…) w zakresie prowadzenia, eksploatacji i konserwacji systemu d. w przedsiębiorstwie Administratora (…)”. Wskazać bowiem należy, że Administrator na żadnym etapie wprowadzanych zmian, zarówno przed, jak i po dacie 25 listopada 2019 r., nie prowadził nadzoru nad tym, czy zmiany te faktycznie przebiegają prawidłowo i czy przetwarzane dane osobowe są zabezpieczone przed dostępem osób nieuprawnionych, a przecież nadzór takowy stanowi o wdrożeniu środka organizacyjnego w celu zapewnienia bezpieczeństwa procesom przetwarzania danych osobowych. Powyższe zaniechania ze strony Administratora wpłynęły zatem niekorzystnie na jego zdolność do minimalizowania obiektywnego ryzyka uzyskania dostępu przez osoby nieuprawnione do danych przetwarzanych w tym systemie. W konsekwencji, wykazane zaniedbania, stanowiące przykład niewywiązywania się przez Administratora z adresowanych wyłącznie do niego obowiązków określonych w art. 24 oraz art. 25 rozporządzenia 2016/679, musi spotkać się z proporcjonalną reakcją ze strony organu nadzorczego niezależnie od faktu, iż nie stanowiły one bezpośredniej przyczyny wystąpienia przedmiotowego naruszenia ochrony danych osobowych, którą było zainfekowanie jednego z komputerów pracowniczych „(…) (…) (…)”, „(…) z powodu (prawdopodobnie przypadkowego) wyłączenia licencjonowanego programu antywirusowego A. przez któregoś z pracowników Administratora.”
Zebrany w sprawie materiał dowodowy nie wykazuje również, aby Administrator przeprowadzał w Podmiocie przetwarzającym audyty, w tym inspekcje, w celu sprawdzenia, czy wspólnicy Y s.c. w sposób prawidłowy realizują swoje obowiązki wynikające z rozporządzenia 2016/679, w tym czy zapewniają stosowanie środków wymaganych na mocy art. 32 tego aktu prawnego. Możliwość przeprowadzenia takich audytów, w tym inspekcji, wynika z art. 28 ust. 3 lit. h) rozporządzenia 2016/679, stosownie do którego, umowa powierzenia przetwarzania danych osobowych ma stanowić, że podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Przepis ten wyposaża zatem administratorów w instrumentarium, które pozwala im wykazać, że proces przetwarzania danych podlegających powierzeniu będzie zgodny z przepisami rozporządzenia 2016/679, a oni unikną odpowiedzialności za ich naruszenie. Jednocześnie podkreślić należy, że przeprowadzanie przez administratora w podmiocie przetwarzającym audytów, w tym inspekcji, należy traktować jako jeden z istotniejszych środków bezpieczeństwa, jakie powinien zastosować administrator w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 rozporządzenia 2016/679, którego w omawianym przypadku zabrakło. Fakt ten przebija zresztą wyraźnie ze złożonych przez Administratora 10 kwietnia 2020 r. wyjaśnień, w których zauważa on, że dopiero po przeprowadzeniu na kanwie przedmiotowego naruszenia ochrony danych postępowania wyjaśniającego „(…) okazało się, że i ten podmiot [Y s.c. – dod. wł.] nie wykonał swoich obowiązków (…)”. Tymczasem Administrator powinien był w czasie korzystania przez niego z usług Podmiotu przetwarzającego dysponować wiedzą, czy i w jaki sposób podmiot, któremu powierzył przetwarzanie danych osobowych, spełnia wymogi określone w rozporządzeniu 2016/679. Nie ulega przy tym wątpliwości, że najskuteczniejszym sposobem jej przyswojenia byłoby skorzystanie przez Administratora z oferowanej w § (…)łączącej go z Podmiotem przetwarzającym „(…)” możliwości dokonywania w organizacji procesora stosownych audytów, w tym inspekcji. Takich środków bezpieczeństwa Administrator jednak nie zastosował, co w konsekwencji także stanowi o naruszeniu przez niego art. 32 ust. 1 lit. d) rozporządzenia 2016/679.
Co więcej, jak już wykazano wyżej, stosowanie ww. środków jest powiązane z obowiązkiem administratora danych wynikającym z art. 28 ust. 1 rozporządzenia 2016/679, co z kolei oznacza, że jego wykonanie ma także potwierdzić, czy podmiot przetwarzający w dalszym ciągu daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Brak realizacji audytów, w tym inspekcji, w Podmiocie przetwarzającym oznacza w konsekwencji naruszenie przez Administratora nie tylko przepisu art. 28 ust. 1 rozporządzenia 2016/679, lecz także przepisu art. 25 ust. 1 rozporządzenia 2016/679, który obliguje go do wdrażania odpowiednich środków technicznych i organizacyjnych, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania.
Ciągłość wpisana w ten obowiązek może więc w praktyce przejawiać się, m.in. w konieczności zapewnienia regularnego monitoringu zastosowanych zabezpieczeń oraz prowadzenia stałego nadzoru nad podmiotem przetwarzającym, poprzez np. audyty i inspekcje, o których mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679, którego w okolicznościach niniejszej sprawie zabrakło. Pomimo, że – jak wynika z utrwalonego materiału dowodowego – stosunek powierzenia przetwarzania danych osobowych pomiędzy Administratorem a wspólnikami Y s.c. nie został do dzisiaj w sposób formalny zakończony, Administrator nie przedstawił żadnych dowodów uprawdopodobniających przeprowadzanie w Podmiocie przetwarzającym audytów, w tym inspekcji.
Mając na względzie przytoczoną powyżej argumentację, niewdrożenie przez Administratora stosownych procedur zapewniających bezpieczeństwo przetwarzanych w systemie informatycznym d. danych osobowych oraz brak nadzoru nad Podmiotem przetwarzającym „(…) w zakresie prowadzenia, eksploatacji i konserwacji systemu d. w przedsiębiorstwie Administratora (…)” przesądza o naruszeniu wymogów stawianych w art. 32 rozporządzenia 2016/679.
I.3. Regularne szkolenia osób zatrudnionych w strukturze Administratora.
Wskazać należy, że analiza przypadku przedmiotowego naruszenia ochrony danych osobowych po raz kolejny dobitnie pokazuje – co zdaje się też dostrzegać sam Administrator – „(…) że w podobnych sytuacjach najsłabszym ogniwem pozostaje czynnik ludzki (…)”. Podnoszona jednak przez niego w piśmie z 9 listopada 2021 r. teza o błędzie człowieka, „(…) którego nie można było [w dacie 25 listopada 2019 r. – dod. wł.] uniknąć, pomimo przedsięwzięcia działań zmierzających do ochrony danych osobowych (…)”, nie znajduje już żadnego odzwierciedlenia w faktach. Trzeba wszak zauważyć, że zgodnie z przekazaną 16 lutego 2021 r. informacją, Administrator „(…) przeprowadził ogólnie dwa szkolenia [z zakresu przepisów o ochronie danych osobowych – dod. wł.]: w dniu 30 czerwca 2018 roku w przedmiocie: RODO - ogólne zasady stosowania nowych regulacji oraz w dniu 20 maja 2020 roku w przedmiocie: RODO i ustawa o ochronie danych osobowych w funkcjonowaniu przedsiębiorstwa.” Z powyższego wynika zatem jednoznacznie, że przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych Administrator zapewnił zaledwie jedno szkolenie z zakresu przepisów o ochronie danych osobowych dla zatrudnionych w swojej organizacji osób, w dodatku mające miejsce 17 miesięcy przed datą, w której doszło do udanego ataku na jego infrastrukturę informatyczną. Przypisując z kolei pewną racjonalność działaniom Administratora, będących zapewne po części wynikiem jego obserwacji, na podstawie których zważył on, że „(…) [o]d relatywnie niewielkiego zakładu produkcyjnego, X rozwinęła się do rozmiarów przedsiębiorstwa zatrudniającego większą liczbę ludzi, potrzebującego większej bazy sprzętowej, lokalowej, sprofesjonalizowania określonych działów w strukturze firmy (…)”, nie sposób zakładać, iż przedsiębrane przez Administratora inicjatywy edukacyjne nosiły znamiona działań innych niż te zmierzające w efekcie do podniesienia poziomu bezpieczeństwa operacji przetwarzania danych osobowych i wywiązywania się w sposób właściwy z obowiązków spoczywających na nim na podstawie przepisów o ochronie danych osobowych.
Tym samym uznać można, że dostrzegał on – choć żadna analiza ryzyka w tym kierunku nie została przez Administratora poczyniona – związek pomiędzy wdrażanymi w swojej organizacji środkami technicznymi a organizacyjnymi w postaci szkoleń dla personelu w celu zapewnienia procesom przetwarzania danych osobowych należytego poziomu bezpieczeństwa. Niemniej jednak, z niewiadomych przyczyn po dacie 30 czerwca 2018 r. Administrator zaprzestał w swojej organizacji jakichkolwiek inicjatyw, obejmujących swym zakresem problematykę ochrony danych osobowych, by na krótko jeszcze wrócić do pożądanej praktyki w dniu 20 maja 2020 r., a następnie odejść od niej definitywnie, uznając, że „(…) przeprowadzone uprzednio [szkolenia w ww. datach – dod. wł.] spowodowały wzrost świadomości pracowników Administratora w obszarze ochrony danych osobowych.” Biorąc pod uwagę, że przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych Administrator przeprowadził dla zatrudnionych w jego organizacji osób tylko jedno szkolenie z zakresu przepisów o ochronie danych osobowych, którego agenda nie obejmowała zresztą zagadnień dotyczących kwestii związanych z bezpiecznym poruszaniem się przez jego personel w sieci Internet, trudno więc uznać za wiarygodną zawartą we wzmiankowanym piśmie z 16 lutego 2021 r. deklarację o tym, że „(…) [p]racownicy posiadali wiedzę, iż nie jest dopuszczalne samodzielne konfigurowanie ustawień sprzętu czy oprogramowania”. Zakładając hipotetycznie, że do wdrożenia takiego środka o charakterze organizacyjnym rzeczywiście w organizacji Administratora doszło – co nie znajduje jednak oparcia w powoływanych przez niego środkach dowodowych – nie jest to przecież jeszcze równoznaczne z posiadaniem przez pracowników wiedzy o tym, w jaki sposób faktycznie mogą się oni ustrzec przed cyber-zagrożeniami.
Ponadto, skoro Administrator identyfikował podatność systemu ochrony danych osobowych funkcjonującego w jego strukturze w postaci „czynnika ludzkiego”, zatem tym bardziej dążyć powinien do wyeliminowania tej „luki bezpieczeństwa”, szczególnie, że w momencie zaistnienia przedmiotowego naruszenia ochrony danych osobowych nie mógł się on jeszcze wykazać wdrożonymi mechanizmami, pozwalającymi na sprawowanie skutecznego nadzoru nad sposobami i celami wykorzystywania przez członków personelu sprzętu służbowego (o „(…) wdrożeni[u] (…), w ramach którego przypisano użytkowników do ról odpowiadającym ich stanowiskom, a następnie ograniczono im dostęp do pozostałych zasobów. (…)”, jako jednym ze środków bezpieczeństwa mitygujących ryzyko ponownego wystąpienia naruszenia ochrony danych osobowych Administrator wskazał dopiero w piśmie z 10 kwietnia 2020 r.). Mając powyższe na uwadze, należy podkreślić, że przeprowadzenie przez Administratora przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych zaledwie jednego szkolenia dla zatrudnionych w jego organizacji osób nie może być uznane za wdrożenie środka skutecznie ograniczającego ryzyko ataku o charakterze ransomware. Dzieje się tak nie tylko z uwagi na fakt odniesienia się w nim przez Administratora jedynie do ogólnych zasad stosowania przepisów rozporządzenia 2016/679. Z wyjaśnień Administratora w przytoczonym kształcie wyraźnie również przebija, że szkolenie to miało miejsce 30 czerwca 2018 r., a więc odbyło się na 17 miesięcy przed wystąpieniem w dacie 25 listopada 2019 r. ataku z użyciem złośliwego oprogramowania „M.”.
W tym świetle nie można więc stwierdzić, że zastosowany przez Administratora środek organizacyjny w sposób wystarczający kształtował świadomość osób zobowiązanych do ochrony danych osobowych i stosowania procedur określających środki bezpieczeństwa tych danych. Dążąc do ograniczenia ryzyka związanego z atakiem ransomware Administrator powinien był bowiem zadbać, aby przeprowadzone 30 czerwca 2019 r. szkolenie pozwoliło jego uczestnikom nie tylko nabyć choćby w podstawowym zakresie niezbędną wiedzę odnośnie do rodzajów cyber-zagrożeń oraz odpowiednich technik prewencji, lecz także inicjować kolejne sesje edukacyjne w celu ugruntowania nabytych umiejętności. W tym kontekście, za adekwatny środek bezpieczeństwa, a więc będący celną odpowiedzią na związane z procesami przetwarzania danych osobowych ryzyko ransomware, uznać należy taką organizację szkoleń dla wszystkich zaangażowanych w te procesy osób, która – obok odpowiedniej tematyki – cechowałaby pewna cykliczność. Pominięcie natomiast któregoś z zaznaczonych wyżej elementów spowoduje, że szkolenie nie spełni swojej roli, konsekwencją czego może być – tak jak w niniejszej sprawie – naruszenie ochrony danych osobowych. Konkludując, przeprowadzanie przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych tylko jednego szkolenia, w dodatku w sposób opisany powyżej, sprawiło, że zastosowany przez Administratora organizacyjny środek bezpieczeństwa nie przyczynił się do obniżenia ryzyka wystąpienia przedmiotowego naruszenia ochrony danych osobowych, co przesądza o niemożności wykazania przez niego spełnienia określonych na gruncie rozporządzenia 2016/679 wymogów w zakresie zapewnienia procesom przetwarzania danych osobowych adekwatnego do ryzyka poziomu ochrony i w konsekwencji naruszeniu zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679).
I.4. Oprogramowanie wykorzystywane do przetwarzania danych osobowych.
Analiza zgromadzonego w niniejszej sprawie materiału dowodowego w sposób jednoznaczny wskazuje, że nie były podejmowane działania mające na celu zapewnienie najbardziej aktualnych wersji użytkowanego oprogramowania. Administrator przedsięwziął wprawdzie odpowiednie czynności w tym zakresie w postaci m.in. „(…) aktualizacj[i] systemów operacyjnych do najnowszych dostępnych wersji, zmian[y] (…) na (…); (…)”, lecz dopiero po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych, dopuszczając tym samym, aby przed jego zaistnieniem dane te przetwarzane były przy wykorzystaniu nieaktualnych systemów informatycznych, a więc systemów nie dających rękojmi odpowiedniego poziomu bezpieczeństwa. Nie ulega przy tym wątpliwości, że na obniżenie obiektywnie utrzymującego się „(…) od października 2010 roku (…)” podwyższonego poziomu ryzyka, nie mogła pozytywnie wpłynąć przywoływana przez Administratora w dokumencie datowanym na 16 lutego 2021 r. okoliczność, iż jeszcze „(…) w czerwcu 2018 roku został nabyty nowy serwer wraz licencjonowanym oprogramowaniem.”. Jak bowiem wskazał on we wcześniejszym piśmie datowanym na 10 kwietnia 2020 r. „(…) czynności zmierzające do wzmocnienia bezpieczeństwa przetwarzanych danych osobowych (…)”, w konsekwencji których, m.in.: „(…) przypisano użytkowników do ról odpowiadającym ich stanowiskom, a następnie ograniczono im dostęp do pozostałych zasobów (…)”; w tym „(…) odebranie uprawnień administracyjnych użytkownikom stacji roboczych (…)”, „(…) odebranie użytkownikom możliwości kontrolowania oprogramowania antywirusowego (…)”, a także nastąpiła likwidacja uprawnień pozwalających „(…) na sterowanie antywirusem (…)”, tak by „(…) ochronę antywirusową (…)” mógł „(…) wyłączyć wyłącznie zespół IT (…)”, zostały przez Administratora skutecznie wdrożone dopiero na kanwie przedmiotowego naruszenia ochrony danych osobowych. Korzystanie zaś przez użytkowników stacji roboczych z „(…) licencjonowanego programu antywirusowego A. (…)” nie mogło w niniejszej sprawie stanowić o wypełnieniu przez Administratora ciążących na nim określonych na gruncie art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 rozporządzenia 2016/679 obowiązków, skoro osoby te miały w okresie, w którym doszło do wystąpienia przedmiotowego naruszenia ochrony danych osobowych nieskrępowaną możliwość ingerencji w pracę tego oprogramowania. Jak dobitnie pokazał wynik postępowania zainicjowanego celem ustalenia przyczyn powstania przedmiotowego naruszenia ochrony danych osobowych, zostało ono bezpośrednio spowodowane „(…) wyłączeniem licencjonowanego programu antywirusowego A.przez któregoś z pracowników (…)”, w następstwie czego doszło do uruchomienia na serwerze obcych procesów „(…) i rozpoczęci[a] procesu szyfrowania.” W tym świetle wskazać zatem należy, że zdarzenia z 25 listopada 2019 r. Administrator mógł uniknąć, gdyby nie tylko odpowiednio wcześniej zadbał o aktualizację używanych przez siebie systemów operacyjnych do najnowszych dostępnych i stabilnych wersji, ale też w porę odebrał użytkownikom stacji roboczych uprawnienia umożliwiające ingerencję w pracę systemu A., łączącego – w zależności od zastosowanej wersji – funkcje firewall i programu antywirusowego, a więc oprogramowania kluczowego z punktu widzenia ochrony systemów wykorzystywanych w procesach przetwarzania danych osobowych, a nade wszystko sprawował regularny nadzór nad sposobami wykorzystywania służbowych zasobów.
Tym samym zaprezentowana przez Administratora w piśmie z 16 lutego 2021 r. argumentacja, zgodnie z którą „(…) [d]ostęp do komputerów chroniony jest hasłami. Dostęp do hasła komputera ma wyłącznie członek personelu bezpośrednio korzystający z konkretnego sprzętu. Wyspecjalizowane podmioty świadczące usługi informatyczne zapewniają integralność i bezpieczeństwo systemu komputerowego i zawartych w nich informacji. W przypadku opuszczenia stanowiska pracy i chwilowej bezczynności systemu komputerowego automatycznie uruchamiany jest wygaszacz ekranu, którego dezaktywacja następuje wyłącznie po wpisaniu odpowiedniego hasła. (…)”, nie wytrzymuje próby w zestawieniu z ujawnionymi okolicznościami tej konkretnej sprawy, na podstawie których bezsprzecznie uznać należy, że wdrożone przez Administratora środki techniczne nie zapewniały nieprzerwanie odpowiedniego stopnia bezpieczeństwa danych przetwarzanych za pośrednictwem wykorzystywanych przez niego systemów informatycznych, skoro do przedmiotowego naruszenia ochrony danych osobowych jednak doszło.
Konstatując, wskazać należy, że posiadanie nawet najbardziej rozwiniętych technicznie rozwiązań, co w świetle złożonych przez Administratora 10 kwietnia 2020 r. wyjaśnień i tak nie miało miejsca (Administrator wskazał, że w ramach działań naprawczych po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych dokonał „(…) zmian[y] wersji oprogramowania antywirusowego na zapewniające pełniejszą ochronę ((…)) (…)”, przyznając tym samym, że poprzednio stosowane rozwiązanie nie stanowiło wystarczającego środka bezpieczeństwa dla procesów przetwarzania danych osobowych), nie zapewni nieprzerwanie odpowiedniego stopnia bezpieczeństwa danych przetwarzanych za pośrednictwem tych systemów informatycznych, jeżeli administrator nie tylko nie będzie dbał o przeprowadzanie cyklicznych aktualizacji oraz optymalność ich konfiguracji, ale też nie ograniczy uprawnień użytkowników końcowych oraz – co równie istotne – nie będzie sprawował nadzoru nad ich działaniami.
Dokonane dotychczas ustalenia nie dają podstawy do stwierdzenia, że stosowane przez Administratora środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa procesom przetwarzania danych osobowych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Ponadto, środki te – w ocenie Prezesa UODO – nie były w odpowiedni sposób poddawane przeglądom i uaktualniane, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych.
I.5. Brak zdolności Administratora do szybkiego przywrócenia dostępności danych osobowych w kontekście braku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych.
Z analizy zgromadzonego w niniejszej sprawie materiału dowodowego wyraźnie przebija też opieszałość Administratora w dążeniach, mających na celu realizację obowiązków określonych w art. 32 ust. 1 lit. c) i d) rozporządzenia 2016/679, a związanych ze zdolnością do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularnym testowaniem tworzonych kopii bezpieczeństwa. Należy bowiem zauważyć, że odzyskanie przez Administratora dostępu do danych nastąpiło po upływie aż 4 dni od ich zaszyfrowania. Okoliczność ta daje zatem asumpt do postawienia tezy, zgodnie z którą – wobec niewdrożenia przez Administratora odpowiednich procedur dotyczących odzyskiwania danych z kopii zapasowych w razie wystąpienia naruszenia ochrony danych osobowych – był on pozbawiony realnej zdolności do szybkiego odtworzenia czasowo utraconych danych.
Dodatkowe uzasadnienie dla przyjętego w powyższym kształcie przez organ nadzorczy założenia powinna stanowić okoliczność niezłożenia przez Administratora wyjaśnień – o co występował Prezes UODO w piśmie datowanym na 1 lipca 2021 r. – w zakresie opisu stosowanych przez niego procedur tworzenia, przechowywania oraz testowania kopii zapasowych przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych. Do wzmiankowanej kwestii odniósł się on wprawdzie pismem datowanym na 16 sierpnia 2021 r., niemniej jednak przedstawione przez Administratora wyjaśnienia obejmują jedynie okres po 25 listopada 2019 r., co tylko wzmacnia argumentację związaną z brakiem wdrożenia przez Administratora odpowiednich procedur dotyczących odzyskiwania danych z kopii zapasowych przed wymienioną datą i w oczywisty sposób neguje jego zdolność szybkiego przywrócenia dostępności danych osobowych. W konsekwencji tego zaniedbania, przywrócenie danych osobowych okazało się być możliwe dopiero po upływie 4 dni od ich zaszyfrowania, czego Administrator nie mógł wcześniej przewidzieć, albowiem w ujawnionym stanie faktycznym niniejszej sprawy brak jest również dowodów na to, aby próby mierzenia i oceniania zdolności do szybkiego przywrócenia dostępności danych osobowych były przez niego w ogóle podejmowane. W tym świetle naruszenie przez Administratora obowiązku określonego w art. 32 ust. 1 lit. c) rozporządzenia 2016/679 nie powinno zatem budzić wątpliwości.
Niespełnienie przez Administratora wymogu posiadania zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, wpisuje się zresztą w szerszy kontekst niewłaściwej realizacji przez Administratora przewidzianego w art. 32 ust. 1 lit. d) rozporządzenia 2016/679 obowiązku. Powstrzymując się bowiem od dokonywania regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo zachodzącym w jego strukturze procesom przetwarzania danych osobowych, Administrator nie mógł przed datą wystąpienia przedmiotowego naruszenia ochrony danych osobowych wykazywać się wiedzą w zakresie rozwiązań dotyczących segmentacji sieci. Tymczasem, wdrożenie ich w kształcie przytoczonym przez Administratora w piśmie z 10 kwietnia 2020 r., tj. „(…) wprowadzenie segmentów sieci, i oddzielenie ich od siebie poprzez reguły zapory sieciowej, wydzielenie sieci dla gości (…)”, a więc dopiero po wystąpieniu przedmiotowego ataku ransomware, mogło – jeżeli nie zapobiec – to przynajmniej istotnie ograniczyć rozmiar negatywnych skutków dla osób fizycznych w związku z 4-dniowym brakiem dostępności ich danych osobowych. W tym kontekście zasadne pozostaje również postawienie Administratorowi zarzutu niezdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b) rozporządzenia 2016/679).
I.6. Nakaz dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679.
Wskazać należy, że dopiero wystąpienie w dniu 25 listopada 2019 r. przedmiotowego naruszenia ochrony danych osobowych skłoniło Administratora do wdrożenia technicznych środków bezpieczeństwa, których opis został przytoczony na str. 7 i 8 uzasadnienia oraz w pkt 1 pisma z 16 sierpnia 2021 r., polegających na zmianie topologii logicznej jego struktury informatycznej oraz ustanowieniu polityki wykonywania kopii zapasowych. Niemniej jednak należy odnotować, że Administrator nie przedstawił żadnych środków dowodowych jednoznacznie uprawdopodabniających fakt wdrożenia wyżej opisanych technicznych środków bezpieczeństwa, z uwzględnieniem ryzyka związanego z możliwością przełamania zabezpieczeń systemu informatycznego wykorzystywanego przez Administratora w procesach przetwarzania danych osobowych, a następnie ich zaszyfrowania.
Tym samym, nie jest on w stanie w sposób nie budzący wątpliwości wykazać, że środki te stanowią nie dowolną, lecz rzeczywiście adekwatną reakcję na istniejące ryzyko związane z możliwością ponownej utraty dostępności przetwarzanych przez niego danych osobowych. Co więcej, oderwanie wdrożonych środków technicznych w opisanym wyżej kształcie od analizy ryzyka, przy jednoczesnym braku dowodów na poddawanie ich przez Administratora okresowym ewaluacjom, ponownie stawia pod znakiem zapytania jego zdolność do wykazania ciągłego zapewniania poufności, integralności, dostępności i odporności systemów i usług przetwarzania. W konsekwencji, aktualność swoją zachowuje nakreślona wyżej argumentacja i związany z nią zarzut niedochowania przez Administratora zasady rozliczalności określonej w art. 5 ust. 2 rozporządzenia 2016/679.
Mając powyższe na uwadze, Prezes UODO nie mógł postąpić inaczej, jak wystosować względem Administratora – stosownie do treści art. 58 ust. 2 lit. d) rozporządzenia 2016/679 – nakaz dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679, poprzez wykonanie analizy ryzyka uwzględniającej zagrożenia związane z zainstalowaniem złośliwego oprogramowania ingerującego w dostępność danych osobowych, następnie wdrożenie na podstawie przeprowadzonej analizy ryzyka adekwatnych rozwiązań w celu pełnego zabezpieczenia serwerów wykorzystywanych przez Administratora w procesach przetwarzania danych osobowych oraz wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
II. Odpowiedzialność Podmiotu przetwarzającego.
Nie ulega wątpliwości, że wszechstronne rozpatrzenie całości zebranego w niniejszej sprawie materiału dowodowego nie byłoby możliwe bez wzięcia przez organ nadzorczy pod uwagę powołanej przez Administratora w piśmie z 10 kwietnia 2020 r. okoliczności, w której wystąpienie przedmiotowego naruszenia ochrony danych osobowych miało być „(…) spowodowane podwójnie czynnikiem ludzkim - [wadliwym zachowaniem – dod. wł.] pracownicy Administratora oraz firmy dotąd świadczącej usługi IT na rzecz Administratora.” W toku udzielonych wyjaśnień Administrator wskazał bowiem, że „(…) [d]otychczasowa firma (z której usług Administrator nie był zadowolony ze względu na brak terminowego świadczenia usług serwisowych oraz audytów systemów bezpieczeństwa) została zastąpiona na przełomie września i października 2019 roku przez firmę Y s.c.” Ten nowy w ocenie Administratora podmiot (tymczasem zgromadzone w niniejszej sprawie dowody jednoznacznie wskazują, że spółkę cywilną Y i Administratora łączyła zawarta jeszcze 24 maja 2018 r. „(…)”, a nieformalna współpraca trwała „(…) co najmniej od 2010 roku (…)”, „(…) miał przejąć bezpieczeństwo systemów IT u Administratora, dokonać audytu bezpieczeństwa oraz sporządzić w tym zakresie raport (…)”. Jak dalej komunikował Administrator, „(…) okazało się, że i ten podmiot nie wykonał swoich obowiązków i wprowadzał Administratora w błąd, ponieważ (o czym Administrator wówczas nie wiedział), w tym samym czasie ten nowy podmiot wykonywał inne bardzo duże zlecenie na rzecz podmiotu trzeciego, co przełożyło się na wystąpienie incydentu w listopadzie 2019 roku.”
Niewątpliwie, wiarygodność przytoczonych w powyższym kształcie faktów, wskazujących – zdaniem Administratora – na współodpowiedzialność wspólników Y s.c., tj. Pani CD, Pana EF oraz Pana GH, za zaistnienie przedmiotowego naruszenia ochrony danych osobowych, trzeba rozpatrywać – wobec braku spisanej umowy o świadczenie usług, które wykonywane miały być przez wspólników Y s.c. na rzecz Administratora „(…) co najmniej od 2010 roku (…)” – w odniesieniu do ujawnionej treści zawartej 24 maja 2018 r. „(…)”. Wskazać zatem należy, iż z § (…)pkt (…) ww. dokumentu wynika, że powierzenie przez Administratora przetwarzania danych osobowych w jego imieniu i na jego rzecz wspólnikom Y s.c. miało miejsce w celu realizacji umowy w zakresie prowadzenia, eksploatacji i konserwacji systemu d. w przedsiębiorstwie Administratora oraz należytego wypełnienia obowiązku wobec ustawowo umocowanych organów państwowych, co przecież nie jest równoznaczne ze sprawowaniem pieczy nad całą infrastrukturą informatyczną w strukturze Administratora, na którą to okoliczność powołał się zresztą Podmiot przetwarzający w piśmie z 8 lipca 2022 r.
Oczywiście, pozostaje jeszcze rozważenie ewentualności, w której niejako obok głównego stosunku powierzenia przetwarzania danych osobowych, dochodziłoby do świadczenia przez Y s.c. usług z dziedziny IT na zlecenie Administratora. Hipoteza ta nie znajduje jednak potwierdzenia w zgromadzonym materiale dowodowym, w którym nie został utrwalony jakikolwiek ślad istnienia nieformalnych nawet inicjatyw ze strony Administratora, mających na celu uzyskanie od Podmiotu przetwarzającego pomocy w wywiązywaniu się przez Administratora z obowiązków określonych w art. 32-36 rozporządzenia 2016/679. Trudno też racjonalnie zakładać, że Podmiot przetwarzający działałby poza mandatem określonym art. 28 ust. 3 lit. a) rozporządzenia 2016/679, wynikającym wyłącznie z udokumentowanego polecenia Administratora. Z wymienionych względów nie sposób też uznać prawdziwości oświadczenia Administratora, odnoszącego się do istnienia zobowiązania Podmiotu przetwarzającego do dokonania audytu bezpieczeństwa oraz sporządzenia w tym zakresie raportu, skoro ww. „(…)” w żaden sposób tego od niego nie wymagała. Wreszcie, nie sposób nie zauważyć, iż bezpośrednią przyczyną incydentu bezpieczeństwa w dniu 25 listopada 2019 r., który doprowadził do naruszenia ochrony danych osobowych przetwarzanych w systemach informatycznych Administratora, było zainfekowanie jednego z komputerów pracowniczych „(…) (…) (…)”, „(…) z powodu (prawdopodobnie przypadkowego) wyłączenia licencjonowanego programu antywirusowego A. przez któregoś z pracowników Administratora”, za co odpowiedzialność ponosi Administrator. Dopuścił on bowiem do sytuacji, w której nadanie użytkownikom końcowym uprawnień niezgodnych z ich służbowym zaszeregowaniem, umożliwiło im ingerencję w pracę oprogramowania antywirusowego, czego Administrator nie mógł być świadom, albowiem – jak wykazano na wcześniejszych kartach uzasadnienia niniejszej decyzji – w momencie wystąpienia przedmiotowego naruszenia ochrony danych osobowych, nie wykazywał się jeszcze technicznym instrumentarium, pozwalającym na sprawowanie skutecznego nadzoru nad sposobami wykorzystywania służbowych zasobów przez swoich pracowników.
Nie bez znaczenia pozostaje też poruszona już kwestia braku szkoleń z zakresu cyber security awarness dla zatrudnionych w organizacji Administratora osób, które gdyby były przez niego prowadzone, stanowiłyby o wdrożeniu adekwatnych do ryzyka związanego z procesami przetwarzania danych osobowych, organizacyjnych środków bezpieczeństwa, za co również wyłączną odpowiedzialność ponosi Administrator. Wykorzystanie z kolei przez sprawców podatności „(…) serwera B., który od dłuższego czasu był nie aktualizowany” stanowi zaś kolejny przejaw, leżących po stronie Administratora zaniedbań, który jako gospodarz procesów przetwarzania danych osobowych, nie zadbał odpowiednio o bieżącą aktualizację oprogramowania, za implementację której nie ponoszą odpowiedzialności wspólnicy Y s.c., gdyż w świetle zapisów łączącej ich z Administratorem „(…)” z 24 maja 2018 r., potwierdzonych treścią ich zgodnych oświadczeń datowanych na 8 lipca 2022 r., byli oni odpowiedzialni nie za obsługę i konserwację – pozostającego w strukturze własnej Administratora – serwera B., a za działania „(…) w zakresie prowadzenia, eksploatacji i konserwacji systemu d.w przedsiębiorstwie Administratora”, które – co istotne – nie obejmowały wszak uprawnienia do ingerencji we wdrożone przez Administratora techniczne środki bezpieczeństwa.
Należy również zauważyć, że w ocenie organu nadzorczego okoliczności faktyczne sprawy nie dają podstaw do uznania, że utrzymanie i zabezpieczenie infrastruktury informatycznej serwera „(…) >>(…)<< [na którym doszło do wystąpienia przedmiotowego naruszenia ochrony danych osobowych – dod. wł.] (…)”, na którym posadowiony był system d.,nie należało – wbrew jego własnym twierdzeniom – do Administratora. Potwierdza to domyślnie fakt, że to Administrator we własnym zakresie podjął po 25 listopada 2019 r. – w zakresie zabezpieczeń technicznych – szereg działań mających na celu usunięcie skutków przedmiotowego naruszenia ochrony danych osobowych i zapobieżenia zaistnienia podobnych w przyszłości (w szczególności zmienił nieaktualny system (…) na (…)).
W świetle przytoczonej argumentacji, fakt, iż Podmiotowi przetwarzającemu powierzono dane osobowe do przetwarzania w systemie d., w zakresie pracy którego – skądinąd – nie stwierdzono (w przeciwieństwie do pracy oprogramowania serwera, na którym program d. był zainstalowany) braku adekwatnych środków mitygujących ryzyko wystąpienia naruszenia ochrony danych osobowych, wyłącza – w ocenie Prezesa UODO – możliwość przypisania Podmiotowi przetwarzającemu odpowiedzialności za niewdrożenie organizacyjnych i technicznych środków bezpieczeństwa w ramach powierzonego mu procesu przetwarzania. Z powyższych względów nie sposób też podejmować próby kształtowania solidarnej odpowiedzialności Podmiotu przetwarzającego za wykazane Administratorowi zaniedbania w zakresie wdrożonych przez niego organizacyjnych i technicznych środków bezpieczeństwa.
Niemniej jednak, brak podstaw dla przyjęcia solidarnej odpowiedzialności Pani CD, Pana EF oraz Pana GH za wykazane Administratorowi zaniedbania w zakresie doboru nieskutecznych zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych oraz braku odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, nie uchybia w żadnej mierze konieczności poszukiwania odpowiedzialności wspólników Y s.c. za nieudzielenie pomocy Administratorowi w wywiązywaniu się przez niego z obowiązku wdrożenia adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych, tj. za naruszenieart. 28 ust. 3 lit. f) w związku z art. 32 ust. 1 i 2 rozporządzenia 2016/679.
Zasadność tak sformułowanego względem Podmiotu przetwarzającego zarzutu nie powinna budzić wątpliwości, albowiem z utrwalonego w niniejszej sprawie materiału dowodowego w sposób jednoznaczny wynika (o czym zresztą poinformowali zgodnie zarówno Podmiot przetwarzający, jak i Administrator odpowiednio w pismach z 29 września 2023 r. oraz 3 października 2023 r.), „(…) iż system >>d.<< posadowiony był na serwerze >>(…)<< [na którym doszło do wystąpienia przedmiotowego naruszenia ochrony danych osobowych – dod. wł.], korzystającym z oprogramowania E.”, a więc – jak zostało to już wykazane w niniejszej decyzji – architektury informatycznej posiadającej szereg powszechnie znanych błędów bezpieczeństwa, czego wspólnicy Y s.c. musieli być świadomi, posiadając wszak nie tylko „(…) wieloletnie doświadczenie we wdrożeniach systemów opartych o platformę (…) i dostosowaniu ich do indywidualnych potrzeb klienta (…)”, czy też „(…) najbardziej doświadczony zespół wdrożeniowy w Polsce (…)”, ale również status „(…) (…)”. Niestety, pomimo posiadanych niewątpliwie przez ww. osoby kompetencji oraz wiedzy o tym, że „(…) [n]a serwerze korzystającym z oprogramowania E.był zainstalowany serwer (…) z bazą danych, z której korzystał system d. Instalacja aplikacji klienckiej d.była wykonana na komputerach użytkowników” powstrzymywały się one od przekazywania Administratorowi informacji o występujących w oprogramowaniu E. podatnościach.
W tym kontekście, tym bardziej próżno szukać uzasadnienia dla niepodejmowania przez wspólników Y s.c. na przestrzeni lat jakichkolwiek inicjatyw związanych choćby z próbą zakomunikowania Administratorowi o konieczności przeprowadzenia aktualizacji systemu operacyjnego do możliwie najnowszej wersji bądź wręcz wdrożenia nowszych, a więc stanowiących bardziej adekwatną odpowiedź na inherentne ryzyko związane z realizowanymi procesami przetwarzania danych osobowych, rozwiązań (np. w postaci implementacji systemu B., co ostatecznie nastąpiło w strukturze Administratora dopiero po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych). Nie ulega przy tym wątpliwości, iż zastosowanie tego oprogramowania, mającego notabene swoją światową premierę (…), do obsługi „(…) serwer[a] (…) z bazą danych, z której korzystał system d.”, w sposób istotny mitygowałoby ryzyko materializacji takiego choćby ataku na infrastrukturę informatyczną Administratora, jaki miał miejsce właśnie 25 listopada 2019 r. Z przyczyn wykazanych wyżej, do wystąpienia przedmiotowego naruszenia ochrony danych osobowych przyczyniło się zatem w sposób istotny, nacechowane rażącym wręcz niedbalstwem, działanie ze strony wspólników Y s.c., którzy – jak ustalono – świadczyli na rzecz Administratora usługi wsparcia informatycznego w odniesieniu do systemu d. W normalnym toku czynności i zgodnie z podejściem opartym na ryzyku, winni oni byli bowiem, szczególnie jako profesjonaliści z dziedziny IT, przewidywać na podstawie przeprowadzonej analizy ryzyka skutki, jakie może nieść dla bezpieczeństwa powierzonych im danych osobowych, oparcie procesów ich przetwarzania na rozwiązaniach nie dających wystarczającej rękojmi bezpieczeństwa.
Powyższej argumentacji nie umniejsza przy tym fakt, iż wspólnicy Y s.c. nie mogli we własnym zakresie i w ramach świadczonych Administratorowi usług informatycznych, usunąć podatności oprogramowania serwera, na którym zainstalowany został system d. Mając jednak świadomość ich występowania, nie powiadomili oni o tym fakcie Administratora, co wyklucza możliwość przyjęcia, że Podmiot przetwarzający wywiązał się z obowiązku udzielania Administratorowi „pomocy” uwzględniającej „dostępne mu informacje”, co stanowi o naruszeniu przez wspólników Y s.c. adresowanych wyłącznie do podmiotu przetwarzającego obowiązków określonych w art. 28 ust. 3 lit. f) rozporządzenia 2016/679. Niedochowanie zaś przez Podmiot przetwarzający ciążącym na nim powinnościom w powyższym zakresie, statuuje na gruncie wskazanego przepisu rozporządzenia 2016/679 jego odrębną odpowiedzialność o charakterze publicznoprawnym, a więc pozostającą w oderwaniu od jego obowiązków obligacyjnych i stanowiącą samoistną podstawę do zastosowania przez organ nadzorczy sankcji, stosownie do art. 83 ust. 4 lit. a) tego rozporządzenia.
III. Relacja Administrator – Podmiot przetwarzający.
Dotychczasowe ustalenia nie wykluczają jednak konieczności bardziej szczegółowego rozpatrzenia stawianego przez Administratora względem ww. Podmiotu przetwarzającego zarzutu, dotyczącego niewłaściwego wywiązywania się przez ten podmiot z obowiązków związanych z zapewnianiem „(…) bezpieczeństw[a] systemów IT u Administratora (…)”, dokonywaniem audytów bezpieczeństwa oraz sporządzaniem na tej podstawie stosownych raportów.
Jak bowiem wynika z art. 28 ust. 1 rozporządzenia 2016/679, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, to korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Zapewnieniu z kolei realizacji tej zasady służy wprowadzony w art. 28 ust. 3 rozporządzenia 2016/679 obowiązek zawarcia pomiędzy administratorem a podmiotem przetwarzającym umowy określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora, która to umowa zawiera w szczególności elementy wskazane w lit. a)-h) tego przepisu.
W rozpatrywanym stanie faktycznym łącząca od daty 24 maja 2018 r. Administratora oraz Podmiot przetwarzający „(…)” zawierała wprawdzie wszystkie wskazane w wzmiankowanym przepisie elementy, niemniej jednak na podstawie wyjaśnień udzielanych przez ww. podmioty niemożliwym pozostaje stwierdzenie, czy podejmowane przez wspólników Y s.c. działania „(…) w celu realizacji umowy z w zakresie prowadzenia, eksploatacji i konserwacji systemu d. w przedsiębiorstwie Administratora (…)” zaprezentowane przez Podmiot przetwarzający w piśmie z 8 lipca 2022 r., realizowane były według określonych z góry zasad zapewniających bezpieczeństwo danych osobowych. Poza ogólnymi sformułowaniami zawartymi w § (…) powoływanego dokumentu, na gruncie których Podmiot przetwarzający zobowiązał się m.in., aby powierzone mu procesy przetwarzania danych osobowych zabezpieczać „(…) poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia [rozporządzenia 2016/679 – dod. wł.]”, środki techniczne i organizacyjne, mające zapewnić to bezpieczeństwo nie zostały określone ani w ogólnych regulacjach wdrożonych przez Administratora ani w stosownej umowie zawartej z Podmiotem przetwarzającym.
Na podstawie tak zarysowanych okoliczności stanu faktycznego, rysuje się zatem obraz, w którym o środkach i sposobach wdrażanych rozwiązań „(…) w zakresie prowadzenia, eksploatacji i konserwacji systemu d.w przedsiębiorstwie Administratora (…)” decydowali w istocie wspólnicy Y s.c. Dowolność wyboru stosowanych rozwiązań przez Podmiot przetwarzający nie powinna jednak dziwić, skoro Administrator, który powinien był pozycjonować się w roli gospodarza realizowanych w jego imieniu i na jego rzecz procesów przetwarzania danych osobowych, nie nakreślił precyzyjnych ram kooperacji z Podmiotem przetwarzającym, zaś brak wdrożonych procedur dotyczących kontroli prawidłowości podejmowanych przez Podmiot przetwarzający czynności, pogłębiał tylko ten stan, nacechowany brakiem odpowiedniego rozeznania w działaniach ww. podmiotu ze strony Administratora.
Z uwagi na fakt, iż Podmiotowi przetwarzającemu pozostawiono niejako w sposób dyskrecjonalny uprawnienie do decydowania o sposobach dokonywania czynności „(…) w zakresie prowadzenia, eksploatacji i konserwacji systemu d. w przedsiębiorstwie Administratora (…)”, należy dodatkowo przeanalizować, czy takie działanie Administratora mogło wynikać z uzasadnionej pewności co do kompetencji Podmiotu przetwarzającego. W przedmiotowej sprawie Administrator wskazał, że współpraca z Podmiotem przetwarzającym rozpoczęła się na długo przed wejściem w życie przepisów rozporządzenia 2016/679, tj. trwała „(…) od co najmniej 2010 roku (…)”. Z wyjaśnień złożonych przez Administratora, w których podał on, że na podstawie informacji dostępnych na stronie internetowej Podmiotu przetwarzającego, ustalił, iż podmiot ten działa „(…) na rynku od 2004 roku, posiada liczny personel oraz znaczne portfolio klientów (…)”, nie wynika, aby weryfikacja kompetencji wspólników Y s.c. nosiła znamiona sformalizowanego procesu. Niemniej, w ocenie Administratora, dochował on „(…) należytej staranności przy wyborze podmiotu zapewniającego wsparcie informatyczne przedsiębiorstwa”, ponieważ „(…) [z]awarcie umowy z tym podmiotem zostało zatem poprzedzone analizą jego doświadczenia zawodowego w obszarze dostarczania rozwiązań informatycznych.”
Ustosunkowując się do ww. wyjaśnień Administratora wskazać należy, że w poprzednim stanie prawnym, określonym na gruncie uodo, zdefiniowane były inne wymagania względem podmiotu przetwarzającego, inne zaś obowiązują od 25 maja 2018 r., tj. od momentu rozpoczęcia stosowania rozporządzenia 2016/679. Zatem dotychczasowa, pozytywnie oceniana współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i przede wszystkim chroniło prawa osób, których dane dotyczą. Określony w art. 28 ust. 1 rozporządzenia 2016/679 wymóg bezwzględnie obowiązuje bowiem każdego administratora danych, który w ramach prowadzonej działalności korzysta z zasobów lub usług podmiotu przetwarzającego podczas przetwarzania danych osobowych. Podkreślenia przy tym wymaga, że z obowiązku przeprowadzenia takiej oceny nie zwalnia fakt wieloletniej współpracy i korzystania z usług danego podmiotu przetwarzającego przed dniem 25 maja 2018 r., tj. przed rozpoczęciem stosowania przepisów rozporządzenia 2016/679. Administrator takiej weryfikacji nie przeprowadził, poprzestając na pozytywnej ocenie Podmiotu przetwarzającego, będącej efektem dotychczasowej współpracy nawiązanej na długo przed rozpoczęciem stosowania przepisów rozporządzenia 2016/679. Brak dokonania tej oceny przez Administratora równoznaczny jest naruszeniu przez niego obowiązku określonego w art. 28 ust. 1 rozporządzenia 2016/679.
Należy przy tym zaznaczyć, że samo podpisanie umowy powierzenia przetwarzania danych osobowych bez dokonania odpowiedniej oceny podmiotu przetwarzającego nie może być postrzegane przez pryzmat należytej realizacji przez Administratora obowiązku przeprowadzenia postępowania weryfikującego Podmiot przetwarzający pod kątem spełnienia przez niego wymogów rozporządzenia 2016/679. Długotrwała współpraca stron niepoparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji nie gwarantuje, że podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia. Tak jak w przedmiotowej sprawie, gdzie zarzut wysuwany przez Administratora względem wspólników Y s.c., dotyczący niewykonania bądź niewłaściwego wykonania przez ten podmiot ciążących na nim obowiązków, pojawił się dopiero w piśmie z 10 kwietnia 2020 r., stawiając – wbrew intencji Administratora – pod znakiem zapytania kwestię wcześniejszego dokonywania przez niego kontroli zgodności realizowanych w jego imieniu i na jego rzecz procesów przetwarzania danych osobowych, w konsekwencji ujmując mocy tak formułowanym przez Administratora tezom. Co więcej, stają się one jeszcze bardziej niezrozumiałe w zestawieniu z przewidzianymi przez strony „(…)” z 24 maja 2018 r. postanowieniami, statuującymi w § (…) prawo Administratora do dokonywania kontroli w celu ustalenia „(…) czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy”, gdzie okoliczności korzystania z wymienionego uprawnienia – w świetle zgromadzonego w toku niniejszego postępowania materiału dowodowego – Administrator nie jest w stanie skutecznie wykazać w odniesieniu do całego okresu trwania łączącej go z Podmiotem przetwarzającym umowy. Tymczasem mechanizmy kontroli wdrażane przez odpowiedzialnych za ocenę adekwatności gwarancji udzielonych przez podmiot przetwarzający administratorów stanowią podstawowe narzędzie weryfikacji podmiotu przetwarzającego, w szczególności w aspekcie wdrożonych przez procesora technicznych i organizacyjnych środków w celu zapewnienia procesom przetwarzania danych osobowych odpowiedniego poziomu ochrony.
Kwestia kryteriów oceny podmiotu przetwarzającego była również przedmiotem rozważań EROD. Jak wskazano w „Wytycznych 07/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO”, zwanych dalej Wytycznymi 07/2020, odnosząc się do treści art. 28 ust. 1 i motywu 81 rozporządzenia 2016/679, (cyt.): »Administrator jest (…) odpowiedzialny za ocenę adekwatności gwarancji udzielonych przez podmiot przetwarzający i powinien być w stanie udowodnić, że poważnie wziął pod uwagę wszystkie elementy przewidziane w RODO. Gwarancje „zapewniane” przez podmiot przetwarzający to te, które podmiot przetwarzający jest w stanie wykazać w sposób zadowalający administratora, ponieważ są to jedyne gwarancje, które administrator może skutecznie uwzględnić przy ocenie wypełniania swoich obowiązków. Często będzie to wymagało wymiany odpowiedniej dokumentacji (np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000). Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych. (…) Administrator powinien wziąć pod uwagę następujące elementy (…), aby ocenić, czy gwarancje są wystarczające: wiedza fachowa (np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych); wiarygodność podmiotu przetwarzającego; zasoby podmiotu przetwarzającego. Reputacja podmiotu przetwarzającego na rynku może być również istotnym czynnikiem, który administratorzy powinni wziąć pod uwagę. Ponadto jako element umożliwiający wykazanie wystarczających gwarancji można wykorzystać przestrzeganie zatwierdzonego kodeksu postępowania lub mechanizmu certyfikacji. (…) Obowiązek korzystania wyłącznie z usług podmiotów przetwarzających „zapewniających wystarczające gwarancje” zawarty w art. 28 ust. 1 RODO jest obowiązkiem ciągłym. Nie kończy się w momencie zawarcia umowy lub innego aktu prawnego przez administratora i podmiot przetwarzający. Administrator powinien raczej w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje (…)«.
Odnosząc przedstawioną powyżej opinię EROD do okoliczności ujawnionego stanu faktycznego, można zauważyć, że Administrator powierzając wspólnikom Y s.c. przetwarzanie danych osobowych swoich pracowników, pracowników tymczasowych, zleceniobiorców, wykonawców, członków rodzin pracowników, praktykantów, stażystów oraz kontrahentów kierował się wiarą w ekspercką wiedzę Pomiotu przetwarzającego „(…) w zakresie dostarczania i optymalizacji informatycznych rozwiązań biznesowych, które zwiększają efektywność działania organizacji (…)”. Ufał, że posiada on „(…) wieloletnie doświadczenie we wdrożeniach systemów opartych o platformę (…) i dostosowaniu ich do indywidualnych potrzeb klienta (…)” oraz że wyróżnia go nie tylko „(…) najbardziej doświadczony zespół wdrożeniowy w Polsce (…)”, ale również status „(…) (…)”. W świetle przytoczonych wyżej zaleceń EROD, powyższe przekonania żywione przez Administratora względem Podmiotu przetwarzającego powinny w normalnym toku czynności stać się dopiero przyczynkiem do przeprowadzenia przez niego – chociażby w oparciu o wymianę stosownej dokumentacji – będącego elementem szerszej analizy ryzyka studium adekwatności, udzielanych przez Podmiot przetwarzający gwarancji zapewnienia poziomu ochrony powierzanych mu danych ww. kategorii osób, co w ujawnionych okolicznościach niniejszej sprawy nie miało miejsca. W tym kontekście nie powinno więc dziwić pojawienie się okoliczności, w której prowadzone przez wspólników Y s.c. działania związane z eksploatacją i konserwacją systemu d., z wykorzystaniem nieaktualizowanego i stąd niestanowiącego adekwatnej odpowiedzi na obiektywnie występujące ryzyko dla bezpieczeństwa procesów przetwarzania danych osobowych znajdujących się w bazie (…) oprogramowania serwera „(…) (…) (…)”, przyczyniły się wprost do wystąpienia w dniu 25 listopada 2019 r. przedmiotowego naruszenia ochrony danych osobowych. Dostrzeżenie zachodzących w strukturze Administratora nieprawidłowości związanych z organizacją i zarządzaniem procesem wdrażania nowych rozwiązań w infrastrukturze informatycznej lub dokonywania w niej zmian, może mieć miejsce nawet po uwzględnieniu podjętych przez Podmiot przetwarzający po wymienionej dacie starań (vide: str. 14 i 15 uzasadnienia niniejszej decyzji).
IV. Współodpowiedzialność Administratora i Podmiotu przetwarzającego za zaniechania dotyczące przeprowadzenia analizy ryzyka na potrzeby „(…) prowadzenia, eksploatacji i konserwacji systemu d. (…)”, określenia i zastosowania adekwatnych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo procesom przetwarzania realizowanym z wykorzystaniem tego oprogramowania oraz weryfikacji skuteczności posiadanych zabezpieczeń infrastruktury informatycznej Administratora.
Niewątpliwie odpowiedzialność za zastosowanie odpowiednich, czyli adekwatnych do istniejącego ryzyka, środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych rozciąga się na wszystkie podmioty uczestniczące w procesach przetwarzania danych osobowych, a więc w tej konkretnej sprawie na Administratora oraz osoby, będące w dacie 25 listopada 2019 r. wspólnikami Y s.c. W konsekwencji tego założenia, należy stwierdzić, że zarówno Administrator, jak i Podmiot przetwarzający, powinni byli zweryfikować, czy dane osobowe zostały odpowiednio zabezpieczone przed możliwym atakiem o charakterze ransomware. Brak takiej weryfikacji oraz niewdrożenie na jej kanwie środków technicznych i organizacyjnych, mających na celu skuteczne zabezpieczenie danych osobowych przetwarzanych w systemie d., a za takie nie może być wszak uznane wykorzystywanie w procesach przetwarzania danych osobowych nieaktualnego oprogramowania serwera, na którym baza danych zawierająca dane osobowe była posadowiona, walnie przyczyniło się do wystąpienia przedmiotowego naruszenia ochrony danych osobowych. Zaś działania, których kształt został utrwalony w wyjaśnieniach złożonych w dniach 10 kwietnia 2020 r. oraz 16 sierpnia 2021 r., podjęte zostały dopiero po wystąpieniu zdarzenia z dnia 25 listopada 2019 r. i miały na celu jedynie zminimalizowanie ryzyka ponownego wystąpienia naruszenia.
W świetle powyższych ustaleń stwierdzić zatem należy, że leżące zarówno po stronie Administratora, jak i Podmiotu przetwarzającego zaniechania dotyczące przeprowadzenia analizy ryzyka na potrzeby „(…) prowadzenia, eksploatacji i konserwacji systemu d. (…)”, określenia i zastosowania adekwatnych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo procesom przetwarzania realizowanym z wykorzystaniem tego oprogramowania oraz weryfikacji skuteczności posiadanych zabezpieczeń infrastruktury informatycznej Administratora, skutkowały naruszeniem przez ww. podmioty art. 32 ust. 1 i 2 rozporządzenia 2016/679.
Wskazać należy, że poczynione w niniejszej sprawie ustalenia nie dają podstawy do stwierdzenia, że stosowane przez Administratora środki organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych osobowych. W konsekwencji – w ocenie Prezesa UODO – Administrator nie wdrożył odpowiednich środków organizacyjnych mających w sposób nieprzerwany zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się w systemie informatycznym d., co z kolei stanowi naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679. Za wdrożenie takiego środka nie można przy tym uznać poprzestanie przez Administratora na zawarciu z Podmiotem przetwarzającym w dniu 24 maja 2018 r. „(…)”, albowiem w Wytycznych 07/2020 EROD wyraźnie wskazała, że (cyt.): „Chociaż elementy określone w art. 28 rozporządzenia stanowią jego podstawową treść, umowa powinna być dla administratora i podmiotu przetwarzającego sposobem na dalsze wyjaśnienie sposobu wdrożenia tych zasadniczych elementów za pomocą szczegółowych instrukcji”. Nie ulega wątpliwości, że formułowanie tych szczegółowych instrukcji przypisywać należy administratorom, ustalającym na gruncie art. 4 pkt 7 rozporządzenia 2016/679 cele i sposoby przetwarzania danych osobowych, również w odniesieniu do procesów dokonywanych w ich imieniu i na ich rzecz przez podmioty zewnętrzne.
Odnosząc powyższe do kontekstu przedmiotowej sprawy, wskazać zatem należy, że Administrator, wobec braku stosowania procedur zapewniających bezpieczeństwo przetwarzanych danych w procesie zmian dokonywanych w systemie informatycznym d., w którym te dane są przetwarzane oraz brak nadzoru nad Podmiotem przetwarzającym „(…) w zakresie prowadzenia, eksploatacji i konserwacji systemu d. w przedsiębiorstwie Administratora (…)” niewłaściwie wywiązał się ze swej roli w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi tego aktu, czym uchybił obowiązkom przewidzianym przepisami art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679.
W konsekwencji powyższych zaniechań stwierdzić należy, że naruszona została przez Administratora wyrażona w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 zasada integralności i poufności. Nie mogąc z kolei wykazać, że zachodzącym w jego organizacji procesom przetwarzania danych osobowych odpowiada adekwatny poziom bezpieczeństwa, Administrator naruszył zasadę rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
Niezależnie od powyższego, jak wykazano we wcześniejszej części uzasadnienia niniejszej decyzji, przyczyn wystąpienia przedmiotowego naruszenia ochrony danych osobowych poszukiwać należy również w procesach związanych bezpośrednio z niewłaściwym wypełnianiem przez wspólników Y s.c. zobowiązań umownych „(…) w zakresie prowadzenia, eksploatacji i konserwacji systemu d. w przedsiębiorstwie Administratora (…)”. W tym kontekście, o przypisaniu ww. osobom współodpowiedzialności za materializację w dniu 25 listopada 2019 r. ryzyka związanego z atakiem ransomware na infrastrukturę informatyczną Administratoradecyduje okoliczność, w której na podstawie zawartej 24 maja 2018 r. „(…)”, potwierdzonych ich jednobrzmiącymi oświadczeniami złożonymi do Prezesa UODO 8 lipca 2022 r. „(…) [s]półka Y była odpowiedzialna za dostarczenie serwera bazy danych, licencji, wdrożenie i prace serwisowe związane z systemem d.”. Logiczną konsekwencją istnienia zbioru powinności Podmiotu przetwarzającego w wymienionym zakresie, wynikającą zresztą ze zgodnych oświadczeń wspólników Y s.c. ujawnionych w toku niniejszego postępowania, cyt. „(…) [n]a serwerze [„(…)”] korzystającym z oprogramowania E. był zainstalowany serwer (…) z bazą danych, z której korzystał system d.”, była więc ich pełna świadomość co do faktu, iż oprogramowanie tego serwera, tj. B., od dłuższego czasu nie było aktualizowane. Pomimo tego, z pełną świadomością dopuścili oni, aby „(…) serwer (…) z bazą danych, z której korzystał system d. (…)” posadowiony został na serwerze obsługiwanym przez posiadające liczne ułomności zabezpieczeń oprogramowanie E., gdzie jedna z tych podatności została skutecznie wykorzystana przez nieustalonych sprawców do przeprowadzenia 25 listopada 2019 r. skutecznego ataku i pełnego zaszyfrowania przedmiotowej bazy danych zawierającej dane osobowe.
Tymczasem, zarówno Administrator, jak i działający w jego imieniu i na jego rzecz wspólnicy Y s.c. powinni byli wykazywać się wdrożeniem środków technicznych zapewniających bezpieczeństwo przetwarzanych w systemie d. danych osobowych, co – jak wykazano – nie miało miejsca. Dokonane w toku niniejszego postępowania ustalenia dają zatem asumpt do postawienia uzasadnionej tezy, iż powstrzymując się od wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, Administrator nie mitygował należycie inheretnego ryzyka związanego z procesami przetwarzania danych osobowych. Wspólnicy Y s.c. natomiast, mimo posiadanej przez siebie wiedzy odnośnie do wykorzystywanego w procesach przetwarzania danych nieaktualizowanego i stąd podatnego na zagrożenia (które ostatecznie się zmaterializowały) oprogramowania serwera „(…)”, nie zrobili nic, aby wspomnianemu stanowi rzeczy przeciwdziałać. Stanowi to o uchybieniu przez nich wymogom stawianym na gruncie art. 28 ust. 3 lit. f) w związku z art. 32 ust. 1 i 2 rozporządzenia 2016/679, rozumianym jako obowiązek wspierania administratora w jego poczynaniach mających na celu wdrożenie adekwatnych do istniejącego ryzyka technicznych i organizacyjnych środków bezpieczeństwa dla procesów przetwarzania danych osobowych. Powyższa argumentacja nie umniejsza jednocześnie, wobec udowodnionych zaniechań ze strony Podmiotu przetwarzającego, konieczności przypisania Administratorowi naruszenia przepisu art. 28 ust. 1 rozporządzenia 2016/679, albowiem – jak wykazano wcześniej – nie monitorował on wspólników Y s.c., pod kątem tego, czy osoby te zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą.
V. Naruszenie art. 34 ust. 2 rozporządzenia 2016/679.
Niezależnie od dotychczasowych ustaleń, wskazać należy, że Prezes UODO w toku niniejszego postępowania administracyjnego dopatrzył się również uchybień ze strony Administratora w zakresie zawiadomienia swoich byłych, jak i obecnych pracowników o fakcie naruszenia ochrony ich danych osobowych. Zgodnie bowiem z treścią przepisu art. 34 ust. 1 rozporządzenia 2016/679, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Ust. 2 zawiera z kolei zamknięty katalog elementów, jaki powinien administrator w skierowanym do podmiotów danych zawiadomieniu zawrzeć, jeżeli chce, zgodnie z zasadą rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679), wykazywać się prawidłowością spełnienia ciążącego na nim obowiązku informowania osób, których dane dotyczą. I tak, zawiadomienie, o którym mowa w ust. 1 ww. artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679, a więc te odnoszące się do imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
W tym kontekście, odnosząc się do kwestii poddawania przez Administratora w szerokim zakresie procesom przetwarzania danych osobowych, dotyczących jego byłych oraz obecnych pracowników, wśród których na podstawie przekazanych przez Administratora pismem z 10 kwietnia 2020 r. wyjaśnień, wymienić należy takie ich kategorie jak: „(…) imię (imiona), nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, PESEL, email, seria i numer dowodu osobistego, numer telefonu”, w konsekwencji nie sposób przejść obojętnie obok uchybienia ze strony Administratora obowiązkowi dokonania zawiadomienia osób, których dane dotyczą, z uwzględnieniem wszystkich wskazanych w art. 34 ust. 2 rozporządzenia 2016/679 elementów. Niejako w nawiązaniu do dotychczas podniesionej argumentacji wskazać należy, że przyjęte na gruncie wymienionego aktu prawnego „podejście oparte na ryzyku” kreuje również obowiązki administratorów związane z naruszeniami ochrony danych osobowych.
Z analizy ww. przepisów wynika zatem, że w zależności od tego, z jakim poziomem ryzyka naruszenia praw lub wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi UODO. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw lub wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także również wobec osób, których dane dotyczą. W przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, rozporządzenie 2016/679 wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 rozporządzenie 2016/679).
Przyjmując tę właśnie optykę, Prezes UODO, po przeanalizowaniu zarówno treści zawiadomienia pierwotnie przekazanego przez Administratora w dacie 10 stycznia 2020 r. osobom, których dane dotyczą, jak i charakteru zaistniałego naruszenia, czasu trwania, kategorii danych i kategorii osób, których dotyczyło to naruszenie oraz zastosowanych środków naprawczych, zwrócił się do Administratora 13 marca 2020 r. o niezwłoczne, ponowne i prawidłowe zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych osobowych oraz podjęcie działań w celu wyeliminowania podobnych nieprawidłowości w przyszłości. Stosownie do przepisów art. 52 ust. 1 i 3 uodo oraz art. 34 ust. 4 rozporządzenia 2016/679 zobowiązał go również do przekazania w terminie 30 dni od dnia otrzymania tego wystąpienia informacji w przedmiocie podjętych działań, a zwłaszcza tych związanych z przekazaniem osobom, których dane dotyczą, opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu – w tym w stosownych przypadkach – środków w celu zminimalizowania jego ewentualnych negatywnych skutków. Prezes UODO zważył wówczas, że brak jest wystarczających przesłanek do przyjęcia sformułowanego przez Administratora założenia, zgodnie z którym „celem zaszyfrowania danych nie była ich kradzież”. Mając na względzie przekazaną przez Administratora pismem z 5 marca 2020 r. informację o tym, że ten „(…) nie dysponuje danymi jednoznacznie wykluczającymi możliwość pobrania danych przez nieuprawnione osoby trzecie podczas włamania”, Prezes UODO, kierując się daleko posuniętą ostrożnością, uznał więc za uprawniony wniosek, iż z bardzo dużą dozą prawdopodobieństwa mogło dojść w przedmiotowej sprawie również do naruszenia poufności przetwarzanych przez Administratora danych osobowych. Bez wątpienia, niepodanie przez Administratora w dotychczas składanych przez niego wyjaśnieniach szczegółów dotyczących przeprowadzonego postępowania wyjaśniającego oraz jego wyników, w tym w szczególności brak wystarczających dowodów na dokonanie stosownych ustaleń w celu rzeczywistego ustalenia sposobu działania złośliwego oprogramowania, utwierdziło organ nadzorczy w tym przekonaniu. Jednocześnie wskazać należy, że wszechstronna analiza treści złożonej przez Administratora w niniejszej sprawie dokumentacji wykazuje, iż do chwili obecnej nie przedłożył on przekonujących dowodów na poparcie stawianych przez siebie tez. W konsekwencji, zachowuje swoją aktualność wyrażone 13 marca 2020 r. stanowisko Prezesa UODO, dotyczące uzasadnionego podejrzenia o możliwości naruszenia w wyniku ataku ransomware z 25 listopada 2019 r. poufności przetwarzanych przez Administratora zbiorów danych.
W świetle przytoczonego wywodu nie sposób zatem uznać, że Administrator, przekazując 21 marca 2020 r. byłym i obecnym pracownikom (tj. łącznie „(…) ok. 200 (…)” osobom) „Informację o naruszeniu danych osobowych” zrobił to z uwzględnieniem wszystkich wymaganych na gruncie zawartego w art. 34 ust. 2 rozporządzenia 2016/679 uregulowania elementów, do czego był zobowiązany identyfikując wysokie ryzyko zaistniałego 25 listopada 2019 r. naruszenia ochrony danych osobowych (do postawienia takiego wniosku skłania organ wystosowanie przez Administratora 21 marca 2020 r. w stosunku do osób, których dane dotyczą, ponownego zawiadomienia o naruszeniu ochrony ich danych osobowych), zgodnie z art. 34 ust. 1 rozporządzenia 2016/679. Nie mogąc w sposób nie budzący wątpliwości wykluczyć, że w przedmiotowej sprawie nie doszło do naruszenia poufności szerokiego zakresu danych w przytoczonym wyżej kształcie ww. kategorii osób, Administrator powinien był zatem, przyjmując perspektywę ochrony interesów podmiotów danych oraz wykazując się daleko idącą ostrożnością, przekazać im całość wymaganych prawem informacji. Tymczasem, analiza treści zawiadomienia skierowanego 21 marca 2020 r. do osób, których dane dotyczą, wykazuje, że Administrator wskazał co prawda byłym, jak i obecnym pracownikom pewne możliwe konsekwencje naruszenia oraz środki zaradcze, jakie mogą oni podjąć w celu zminimalizowania negatywnych konsekwencji przedmiotowego naruszenia ochrony danych, a które zostały wymienione na stronie 7 uzasadnienia niniejszej decyzji, jednakże – w ocenie organu nadzorczego – środki te pozostają nieadekwatne w stosunku do zaistniałego w związku z przedmiotowym naruszeniem ryzyka. Nie odnosząc się bowiem do wszystkich ujawnionych kategorii danych, w szczególności tych, których nieuprawnione wyjawienie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, tj. zestawu danych w zakresie nr PESEL, imienia i nazwiska, nie minimalizują dostatecznie jego negatywnych skutków.
Niezależnie zresztą od dokonanej przez Administratora oceny ryzyka naruszenia praw lub wolności osób fizycznych, powyższa argumentacja ulega wzmocnieniu po uwzględnieniu, że w wyniku przedmiotowego naruszenia ochrony danych osobowych mogło dojść do naruszenia poufności numeru PESEL, czyli jedenastocyfrowego symbolu numerycznego, pozwalającego nie tylko na jednoznaczną identyfikację osób fizycznych, ale zawierającego też datę urodzenia oraz oznaczenie płci tych osób, a więc informacje ściśle powiązane ze sferą ich prywatności. Ponadto należy również wziąć pod uwagę, że w wyniku zaistniałego naruszenia ochrony danych osobowych – z dużą dozą prawdopodobieństwa – utracona mogła zostać poufność tego numeru ewidencyjnego wraz z imionami i nazwiskami byłych oraz obecnych pracowników Administratora na rzecz nieustalonych sprawców ataku na jego infrastrukturę informatyczną, a przecież już samo to zestawienie danych osobowych bywa wystarczające do „podszycia się” pod osobę, której dane dotyczą i zaciągnięcia w jej imieniu i na jej szkodę np. zobowiązań pieniężnych (vide: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci – gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”, dostęp 2.9.2024.). Nie można przy tym pominąć faktu, że przedmiotowe naruszenie ochrony danych dotyczyło jeszcze szerszego katalogu danych osobowych byłych i obecnych pracowników Administratora, obejmując – zgodnie z jego deklaracją – również takie ich kategorie jak: „(…) imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, (…) , email, seria i numer dowodu osobistego, numer telefonu”, co w połączeniu z przestępnym działaniem osób, które potencjalnie weszły w posiadanie ww. informacji dotyczących członków personelu Administratora, podnosi tylko potencjalną powagę ryzyka naruszenia praw lub wolności osób, których dane dotyczą.
Do problematyki naruszeń poufności krajowych numerów identyfikacyjnych i wynikających z nich obowiązków administratorów tak w stosunku do organu nadzorczego, jak i względem osób, których dane dotyczą, odniosła się również EROD w przyjętych 14 grudnia 2021 r. „Wytycznych 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych, wersja 2.0” (dalej jako Wytyczne EROD 01/2021). Omawiając w przytoczonym dokumencie przypadek „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”, w którym doszło do ujawnienia numeru ubezpieczenia społecznego, będącego notabene odpowiednikiem stosowanego w Polsce numeru PESEL, EROD ponad wszelką wątpliwość uznała, że ujawnienie danych w zakresie: imienia i nazwiska, adresu e-mail, adresu pocztowego oraz numeru ubezpieczenia społecznego, wskazuje na wysokie ryzyko naruszenia praw lub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”), co tym samym implikuje konieczność powiadomienia organu nadzorczego oraz zawiadomienia o naruszeniu osób, których dane dotyczą. Podobne stanowisko wyrażał również kilkukrotnie WSA w Warszawie (vide: wyrok z 1 lipca 2022 r., sygn. akt II SA/Wa 4143/21, wyrok z 22 września 2021 r., sygn. II SA/Wa 791/21, wyrok z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22, wyrok z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23 oraz wyrok z 6 listopada 2023 r., sygn. akt II SA/Wa 996/23), a także NSA w wyroku z 6 grudnia 2023 r., sygn. akt III OSK 2931/21).
Odnosząc zatem przytoczoną wyżej argumentację do przedstawionego stanu faktycznego, podkreślenia wymaga, że w przypadku jakichkolwiek wątpliwości co do wykonania obowiązków przez administratorów – w tym również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych – należy w pierwszej kolejności, odwołując się do wykładni celowościowej rozporządzenia 2016/679, brać pod uwagę wyrażoną w art. 1 ust. 2 tego aktu prawnego regułę, zgodnie z którą podstawowym celem unormowań w nim zawartych pozostaje zawsze ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. Tym samym, w próbie spełnienia powyższego postulatu Administrator winien był w następstwie wystąpienia przedmiotowego naruszenia ochrony danych osobowych dokonać analizy ryzyk, jakie wiążą się z faktem jego zaistnienia dla wartości prawnie chronionych, a dotyczących tych osób. Zobowiązany był on zatem uwzględnić, kierując się – za obowiązującymi w momencie wystąpienia przedmiotowego naruszenia ochrony danych osobowych Wytycznymi Grupy Roboczej Art. 29 „dotyczącymi zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679”, zwanymi dalej „Wytycznymi WP250” (obecnie stosowane są Wytyczne EROD 9/2022 „w sprawie zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO”, dalej jako „Wytyczne 9/2022”) – kryteriami rodzaju naruszenia ochrony danych osobowych, charakteru, wrażliwości i ilości danych osobowych, łatwości identyfikacji osób fizycznych, powagi konsekwencji dla osób, których dane dotyczą, w związku z tym naruszeniem, liczby osób, których dane objęte zostały przedmiotowym naruszeniem, konkretne okoliczności naruszenia ochrony danych osobowych, w tym zgodnie z motywami 75 i 76 preambuły rozporządzenia 2017/679, powagę potencjalnych skutków oraz prawdopodobieństwo ich wystąpienia. Wysoki bowiem poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie obowiązków określonych w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679.
Mając na uwadze, że ze względu na zakres potencjalnie ujawnionych danych osobowych w analizowanym przypadku wystąpiła – jak wykazano powyżej – możliwość zmaterializowania się względem byłych i obecnych pracowników Administratora doniosłych negatywnych konsekwencji, to wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za wysoką. Jednocześnie, prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, co w konsekwencji determinuje m.in. obowiązek zawiadomienia byłych i obecnych pracowników Administratora o naruszeniu ochrony ich danych osobowych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, z uwzględnieniem wszystkich wskazanych w art. 34 ust. 2 rozporządzenia 2016/679 elementów (przesłanka wysokiego ryzyka nie zachodzi w przypadku „(…) klientów, którzy chociaż jednokrotnie dokonali zakupu (…)” w przedsiębiorstwie Administratora z uwagi na zakres informacji dotyczących tych osób, tj. imię, nazwisko, numer rachunku bankowego, adres zamieszkania, adres prowadzenia działalności gospodarczej, NIP, e-mail, numer telefonu, dane dotyczące złożonych zamówień).
Jako egzemplifikację stanu przeciwnego do postulowanego przez unijnego prawodawcę należy więc wskazać przekazaną przez Administratora 21 marca 2020 r. osobom, których dane dotyczą, treść zawiadomienia o naruszeniu ochrony ich danych osobowych, w której Administrator nie wymienił wszystkich możliwych do przewidzenia konsekwencji zaistniałego naruszenia ochrony danych osobowych oraz nie sformułował na ich podstawie odpowiadających im zaleceń odnośnie do działań, jakie osoby, których dane dotyczą, mogą podjąć w celu pełnego zabezpieczenia swojej sfery prywatności, pozbawiając je tym samym możliwości skutecznego przeciwdziałania potencjalnym szkodom. Powyższe stanowi naruszenie przez Administratora przepisu art. 34 ust. 2 rozporządzenia 2016/679, który ma wszak na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Chomiczewski Witold (w:) RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak - Jomaa, D. Lubasz, Warszawa 2018).
Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, jakie mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków, które – biorąc pod uwagę zarówno zakres kategorii danych osobowych objętych przedmiotowym naruszeniem ochrony danych osobowych, jak i kontekst przetwarzania, w ramach którego doszło do jego wystąpienia – okazać się mogą brzemienne w skutkach, np. poprzez zaciągnięcie zobowiązań finansowych na szkodę byłych i obecnych pracowników Administratora. Doskonały przykład zmaterializowania się wspomnianego ryzyka zawiera – przygotowany w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem MSWiA i we współpracy m.in. z Policją oraz Federacją Konsumentów – raport infoDOK (vide: https://www.zbp.pl/raporty-i-publikacje/raporty-cykliczne/raport-infodok). Wynika z niego, że w IV kwartale 2019 r., a więc w czasie zaistnienia przedmiotowego naruszenia ochrony danych osobowych, odnotowano 1 607 prób wyłudzeń kredytów i pożyczek na łączną kwotę 58,4 mln zł, co oznacza, że każdego dnia próbowano 18-krotnie dokonać kradzieży na cudze dane osobowe łącznie na kwotę 642 tys. zł, co z kolei wobec wykazanych zaniedbań ze strony Administratora polegających na przekazaniu osobom, których dane dotyczą, niepełnowartościowego komunikatu odnośnie do wszystkich potencjalnych konsekwencji przedmiotowego naruszenia danych osobowych oraz zaleceń w celu minimalizacji prawdopodobieństwa ich uaktualnienia się, ma niewątpliwie niebagatelne znaczenie. Dla porównania w IV kwartale 2020 r. próbowano już wyłudzić 1 943 kredyty, na łączną kwotę 67,3 mln zł, z kolei w IV kwartale 2021 r. odnotowano 2 075 prób wyłudzenia kredytów, na łączną kwotę 91,3 mln zł, co stanowi doskonałą ilustrację niepokojącej tendencji wzrostowej w zakresie ryzyka wykorzystania cudzych danych osobowych do czynów przestępnych. Ponadto, jak wynika z orzecznictwa, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna – dla potwierdzenia: wyrok Sądu Rejonowego w Łęczycy z 27 lipca 2016 r. (sygn. akt I C 566/15), wyrok Sądu Rejonowego dla Łodzi – Widzewa w Łodzi z 13 sierpnia 2020 r. (sygn. II C 1145/19), wyrok Sądu Rejonowego w Piszu z 21 sierpnia 2020 r. (sygn. I C 260/20), czy wyrok Sądu Rejonowego w Puławach z 7 kwietnia 2022 r. (sygn. akt I C 475/19).
Należy zatem podkreślić, że postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, Administrator powinien był zatem bez dalszej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu konieczne zaś było przynajmniej wskazanie wymienionych w art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679 informacji, z którego to obowiązku Administrator się nie wywiązał i to pomimo skierowanego do niego w tej sprawie w dniu 13 marca 2020 r. przez Prezesa UODO wystąpienia.
Tym samym, na podstawie zgromadzonego w przedmiotowej sprawie materiału dowodowego oraz w świetle przytoczonej powyżej argumentacji, zarzut naruszenia przez Administratora obowiązku wynikającego z art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679, z uwagi na brak prawidłowego zawiadomienia byłych i obecnych pracowników o naruszeniu ochrony ich danych osobowych, nie powinien budzić wątpliwości. Analiza przedstawionego stanu faktycznego ujawniła również, że Administrator do chwili obecnej nie podejmował już żadnych dalszych prób, zmierzających do przekazania swoim byłym, jak i obecnym pracownikom pełnowartościowego, tj. z uwzględnieniem wszystkich wymienionych na gruncie art. 34 ust. 2 rozporządzenia 2016/679 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679 elementów, komunikatu, pomimo, iż po lekturze wystąpienia skierowanego do niego 13 marca 2020 r. przez Prezesa UODO, powinien wykazywać się już wiedzą odnośnie do prawideł zawiadamiania osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.
VI. Administracyjna kara pieniężna.
Mając na uwadze powyższe ustalenia, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora oraz na Podmiot przetwarzający administracyjnych kar pieniężnych.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 - 39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
W niniejszej sprawie administracyjna kara pieniężna wobec Pana AB, prowadzącego działalność gospodarczą pod firmą X, ul. (…), nałożona została za naruszenie art. 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1 i 2 oraz art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia.
Administracyjna kara pieniężna nałożona na Pana EF i Pana GH, wspólników Y s.c., Al. (…), oraz na Panią CD, byłego wspólnika Y s.c., wszystkich odpowiadających solidarnie, za naruszenie art. 28 ust. 3 lit. f) w związku z art. 32. ust. 1 i 2 rozporządzenia 2016/679 znajduje podstawę w art. 83 ust. 4 lit. a) tego rozporządzenia.
Nadto należy wskazać, że zgodnie z treścią art. 58 ust. 2 lit. d) rozporządzenia 2016/679 każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów tego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu.
I. Przesłanki mające wpływ na nałożenie administracyjnej kary pieniężnej względem Administratora (art. 83 ust. 2 in fine rozporządzenia 2016/679).
Decydując o nałożeniu na Pana AB, prowadzącego działalność gospodarczą pod firmą X, ul. (…), administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej administracyjnej kary pieniężnej:
1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
Przy wymierzaniu administracyjnej kary pieniężnej istotne znaczenie miała okoliczność, że naruszenie przepisów rozporządzenia 2016/679, nakładających na Administratora obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danym osobowym, przetwarzanym w związku z prowadzoną przez niego działalnością gospodarczą o zasięgu ogólnopolskim, której kształt przytoczony został na str. 3 uzasadnienia niniejszej decyzji, miało wpływ co najmniej na naruszenie dostępności „(…) baz[y] danych klientów, którzy chociaż jednokrotnie dokonali zakupu (…)”, a także danych dotyczących zarówno byłych, jak i obecnych pracowników Administratora „(…) w liczbie ok. 200 (…)” osób. Logicznym zaś następstwem stwierdzonych w toku niniejszego postępowania wyjaśniającego uchybień Administratora w aspekcie stosowania się przez niego do przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i art. 32 ust. 2 rozporządzenia 2016/679, było powstałe w dniu 25 listopada 2019 r. naruszenie ochrony danych osobowych, polegające na nieuprawnionym dostępie przez nieustalonych sprawców do infrastruktury informatycznej Administratora i zaszyfrowaniu następujących kategorii danych osobowych jego byłych, jak i obecnych pracowników: „(…) imię (imiona), nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, PESEL, email, seria i numer dowodu osobistego, numer telefonu.” Tym samym, wykazanym Administratorowi naruszeniom ww. przepisów rozporządzenia 2016/679 przypisać należy znaczną wagę i poważny charakter, ponieważ zaistniałe w ich wyniku zdarzenie doprowadzić może do szkód majątkowych lub niemajątkowych dla kategorii osób, których dane zostały naruszone w powyższym zakresie, a prawdopodobieństwo ich wystąpienia wciąż pozostaje wysokie. Należy bowiem podkreślić, że zgromadzony w niniejszej sprawie materiał dowodowy nie wykazuje przesłanek uprawdopodabniających dokonanie przez Administratora stosownych ustaleń w celu rzeczywistej identyfikacji sposobu działania złośliwego oprogramowania. W konsekwencji, wobec niepodania przez Administratora szczegółów dotyczących przeprowadzonego postępowania wyjaśniającego oraz jego wyników, w tym w szczególności braku wystarczających dowodów na przedsięwzięcie przez niego działań w celu rzeczywistego ustalenia sposobu działania złośliwego oprogramowania, nie sposób jednoznacznie uznać prawdziwości przyjętego przez niego założenia, zgodnie z którym „(…) celem zaszyfrowania danych nie była ich kradzież (…)”. Przeciwnie: w świetle przytoczonych faktów, nie można odrzucić scenariusza, w którym w przedmiotowej sprawie mogło jednak dojść do naruszenia poufności ww. kategorii danych osobowych, stwarzającego wysokie ryzyko materializacji negatywnych konsekwencji dla praw lub wolności byłych, jak i obecnych pracowników X, ul. (…), które to ryzyko – co istotne – identyfikował sam Administrator, informując 21 marca 2020 r. te osoby o potencjalnych konsekwencjach przedmiotowego naruszenia ochrony danych osobowych, cyt. „(…) Dane, których dotyczy naruszenie mogą zostać wykorzystane w takich celach jak próba wyłudzenia innych Twoich danych, lub próba zawarcia z Tobą umowy (na przykład sprzedaży przez Internet) przy użyciu tych danych, wykonania ataku hakerskiego poprzez przesłanie powiadomienia na e-mail bądź numer telefonu. Istnieje także szansa, że otrzymasz informację handlową, marketingową, na którą nie wyraziłeś/aś zgody.”.
Abstrahując nawet od rozważań dotyczących realnych szkód majątkowych, mogących być – biorąc pod uwagę zestaw kategorii danych osobowych oraz kontekst przetwarzania – następstwem naruszenia poufności danych osobowych (i ich dalszego udostępnienia podmiotom nieuprawnionym, czego przecież w przedmiotowej sprawie również nie można wykluczyć), wskazać należy, że już samo naruszenie dostępności danych osobowych stanowi szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę związaną z utratą kontroli nad swoimi danymi osobowymi, która to niedogodność wynika wprost z charakteru naruszenia atrybutu dostępności tych danych, o psychicznym cierpieniu powiązanym z niepewnością co do dalszych możliwych konsekwencji tego naruszenia, np. w postaci kradzieży tożsamości, oszustwa dotyczącego tożsamości, czy wreszcie straty finansowej, nie wspominając, a jak słusznie zauważył Sąd Okręgowy w Warszawie w wyroku z 6 sierpnia 2020 r., sygn. akt XXV C 2596/19, obawa, a więc utrata poczucia bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.
Szczególnego podkreślenia wymaga fakt długiego czasu trwania naruszenia przepisów będących przedmiotem zainteresowania Prezesa UODO w ramach prowadzonego przez organ postępowania. Wskazać bowiem należy, że stan naruszenia przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, przejawiający się: brakiem doboru skutecznych środków technicznych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych osobowych, w szczególności poprzez stosowanie nieaktualizowanego serwera z oprogramowaniem B.; brakiem regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym administratora, a tym samym niewłaściwym uwzględnieniem ryzyka związanego z przetwarzaniem danych osobowych w tym systemie; niewłaściwym doborem oraz brakiem monitorowania środków organizacyjnych, przewidujących możliwość modyfikacji przez pracowników pracy oprogramowania antywirusowego A., czy wreszcie niewdrożeniem odpowiednich środków organizacyjnych w postaci zapewnienia wystarczającej rozliczalności w zakresie przeprowadzanych dla pracowników szkoleń, stanowiących łącznie podstawową przesłankę zaistnienia przedmiotowego naruszenia ochrony danych osobowych, rozpoczął się 25 maja 2018 r., tj. w dniu rozpoczęcia stosowania przepisów rozporządzenia 2016/679 i jest – wobec braku dowodów na przeprowadzenie przez Administratora analizy ryzyka w celu identyfikacji oraz oszacowania właściwego poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych – do dnia dzisiejszego kontynuowany. Podobną optykę przyjąć należy względem utrzymującego się od 24 maja 2018 r., tj. od chwili podpisania przez Administratora umowy powierzenia przetwarzania danych osobowych z Podmiotem przetwarzającym, do chwili obecnej naruszenia przepisu art. 28 ust. 1 tego rozporządzenia, gdyż jak przyznał Administrator w piśmie datowanym na 7 lipca 2023 r. „(…) nie rozwiązał umowy z Y albowiem w pewnym zakresie nadal współpracuje z tym podmiotem.”
2. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679).
Nieuprawniony dostęp do infrastruktury informatycznej Administratora, w tym do danych osobowych przetwarzanych w systemie d. stał się możliwy wskutek leżących po stronie Administratora i świadczących o jego rażącym niedbalstwie zaniechań, przejawiających się zarówno brakiem dokonania przez niego jeszcze przed uruchomieniem procesów przetwarzania danych osobowych jakiejkolwiek analizy ryzyka dla projektowanych przez siebie procesów, jak i nieprzeprowadzaniem okresowych ewaluacji w tym zakresie po przystąpieniu do operacji przetwarzania danych osobowych w oparciu o regularne testowanie, mierzenie i ocenianie wdrożonych w swojej organizacji technicznych i organizacyjnych środków bezpieczeństwa dla procesów przetwarzania danych osobowych i to pomimo posiadania wiedzy na temat oferowanych przez producenta oprogramowania aktualizacji. Logiczną konsekwencją rażących zaniedbań ze strony Administratora było – jak ustalono – wdrożenie przez niego takich technicznych i organizacyjnych środków w celu zapewnienia bezpieczeństwa procesom przetwarzania danych osobowych w swojej organizacji, które już na etapie projektowania nie mogły stanowić adekwatnej odpowiedzi na inherentne ryzyko związane z realizowanymi w jego strukturze procesami przetwarzania danych osobowych. Ponadto, powstrzymując się od oparcia zaprojektowanej w swojej organizacji architektury bezpieczeństwa na uprzednio dokonanej analizie ryzyka, Administrator a priori pozbawiony był – jak wykazano – skutecznego narzędzia oceny, czy zaimplementowane przez niego techniczne i organizacyjne środki bezpieczeństwa są wystarczające, zaś brak dokonywania okresowych sprawdzeń posiadanych narzędzi i ich oceny pod kątem ryzyka jeszcze ten stan niewiedzy potęgował. A contrario,Administrator znając charakter zachodzących w jego organizacji procesów przetwarzania danych osobowych powinien wykazywać się świadomością odnośnie do specyfiki działania systemów informatycznych oraz wpływu, jaki wywiera na ich funkcjonowanie „czynnik ludzki”. Mimo wykorzystywania takich systemów do przetwarzania danych osobowych Administrator nie tylko nie przeprowadził analizy ryzyka w obszarze objętym naruszeniem ochrony danych osobowych, ale projektując i wdrażając zmiany mające na celu mitygację ryzyka ponownego wystąpienia naruszenia ochrony danych osobowych, po raz kolejny przeprowadzenia stosownej ewaluacji zagrożeń zaniechał. Tym samym, charakterystyce jego działań ponownie przypisać należy brak świadomości odnośnie potencjalnych zagrożeń dla realizowanych w jego strukturze procesów przetwarzania danych osobowych, a zaimplementowanym przez Administratora technicznym i organizacyjnym środkom bezpieczeństwa przetwarzania nie sposób przypisać adekwatności w stosunku do istniejącego obiektywnie ryzyka. W tym ujęciu wobec Administratora nie można formułować zarzutu innego niż dotyczącego „rażącego niedbalstwa”, rozumianego jako niedochowanie w określonym stanie faktycznym chociażby elementarnych zasad zachowania się w danej sytuacji, innymi słowy działania bądź zaniechania w sposób nie spełniający podstawowych standardów wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 zasadzie integralności i poufności, co w konsekwencji przemawia – zdaniem organu – za umyślnym charakterem naruszenia przepisów art. 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1 i 2, który to stan naruszenia prawa nie został przez Administratora do dnia dzisiejszego usunięty.
3. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679).
W niniejszej sprawie nie można uznać działania Administratora polegającego na odzyskaniu po upływie 4 dni dostępności zaszyfrowanych danych za takie, które faktycznie sprzyjałoby minimalizacji szkód o charakterze majątkowym lub niemajątkowym w dobrach osób, których dane dotyczą. Wskazać bowiem należy, że celem zasadniczym tego działania było przywrócenie możliwości funkcjonowania przedsiębiorstwa Administratora, a nie wzgląd na prawa lub interesy osób dotkniętych przedmiotowym naruszeniem. Taka ocena organu wynika zresztą z przyjętego przez Administratora, lecz niemającego żadnego umocowania w faktach założenia, zgodnie z którym „(…) celem zaszyfrowania danych nie była ich kradzież.” Tymczasem nieznany pozostaje rzeczywisty cel działania sprawców, zaś zaprezentowany przez nich modus operandi pozwala na postawienie wniosku sprzecznego z rozumowaniem Administratora, który umniejszał złą wolę jako motyw działania przestępnego. W konsekwencji, podjęte przez Administratora działania w żadnym stopniu nie spełniają postulatu minimalizacji szkód o charakterze materialnym i niematerialnym w dobrach osób, których dane dotyczą. Wypełnienie tego obowiązku stanowiłaby natomiast – możliwa do zrealizowania przez Administratora – inicjatywa związana, w szczególności z przeprosinami, czy zadośćuczynieniem pieniężnym wobec osób, których dane dotyczą. W sposób oczywisty w kontekst ten nie wpisuje się zatem koncentracja jego działań jedynie na próbach odzyskania dostępu do bazy danych, która – co istotne – nie przesądza o należytym zabezpieczeniu danych przed kolejnymi skutkami naruszenia, np. przed pobraniem ich przez kolejne nieuprawnione podmioty. W świetle powyższych okoliczności, tym trudniejsze staje się poszukiwanie racjonalnego uzasadnienia dla przyjętej przez Administratora pragmatyki powstrzymywania się od przekazania osobom, których dane dotyczą, prawidłowego opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez niego w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków, co stanowi o uchybieniu przez niego określonemu w art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679 obowiązkowi.
4. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).
Wykazane w toku niniejszego postępowania i leżące po stronie Administratora uchybienia wpisują się w kontekst jego rażącego – ze względu na swą uporczywość – braku współpracy z organem nadzorczym, skutkującego nieusunięciem do chwili obecnej stanu naruszenia przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c) i d) rozporządzenia 2016/679, pomimo formalnego wszczęcia przez Prezesa UODO postępowania administracyjnego w niniejszej sprawie.
5. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679).
Dane osobowe przetwarzane w systemie d. nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, jednakże ich szeroki zakres obejmujący takie kategorie danych osób fizycznych jak: numer PESEL, seria i numer dowodu osobistego, imiona i nazwiska, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, adres e-mail oraz numer telefonu, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych przedmiotowym naruszeniem. Należy podkreślić, że nieuprawnione ujawnienie takiej kategorii danych o szczególnym charakterze jak nr PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, pozostający ściśle powiązany ze sferą prywatności osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, w szczególności w połączeniu – tak jak miało to miejsce w przedmiotowej sprawie – z szerszym zestawem danych osobowych, może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Nie inaczej zresztą w kwestii szczególnego charakteru informacji identyfikacyjnej, jaką jest numer ewidencyjny PESEL i łączącym się z tym postulatem szczególnej jego ochrony wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z 1 lipca 2022 r. stwierdził, że „w przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą”. Co istotne, podobny pogląd został wyrażony przez Naczelny Sąd Administracyjny, który w orzeczeniu zapadłym 6 grudnia 2023 r. (wyrok Naczelnego Sądu Administracyjnego z 6 grudnia 2023 r., sygn. akt III OSK 2931/21) zważył, że ujawnienie „(…) danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych (…) zawsze może rodzić ryzyko negatywnych skutków dla ww. osób.”
Jak wskazano w Wytycznych EROD 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO (str. 22; wersja 2.1; przyjęte 24 maja 2023 r.), dalej Wytyczne 04/2022, „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 RODO oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać temu czynnikowi.”
Ustalając wysokość administracyjnej kary pieniężnej dla Administratora, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a) – j) rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne. Również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) nie znaleziono żadnych okoliczności łagodzących, a jedynie neutralne (co zostało odnotowane poniżej w pkt 7).
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
1. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) rozporządzenia 2016/679).
Jak wskazała EROD w Wytycznych 04/2022, rozpatrując ww. przesłankę „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator »zrobił wszystko, czego można by było oczekiwać«, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.
Organ nadzorczy stwierdził w niniejszej sprawie naruszenie przez Administratora przepisów art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. W ocenie Prezesa UODO ciąży na nim wysoki stopień odpowiedzialności za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które mogłyby zapobiec naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie zrobił wszystkiego, czego można by było oczekiwać, nie wywiązując się tym samym z obowiązków nałożonych na niego na mocy art. 25 i 32 rozporządzenia 2016/679.
W tej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia i nie jest jedynie czynnikiem wpływającym – obciążająco lub łagodząco – na jego ocenę. Z tego też powodu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i 32 rozporządzenia 2016/679, nie może zostać uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na ocenę naruszenia i wymiar nałożonej na Administratora administracyjnej kary pieniężnej.
2. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679).
Prezes UODO nie stwierdził leżących po stronie Administratora jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być również okolicznością łagodzącą przy wymierzaniu sankcji.
3. Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie przez Administratora przepisów o ochronie danych osobowych w wyniku dokonanego przez niego zgłoszenia naruszenia ochrony danych osobowych. Administrator, dokonując zgłoszenia, realizował ciążący na nim obowiązek prawny, brak jest zatem podstaw do uznania, że fakt ten stanowi okoliczność łagodzącą. EROD wskazuje w Wytycznych 04/2022, że „sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, może stanowić istotną okoliczność obciążającą albo łagodzącą. Przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu organ nadzorczy z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze – na przykład – skargi lub postępowania. Okoliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń (jak np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33 RODO). W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną.”
4. Jeżeli wobec administratora, którego sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków (art. 83 ust. 2 lit. i) rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym nie miał on obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
5. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na moc art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679).
Administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na jego korzyść mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych.
6. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięcie straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
Prezes UODO nie stwierdził, aby w związku z naruszeniem Administrator odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Nieosiągnięcie zaś przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być dla Administratora łagodząca. Interpretację tę potwierdza już samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
7. Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, że nałożenie administracyjnej kary pieniężnej na Administratora jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych tym podmiotom naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, iż zastosowanie wobec tych podmiotów jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że ww. podmioty w przyszłości nie dopuszczą się podobnych, co w sprawie niniejszej zaniedbań.
II. Sposób wyliczenia kary względem Administratora na podstawie Wytycznych 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO.
Koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej wobec Administratora Prezes UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:
1. Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenia przepisów art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 należą – zgodnie z art. 83 ust. 5 rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 EUR lub do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Zostały więc one in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za bardziej poważne niż naruszenia wskazane w art. 83 ust. 4 rozporządzenia 2016/679.
2. Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenia jako naruszenia o średnim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonych w niniejszej sprawie naruszeń traktowanych w całości prowadzi do wniosku, że poziom ich powagi również in concreto jest średni (w skali powagi naruszeń przedstawionej w pkt 60 Wytycznych 04/2022). Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 10 do 20% maksymalnej wysokości kary możliwej do orzeczenia wobec Administratora. Zważywszy, że przepis art. 83 ust. 5 rozporządzenia 2016/679 zobowiązuje Prezesa UODO do przyjęcia jako maksymalnej wysokości kary za naruszenia wskazane w tym przepisie kwoty 20 000 000 EUR lub – o ile wartość ta jest wyższa niż 20 000 000 EUR – kwoty stanowiącej 4% obrotu przedsiębiorstwa z poprzedniego roku obrotowego, Prezes UODO uznał, że zastosowanie w niniejszej sprawie ma tzw. statyczna maksymalna kwota kary, tj. 20 000 000 EUR, będąca kwotą wyższą niż – wynikająca z zastosowania 4-procentowego wskaźnika przyłożonego do obrotu Administratora za 2023 r., którego wartość wyniosła (…) EUR. Mając do dyspozycji przedział od 2 000 000 EUR do 4 000 000 EUR, Prezes UODO przyjął, jako adekwatną i uzasadnioną okolicznościami sprawy, kwotę wyjściową do obliczenia wysokości kary wynoszącą (…) EUR (stanowiącą (…)% statycznej maksymalnej wysokości kary).
3. Stosownie do wskazówki Europejskiej Rady Ochrony Danych przedstawionej w pkt 65 Wytycznych 04/2022 (w odniesieniu do przedsiębiorstw, których roczny obrót wynosi od 10 do 50 mln EUR) Prezes UODO uznał za zasadne skorzystanie z możliwości obniżenia przyjętej w oparciu o ocenę powagi naruszenia kwoty wyjściowej, którą to możliwość wytyczne te (w Rozdziale 4.3) przewidują dla przedsiębiorstw o mniejszej wielkości i sile gospodarczej. W pkt 65 Wytycznych 04/2022 EROD wskazuje, że „(…) W przypadku przedsiębiorstw, których roczny obrót wynosi od 10 do 50 mln EUR, organy nadzorcze mogą rozważyć dokonanie obliczeń na podstawie wartości w przedziale od 1,5 do 10% zidentyfikowanej kwoty wyjściowej.” W konsekwencji, Prezes UODO, uwzględniając wielkość organizacji Administratora mierzonej jego obrotem, zważył, ż uzasadnione jest dokonanie dostosowania do (…) % kwoty wyjściowej administracyjnej kary pieniężnej, tj. do wysokości (…) EUR (co stanowi równowartość (…),- PLN).
4. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznościami obciążającymi w niniejszej sprawie, i w związku z tym dodatkowo zwiększającymi wymiar orzeczonej niniejszą decyzją kary, są działania podjęte przez Administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679), a także stopień współpracy Administratora z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. d), e), h), i), j), k) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie więc w sprawie dodatkowych okoliczności obciążających, związanych ze stroną podmiotową naruszeń (oceną postępowania Administratora przed i po naruszeniach), za zasadne Prezes UODO uznał zwiększenie kwoty kary ustalonej na podstawie oceny powagi naruszeń (pkt 2 powyżej) oraz wielkości i siły gospodarczej Administratora (pkt 3 powyżej). Adekwatnym do wpływu tych przesłanek na ocenę naruszeń jest zdaniem Prezesa UODO jej podwyższenie do kwoty (…) zł, stanowiącej równowartość (…) EUR.
5. Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia (vide Rozdział 6 Wytycznych 04/2022). W przypadku naruszenia najpoważniejszego, to jest naruszenia przepisów art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679, prawnie określona maksymalna wysokość kary (statyczna) wynosi, jak zostało wskazane powyżej w pkt 1, 4 000 000 EUR. Wyszczególniona zatem powyżej kwota kary stanowiąca równowartość (…) EUR w oczywisty sposób nie przekracza maksymalnego zagrożenia karą przewidzianego dla najpoważniejszego ze stwierdzonych naruszeń.
6. Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości (…) EUR byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno tego konkretnego Administratora, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną zarówno w stosunku do wagi stwierdzonych naruszeń (która wprawdzie in abstracto jest większa, lecz in concreto pozostaje średnia – vide pkt 1 i 2 powyżej), jak i ze względu na swoją nadmierną – w odniesieniu do tej wagi – dolegliwość. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ administracyjny środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Mając więc na uwadze wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia wysokości kary – do kwoty 81 000 EUR (równowartość 353 589,- PLN). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego – w odniesieniu do innych organów nadzorczych oraz EROD – rozumienia, stosowania i egzekwowania rozporządzenia 2016/679, oraz zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
III. Dyrektywy skuteczności, proporcjonalności i odstraszającego charakteru zastosowanej względem Administratora sankcji (art. 83 ust. 1 rozporządzenia 2016/679).
W ocenie Prezesa UODO zastosowana względem Pana AB, prowadzącego działalność gospodarczą pod firmą X, ul. (…), administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Administrator w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w aspekcie: wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych; wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia; wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
W ocenie Prezesa UODO administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Administratora przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną, albowiem – w ocenie Prezesa UODO – wskaże zarówno temu konkretnemu Administratorowi, jak i innym administratorom danych, na naganność lekceważenia ich obowiązków związanych z: wdrożeniem odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych; wdrożeniem odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia; wdrożeniem odpowiednich środków technicznych i organizacyjnych zapewniających zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
weryfikacją podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą; z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ich ograniczenie.
Stosownie do treści art. 103 uodo, równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 5 w związku z art. 103 uodo, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Administratora – stosując średni kurs euro z dnia 29 stycznia 2024 r. (1 EUR = 4,3653 PLN) - administracyjną karę pieniężną w kwocie 353 589,- PLN (co stanowi równowartość 81 000,- EUR).
W ocenie Prezesa UODO zastosowana wobec Administratora administracyjna kara pieniężna w wysokości 353 589,- PLN (słownie: trzysta pięćdziesiąt trzy tysiące pięćset osiemdziesiąt dziewięć złotych), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej Panu AB, prowadzącemu działalność gospodarczą pod firmą X, ul. (…), administracyjnej kary pieniężnej, Prezes UODO uznał, że jest ona proporcjonalna do sytuacji finansowej Administratora i nie będzie stanowiła dla niego nadmiernego obciążenia.
Z przedstawionego przez Administratora 8 marca 2024 r. oświadczenia wynika, że „(…) przychód za rok 2023 wyniósł (…) zł”, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. (…)% ww. wartości. Jednocześnie trzeba podkreślić, że kwota nałożonej kary to zaledwie (…)% maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 5 rozporządzenia 2016/679 maksimum kary w wysokości do 20 000 000 EUR – nałożyć na Administratora za stwierdzone w niniejszej sprawie naruszenia.
Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków Administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku jego obrotów. Zdaniem Prezesa UODO, Administrator powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby ww. oświadczenie datowane na dzień 8 marca 2024 r.
Jednocześnie, Prezes UODO na podstawie art. 83 ust. 3 rozporządzenia 2016/679 zdecydował o nałożeniu jednej kary za całokształt przypisanych Administratorowi w postępowaniu o sygn. DKN.5131.1.2021 naruszeń. Dzieje się tak, ponieważ stanowiące ich egzemplifikację zdarzenia są ze sobą tak kontekstowo, przestrzennie i czasowo powiązane, że stosownie do Wytycznych nr 4/2022, należy je traktować jako jedno zachowanie administratora, prowadzące do wymierzenia jednej kary pieniężnej (pkt 28 Wytycznych). W świetle zgromadzonego w toku niniejszego postępowania materiału dowodowego, wskazać bowiem należy, że zmaterializowanie się ryzyka, w wyniku którego doszło w dniu 25 listopada 2019 r. co najmniej do utraty dostępności zasobów Administratora, było efektem nieadekwatnie zaprojektowanego przez niego systemu bezpieczeństwa przetwarzania danych osobowych oraz braku regularnego testowania ewentualnych podatności infrastruktury informatycznej. Z kolei wystosowanie do osób, których dane dotyczą, wadliwego zawiadomienia rozpatrywać należy w kontekście reakcji Administratora na fakt wystąpienia przedmiotowego naruszenia ochrony danych osobowych.
IV. Przesłanki mające wpływ na nałożenie administracyjnej kary pieniężnej względem Podmiotu przetwarzającego (art. 83 ust. 2 in fine rozporządzenia 2016/679).
Decydując o nałożeniu administracyjnej kary pieniężnej na Panią CD, Pana EF oraz Pana GH, to jest osoby będące wspólnikami Y s.c. w czasie trwania stwierdzonych w niniejszej sprawie naruszeń, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a)-k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej administracyjnej kary.
1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) rozporządzenia 2016/679).
Okolicznością przesądzającą o wymierzeniu administracyjnej kary pieniężnej w stosunku do osób będących wspólnikami Y s.c. w czasie trwania stwierdzonych w niniejszej sprawie naruszeń, stanowiło uchybienie przez Panią CD, Pana EF oraz Pana GH przepisów rozporządzenia 2016/679, nakładających na podmiot przetwarzający obowiązki w zakresie pomocy Administratorowi w utrzymaniu adekwatnych środków zabezpieczających przetwarzanie danych osobowych, tj. art. 28 ust. 3 lit. f) w związku z art. 32 ust. 1 i 2 tego rozporządzenia. Pomoc ta powinna polegać na poinformowaniu go o braku właściwych zabezpieczeń serwera wykorzystywanego przez niego w procesach przetwarzania danych osobowych, niezależnie od tego czy skutkiem tego braku było jego wykorzystanie przez sprawców ataku ransomware i – tak jak w przedmiotowej sprawie – zaistnienie naruszenia ochrony danych osobowych, czy też nie. Jak stanowi art. 28 ust. 3 lit. f) rozporządzenia 2016/679 pomoc ta powinna być udzielona administratorowi w oparciu o „dostępne mu informacje” (posiadane w tej sprawie przez Podmiot przetwarzający w związku ze świadczonymi Administratorowi usługami) oraz ze względu na „charakter przetwarzania” (chodzi o te same dane osobowe – przetwarzane w systemie d., przechowywane na serwerze Administratora oraz wykorzystywane przez niego w prowadzonej przez niego działalności gospodarczej, której charakter przybliżony został na str. 4 uzasadnienia niniejszej decyzji). Wbrew literalnemu brzmieniu przepisu art. 28 ust. 3 lit. f) rozporządzenia 2016/679 pomoc, o której w nim mowa wykracza poza stosunki obligacyjne, wynikające z zawartej w dniu 24 maja 2018 r. między Administratorem a Podmiotem przetwarzającym „(…)”, statuującej odpowiedzialność procesora za działania „(…) w zakresie prowadzenia, eksploatacji i konserwacji systemu d.w przedsiębiorstwie Administratora.” Zastosowanie znajduje tutaj szersze rozumienie pojęcia „pomocy”, a więc (za Słownikiem Języka Polskiego PWN): „działania podjętego dla dobra innej osoby”. Z kolei „pomaganie”, to (znowu za Słownikiem Języka Polskiego PWN) „dokonywanie jakiegoś wysiłku dla dobra jakiejś osoby, aby jej coś ułatwić lub poratować ją w trudnej sytuacji; też: dawanie komuś coś”. Tymczasem przejawiana przez Podmiot przetwarzający we współpracy z Administratorem indolencja, nie tylko nie ułatwiała mu rozeznania (którego jako podmiot nieprofesjonalny posiadać nie musiał) w zakresie utrzymywanych przez niego technicznych i organizacyjnych środków bezpieczeństwa dla zachodzących w jego strukturze procesów przetwarzania danych osobowych, ale przyczyniła się bezpośrednio do wystąpienia zdarzenia z 25 listopada 2019 r. Stwierdzona w niniejszej sprawie bierność ze strony Podmiotu przetwarzającego, przejawiająca się zaniechaniem na przestrzeni lat od informowania Administratora o występujących w oprogramowaniu serwera podatnościach (podczas gdy jedna z nich została z powodzeniem wykorzystana przez sprawców przestępnego działania) oraz o konieczności przeprowadzenia aktualizacji systemu operacyjnego do możliwie najnowszej wersji, bądź zastosowania innych, nowszych rozwiązań logicznych, pozostaje w bezpośrednim związku ze zmaterializowaniem się ryzyka w postaci nieuprawnionego dostępu przez nieustalonych sprawców do infrastruktury informatycznej Administratora. Konsekwencją zaś wystąpienia przedmiotowego naruszenia ochrony danych osobowych przetwarzanych na serwerach Administratora było – co najmniej - zaszyfrowanie „(…) baz[y] danych klientów, którzy chociaż jednokrotnie dokonali zakupu (…)”, a także danych dotyczących zarówno byłych, jak i obecnych pracowników Administratora „(…) w liczbie ok 200 (…)” osób. Wykazanemu Podmiotowi przetwarzającemu naruszeniu ww. przepisów rozporządzenia 2016/679 przypisać należy jednocześnie – z uwagi na objęte nim kategorie danych byłych i obecnych pracowników Administratora, tj. „(…) imię (imiona), nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, PESEL, email, seria i numer dowodu osobistego, numer telefonu” – znaczną wagę i poważny charakter. Zaistniałe bowiem 25 listopada 2019 r. naruszenie ochrony danych osobowych, do powstania którego przyczyniły się swoją – wykluczającą możliwość sprawowania względem Administratora realnego wsparcia – postawą, osoby, będące wspólnikami Y s.c. w momencie jego wystąpienia, doprowadzić może do szkód majątkowych lub niemajątkowych dla podmiotów danych, a prawdopodobieństwo ich wystąpienia wciąż pozostaje wysokie. Należy bowiem podkreślić, iż zgromadzony w niniejszej sprawie materiał dowodowy nie wykazuje przesłanek uprawdopodabniających dokonanie przez Administratora stosownych ustaleń w celu rzeczywistej identyfikacji sposobu działania złośliwego oprogramowania. W konsekwencji, w stosunku do ww. kategorii osób, których dane zostały naruszone w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany pozostaje cel działania osób nieuprawnionych. Powyższa argumentacja doznaje wzmocnienia, zważywszy na sposób działania sprawców o charakterze przestępnym, co do których z uwagi na ich modus operandi założyć należy złą wolę jako motyw działania. Osoby, których dane dotyczą, mogą więc w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie dostępności ich danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę związaną z utratą kontroli nad swoimi danymi osobowymi, która to niedogodność wynika wprost z charakteru naruszenia atrybutu dostępności tych danych, o psychicznym cierpieniu powiązanym z niepewnością co do dalszych możliwych konsekwencji tego naruszenia, np. w postaci kradzieży tożsamości, oszustwa dotyczącego tożsamości, czy wreszcie straty finansowej, nie wspominając, a jak słusznie zważył Sąd Okręgowy w Warszawie w wyroku z dnia 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata poczucia bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.
Niezależnie od powyższego, uwypuklenia domaga się również fakt długiego okresu utrzymywania się stanu naruszenia przez Podmiot przetwarzający przepisów art. 28 ust. 3 lit. f) w związku z art. 32 ust. 1 i 2 rozporządzenia 2016/679. Na podstawie dokonanych w toku niniejszego postępowania ustaleń, przyjąć należy, że scharakteryzowany powyżej stan naruszenia prawa istniał co najmniej od dnia 24 maja 2018 r., tj. od chwili podpisania przez Administratora umowy powierzenia przetwarzania danych osobowych z Podmiotem przetwarzającym, najpóźniej do dnia 10 kwietnia 2020 r., kiedy to Administrator poinformował organ o wykonaniu czynności zmierzających„(…) do wzmocnienia bezpieczeństwa przetwarzanych danych osobowych (…)”, wśród których należy wymienić, m. in.: „(…) zupełne wycofanie z użytku systemu, na którym doszło do infekcji (…); aktualizację systemów operacyjnych do najnowszych dostępnych wersji, w tym zmianę systemu operacyjnego (…) na system (…) (…)”. Podkreślić jednocześnie należy, iż uaktualnienia się ryzyka w postaci uruchomienia na serwerze Administratora obcych procesów można było uniknąć, gdyby Podmiot przetwarzający, stosownie do art. 28 ust. 3 lit. f) rozporządzenia 2016/679, należycie wywiązywał się z adresowanego wyłącznie do niego obowiązku udzielania Administratorowi „pomocy” uwzględniającej faktycznie „dostępne mu informacje”.
2. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679).
Podmiot przetwarzający, świadcząc profesjonalne usługi m.in. w zakresie obsługi systemów informatycznych oraz posiadając odpowiednią wiedzę w tym zakresie, nie zastosował się do jednego ze swoich podstawowych, wymaganych od niego na gruncie art. 28 ust. 3 lit. f) rozporządzenia 2016/679, obowiązku udzielania Administratorowi „pomocy” uwzględniającej „dostępne mu informacje”. Mimo posiadanej przez siebie wiedzy odnośnie wykorzystywanego przez Administratora w procesach przetwarzania danych osobowych nieaktualnego (i stąd podatnego na zagrożenia, które ostatecznie się zmaterializowały) oprogramowania serwera „(…)”, wspólnicy Y s.c. nie zrobili nic, w dodatku w długim horyzoncie czasowym, aby wspomnianemu stanowi rzeczy przeciwdziałać. Ich zaniechania wykluczają zatem możliwość świadczenia pomocy, rozumianej jako dawanie Administratorowi realnego wsparcia w zakresie wdrożonych przez niego technicznych i organizacyjnych środków bezpieczeństwa, co do których, jako nieprofesjonalista w dziedzinie IT, nie musiał posiadać pełnego rozeznania. Niewątpliwie od podmiotu profesjonalnego, a zwłaszcza posiadającego: „(…) wieloletnie doświadczenie we wdrożeniach systemów opartych o (…) i dostosowaniu ich do indywidualnych potrzeb klienta (…)” oraz wyróżniającego się nie tylko „(…) najbardziej doświadczony zespół wdrożeniowy w Polsce (…)”, ale również statusem „(…) (…)”, można wymagać, aby w oparciu „o dostępne mu informacje” (które musiał posiadać choćby z uwagi na fakt, iż sprawował pieczę nad systemem d. posadowionym na wspomnianym serwerze) wspomagał wiedzą ekspercką swojego partnera.
Ustalenia dokonane przez Prezesa UODO pozwalają zatem na stwierdzenie, że postawy wspólników Y s.c. nie można opisywać w kategoriach innych niż te, które odnoszą się do rażącego niedbalstwa, co biorąc pod uwagę profesjonalny charakter świadczonych przez ten podmiot usług musi stanowić okoliczność obciążającą.
3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679).
Dane osobowe przetwarzane w systemie d. nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, jednakże ich szeroki zakres obejmujący takie kategorie danych osób fizycznych jak: numer PESEL, seria i numer dowodu osobistego, imiona i nazwiska, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, adres e-mail oraz numer telefonu, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych przedmiotowym naruszeniem. Należy podkreślić, iż nieuprawnione ujawnienie takiej kategorii danych o szczególnym charakterze jak nr PESEL (czego, wobec dowodów świadczących przeciwnie, nie można w przedstawionym stanie faktycznym wykluczyć), czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, pozostający ściśle powiązany ze sferą prywatności osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, w szczególności w połączeniu – tak jak miało to miejsce w przedmiotowej sprawie – z szerszym zestawem danych osobowych, może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Nie inaczej zresztą w kwestii szczególnego charakteru informacji identyfikacyjnej, jaką jest numer ewidencyjny PESEL i łączącym się z tym postulatem szczególnej jego ochrony wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z 1 lipca 2022 r. zważył, że „w przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą”. Co istotne, podobny pogląd został wyrażony przez Naczelny Sąd Administracyjny, który w orzeczeniu zapadłym 6 grudnia 2023 r. (wyrok Naczelnego Sądu Administracyjnego z 6 grudnia 2023 r., sygn. III OSK 2931/21) zważył, iż ujawnienie „(…) danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych (…) zawsze może rodzić ryzyko negatywnych skutków dla ww. osób.”
Jak wskazano w Wytycznych EROD 04/2022, „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 RODO oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać temu czynnikowi.”
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a) – j) rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne. Również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) nie znaleziono żadnych okoliczności łagodzących, a jedynie neutralne (co zostało odnotowane poniżej w pkt 9).
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) rozporządzenia 2016/679).
W niniejszej sprawie nie można uznać przytoczonej w piśmie z 8 lipca 2022 r. przez byłych i obecnych wspólników Y s.c., Al. (…), charakterystyki przedsiębranych przez nich po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych czynności za taką, która faktycznie sprzyjałyby minimalizacji szkód o charakterze majątkowym lub niemajątkowym w dobrach osób, których dane dotyczą. Działanie polegające na „(…) odłączeni[u] serwera od sieci (…)” nie mogło wszak w żadnym stopniu przyczynić się do minimalizacji tych szkód, albowiem nieuprawniony dostęp do infrastruktury informatycznej Administratora, w wyniku którego utracona została dostępność oraz – jak zostało to wykazane i czego nie można wykluczyć – poufność przetwarzanych z jej wykorzystaniem danych osobowych, miał miejsce wcześniej niż podjęte przez Podmiot przetwarzający działanie. W konsekwencji, zastosowany przez procesora środek techniczny, w żadnym stopniu nie przyczyniając się do dekryptacji danych osobowych, a tym bardziej nie mogąc stanowić o przywróceniu atrybutu ich poufności, nie może być w ustalonych okolicznościach niniejszej sprawy postrzegany w kategoriach środka, który by eliminował prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Podobnie traktować należy przekazaną przez Podmiot przetwarzający informację o „(…) odszyfrowani[u] bazy [zawierającej dane osobowe – dod. wł.]”. Organ odmówił bowiem uznania mocy dowodowej przywoływanej przez byłych i obecnych wspólników Y s.c. okoliczności, kierując się przesłankami zarówno rodzaju użytego przez sprawców złośliwego oprogramowania, jak i mając na uwadze fakt, iż przed datą 25 listopada 2019 r. infrastruktura informatyczna Administratora nie korzystała z rozwiązań opierających się na segmentacji sieci, co w konsekwencji przedmiotowego ataku ransomware doprowadzić musiało do objęcia jego skutkami całej struktury, wraz z kopiami zapasowymi, czyniąc niemożliwym odtworzenie przetwarzanych danych osobowych inaczej niż z wykorzystaniem kodów dekryptacyjnych. Z kolei pozostałe działania naprawcze opisane przez Podmiot przetwarzający w treści wzmiankowanego pisma – zdaniem Prezesa UODO – rozpatrywać raczej należy w aspekcie technicznych i organizacyjnych środków mitygujących ryzyko ponownego wystąpienia naruszenia ochrony danych osobowych, nie zaś tych podejmowanych w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, w kontekście tego konkretnego naruszenia.
2. Stopień odpowiedzialności z uwzględnieniem wdrożonych środków technicznych i organizacyjnych (art. 83 ust. 2 lit. d) rozporządzenia 2016/679).
Jak wskazała EROD w Wytycznych 04/2022, rozpatrując ww. przesłankę „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator »zrobił wszystko, czego można by było oczekiwać«, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”. Powyższa przesłanka pozwala również na przypisanie ewentualnej odpowiedzialności oraz jej stopnia podmiotowi przetwarzającemu. W konsekwencji, ocena podmiotu przetwarzającego na gruncie ww. Wytycznych w kontekście stosowania odpowiedniego środka naprawczego może odnosić się do art. 32 rozporządzenia 2016/679 i obejmować kwestię zapewnienia odpowiedniego poziomu bezpieczeństwa. Organ nadzorczy stwierdził w niniejszej sprawie naruszenie przez Podmiot przetwarzający przepisów art. 32 ust. 1 i 2 rozporządzenia 2016/679. W ocenie Prezesa UODO ciąży na nim wysoki stopień odpowiedzialności za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które mogłyby zapobiec naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Podmiot przetwarzający nie zrobił wszystkiego, czego można by było oczekiwać, nie wywiązując się tym samym z obowiązków nałożonych na nim mocą art. 32 rozporządzenia 2016/679. W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia – nie jest zaś jedynie czynnikiem wpływającym – obciążająco lub łagodząco – na jego ocenę. Z tego też powodu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie może zostać uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na ocenę naruszenia i wymiar nałożonej na Podmiot przetwarzający administracyjnej kary pieniężnej.
3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679).
Prezes UODO nie stwierdził leżących po stronie Pani CD, Pana EF oraz Pana GH, a więc byłych i obecnych wspólników Y s.c., Al. (…), jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego podmiotu przetwarzającego jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być również okolicznością łagodzącą przy wymierzaniu sankcji.
4. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).
W toku postępowania byli i obecni wspólnicy Y s.c. nie podejmowali dodatkowych czynności w związku z wystąpieniami organu nadzorczego. Natomiast przed wszczęciem niniejszego postępowania podjęte zostały przez ww. osoby samodzielne działania ukierunkowane na usunięcie źródła naruszenia ochrony danych osobowych. Działania te – przytoczone na str. 14 i 15 uzasadnienia niniejszej decyzji – miały jednakże charakter autonomiczny, a zatem Prezes UODO nie może ich potraktować jako podjęte we współpracy z organem i nie może ocenić w związku z tym „stopnia” tej współpracy. Niezależnie od tego, działania te zostały uwzględnione powyżej i zakwalifikowane przez organ nadzorczy jako okoliczność neutralna określona w art. 83 ust. 2 lit. c) rozporządzenia 2016/679.
5. Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie przez Podmiot przetwarzający przepisów o ochronie danych osobowych w wyniku dokonanego przez Administratora zgłoszenia naruszenia ochrony danych osobowych. Administrator, dokonując zgłoszenia, realizował ciążący na nim obowiązek prawny, brak jest zatem podstaw do uznania, że fakt ten stanowi okoliczność łagodzącą. EROD w Wytycznych 04/2022 wskazuje, że „sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, może stanowić istotną okoliczność obciążającą albo łagodzącą. Przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu organ nadzorczy z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze – na przykład – skargi lub postępowania. Okoliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń (jak np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33 RODO). W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną.”
6. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i) rozporządzenia 2016/679)
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Podmiotu przetwarzającego w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym nie miał on obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie organu nadzorczego, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
7. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na moc art. 42 (art. 83 ust. 2 lit. j) rozporządzenia 2016/679).
Podmiot przetwarzający nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla procesorów, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Pani CD, Pana EF oraz Pana GH, a więc byłych i obecnych wspólników Y s.c.. Na korzyść ww. osób mogłaby być natomiast uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzania danych osobowych.
8. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięcie straty (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
Prezes UODO nie stwierdził, aby w związku z przedmiotowym naruszeniem Pani CD, Pan EF oraz Pan GH odnieśli jakiekolwiek korzyści finansowe lub uniknęli tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej w stosunku do byłych i obecnych wspólników Y s.c., Al. (…). Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Nieosiągnięcie zaś przez ww. osoby takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być dla Podmiotu przetwarzającego łagodząca. Interpretację tę potwierdza już samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.
9. Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, iż nałożenie administracyjnej kary pieniężnej na Podmiot przetwarzający jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych tym podmiotom naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, iż zastosowanie wobec tych podmiotów jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że ww. podmioty w przyszłości nie dopuszczą się podobnych, co w sprawie niniejszej zaniedbań.
V. Sposób wyliczenia kary względem Podmiotu przetwarzającego na podstawie Wytycznych 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO.
Koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej względem Podmiotu przetwarzającego, Prezes UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:
1. Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenie przepisów art. 28 ust. 3 lit. f) w związku z art. 32 ust. 1 i 2 rozporządzenia 2016/679 należy – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za mniej poważne niż naruszenia wskazane w art. 83 ust. 5 rozporządzenia 2016/679.
2. Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie jako naruszenie o niskim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszenia (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia prowadzi do wniosku, że poziom jego powagi in concreto jest niski (w skali powagi naruszeń przedstawionej w pkt 60 Wytycznych 04/2022). Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 0 do 10 % maksymalnej wysokości kary możliwej do orzeczenia wobec Podmiotu przetwarzającego. Zważywszy, że przepis art. 83 ust. 4 rozporządzenia 2016/679 zobowiązuje Prezesa UODO do przyjęcia jako maksymalnej wysokości kary za naruszenie wskazane w tym przepisie, kwoty 10 000 000 EUR lub – o ile wartość ta jest wyższa niż 10 000 000 EUR – kwoty stanowiącej 2% obrotu Podmiotu przetwarzającego z poprzedniego roku obrotowego, Prezes UODO uznał, że zastosowanie w niniejszej sprawie ma tzw. statyczna maksymalna kwota kary, tj. 10 000 000 EUR, będąca kwotą wyższą niż kwota wynikająca z zastosowania 2-procentowego wskaźnika przyłożonego do obrotu Podmiotu przetwarzającego za 2023 r. która wyniosła (…) EUR. Mając do dyspozycji przedział od 1 000 000 EUR do 2 000 000 EUR, Prezes UODO przyjął, jako adekwatną i uzasadnioną okolicznościami sprawy, kwotę wyjściową do obliczenia wysokości kary wynoszącą (…) EUR (stanowiącą (…)% statycznej maksymalnej wysokości kary).
3. Prezes UODO dostosował kwotę wyjściową odpowiadającą niskiej powadze stwierdzonego naruszenia do obrotu Podmiotu przetwarzającego jako miernika jego wielkości i siły gospodarczej (vide Rozdział 4.3 Wytycznych 04/2022). Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót jest niższy lub równy 2 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 0,2% do 0,4% kwoty wyjściowej. Zważywszy, że obrót Podmiotu przetwarzającego w roku 2023 wyniósł (…) zł, to jest (…) EUR (wg średniego kursu EUR z dnia 29 stycznia 2024 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej (…)% kwoty wyjściowej, to jest do kwoty (…) EUR (równowartość (…) zł).
4. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że pozostałe przesłanki z art. 83 ust. 2 lit. c), d), e), f), h), i), j), k) rozporządzenia 2016/679 – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na brak zaistnienia w sprawie dodatkowych okoliczności łagodzących lub obciążających, związanych ze stroną podmiotową naruszeń (oceną postępowania Podmiotu przetwarzającego przed i po naruszeniach), Prezes UODO za zasadne uznał pozostawienie kwoty kary ustalonej na podstawie oceny powagi naruszenia (pkt 2 powyżej) na niezmienionym poziomie 2 250 EUR.
5. Prezes UODO uznał, że wysokość ww. kary nie wymaga dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 będącą jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Kara pieniężna w wysokości stanowiącej równowartość 2.250 EUR będzie karą skuteczną (przez swoją dolegliwość pozwoli osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Podmiot przetwarzający, jak i innych procesorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Zasada proporcjonalności wymaga m.in., by przyjęte przez organ nadzorczy środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Kwota 9 822 zł, stanowiąca równowartość 2.250 EUR, stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie – w ocenie Prezesa UODO – wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
VI. Dyrektywy skuteczności, proporcjonalności i odstraszającego charakteru zastosowanej względem Podmiotu przetwarzającego sankcji (art. 83 ust. 1 rozporządzenia 2016/679).
W ocenie Prezesa UODO zastosowana względem Pana EF i Pana GH, wspólników Y s.c., Al. (…), oraz pani CD, byłego wspólnika Y s.c., wszystkich odpowiadających solidarnie,administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Podmiot przetwarzający w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w odniesieniu do kwestii wdrożenia odpowiednich środków technicznych i organizacyjnych, należycie mitygujących ryzyko wystąpienia naruszenia ochrony danych osobowych.
W ocenie Prezesa UODO administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Podmiot przetwarzający przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną, albowiem – w ocenie Prezesa UODO – wskaże zarówno temu konkretnemu Podmiotowi przetwarzającemu, jak i innym procesorom, na naganność lekceważenia ich powinności związanych ze świadczeniem pomocy administratorom w wywiązywaniu się przez nich z obowiązków określonych w art. 32-36 rozporządzenia 2016/679.
Stosownie do treści art. 103 uodo, równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów NBP.
Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 4 lit. a)
w związku z art. 103 uodo, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Podmiot przetwarzający – stosując średni kurs euro z dnia 29 stycznia 2024 r. (1 EUR = 4,3653 PLN) – administracyjną karę pieniężną w kwocie 9 822,- PLN (co stanowi równowartość 2250,- EUR).
W ocenie Prezesa UODO zastosowana kara pieniężna w wysokości 9 822,- PLN (słownie: dziewięć tysięcy osiemset dwadzieścia dwa złote), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej Podmiotowi przetwarzającemu administracyjnej kary pieniężnej, Prezes UODO uznał, że jest ona proporcjonalna do sytuacji finansowej Podmiotu przetwarzającego i nie będzie stanowiła dla niego nadmiernego obciążenia.
Z przedstawionej przez Podmiot przetwarzający „(…)” wynika, że przychód za rok 2023 wyniósł (…) zł, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. (…)% ww. wartości. Jednocześnie warto podkreślić, że kwota nałożonej kary 9 822,- PLN to zaledwie (…)% maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 maksimum kary w wysokości do 10 000 000 EUR – nałożyć na Podmiot przetwarzający za stwierdzone w niniejszej sprawie naruszenie.
Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków Podmiotu przetwarzającego, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku jego obrotów. Zdaniem Prezesa UODO, Podmiot przetwarzający powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby „(…)”, której treść została ujawniona Prezesowi UODO w dniu 15 marca 2024 r.
Podsumowując powyższe, w ocenie Prezesa UODO obie orzeczone w niniejszej sprawie administracyjne kary pieniężne spełniają w świetle całokształtu indywidualnych okoliczności sprawy przesłanki (funkcje kar), o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679.
Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.
Mirosław Wróblewski
2024-10-09
Wioletta Golańska
2024-10-22 14:51:03
Agnieszka Kaczor
2024-11-12 14:59:27