Decyzja
DKN.5131.11.2022
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 z późn. zm.) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 2 lit. b) w związku z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Prezydenta Miasta O., Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Prezydenta Miasta O. przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej „rozporządzeniem 2016/679”, polegające na doborze nieskutecznych zabezpieczeń systemu informatycznego oraz braku odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów i danych przetwarzanych przy ich użyciu, udziela Prezydentowi Miasta O. upomnienia.
Uzasadnienie
Prezydent Miasta O., zwany dalej również Administratorem, […] października 2021 r. dokonał zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej także „Prezesem UODO”) naruszenia ochrony danych osobowych pracowników, użytkowników, klientów obecnych i potencjalnych oraz klientów podmiotów publicznych Urzędu Miasta O., do którego doszło najprawdopodobniej w dniu […] października 2021 r. Naruszenie ochrony danych osobowych polegało na przełamaniu zabezpieczeń systemu informatycznego i zaszyfrowaniu, za pomocą oprogramowania ransomware […], trzech serwerów Urzędu Miasta O., wykorzystywanych do przetwarzania danych osobowych. W konsekwencji Administrator został pozbawiony dostępu do ww. systemu oraz znajdujących się w nim danych osobowych. Administrator określił skalę powstałego naruszenia, która wykazała, że zaszyfrowane bazy danych obejmowały około 50 000 rekordów danych osobowych w zakresie obejmującym imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczące zarobków lub/i posiadanego majątku, seria i numer dowodu osobistego, numer telefonu oraz nazwisko rodowe matki. Zgodnie ze zgłoszeniem z […] października 2021 r., Administrator nie stwierdził wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, jednakże w związku z utratą dostępności do danych osobowych wydał publiczny komunikat zawiadamiający osoby, których dane dotyczą, o naruszeniu ochrony ich danych osobowych. Sprawa została zarejestrowana pod sygnaturą […].
W związku z powyższym naruszeniem, pismami z […] października, […] listopada, […] grudnia 2021 r. oraz […] stycznia, […] lutego i […] lutego 2022 r. organ nadzorczy zwrócił się do Administratora m.in. o złożenie dodatkowych wyjaśnień, dotyczących ww. zdarzenia:
1) Czy w związku ze zgłoszonym naruszeniem ochrony danych osobowych administrator przeprowadził wewnętrzne postępowanie wyjaśniające, które umożliwiło ustalenie, w jaki sposób doszło do zaszyfrowania danych przez złośliwe oprogramowanie; jakie były okoliczności, źródło oraz przyczyny powstania naruszenia; czy do zaszyfrowania danych doszło poprzez przełamanie zabezpieczeń, czy wskutek błędu ludzkiego (poprzez np. phishing).
2) Jak długo utrzymywało się ograniczenie dostępności do systemów informatycznych objętych naruszeniem, po jakim czasie przywrócono ich sprawność oraz czy udało się odzyskać wszystkie dane zaszyfrowane na skutek działania złośliwego oprogramowania; jakie działania zostały podjęte przez administratora w tym celu, a także wyjaśnienie, w związku z informacją podaną w zgłoszeniu naruszenia ochrony danych osobowych, że „Macierz dysku do kopii zapasowych uległa uszkodzeniu w ostatnich tygodniach i prowadzone są prace mające na celu przywrócenie jej sprawności”, jaki wpływ na czas i skuteczność odtworzenia danych z kopii zapasowych miały ww. problemy oraz wskazanie, w jaki sposób „Informatyk sprawuje nadzór nad poprawnością wykonania kopii zapasowych NAS oraz na dysku przenośnym”.
3) Czy administrator zweryfikował, czy dane osobowe znajdujące się w systemach informatycznych objętych naruszaniem zostały wykradzione, odczytane lub zmodyfikowane przez osoby trzecie w wyniku nieuprawnionego działania.
4) Czy administrator określił skalę powstałego naruszenia ochrony danych, w zakresie liczby stanowisk komputerowych oraz serwerów, które zostały zaszyfrowane na skutek działania złośliwego oprogramowania.
5) Czy, a jeśli tak, to w jaki sposób administrator dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia.
6) Jakie środki techniczne oraz organizacyjne administrator zastosował w celu zminimalizowania ryzyka ponownego wystąpienia tego typu naruszeń w przyszłości; w szczególności wykazanie różnic zastosowanych zabezpieczeń infrastruktury sieciowej przed oraz po wystąpieniu naruszenia ochrony danych osobowych.
7) Jakie było zainstalowane oprogramowanie serwera przed naruszeniem ochrony danych osobowych, w tym przekazanie informacji dlaczego na serwerach zainstalowane było oprogramowanie nieposiadające wsparcia producenta, tj.: […] i […] oraz pozbawione głównego wsparcia producenta, tj. […].
8) Czy przeprowadzona została analiza ryzyka, wraz z przedstawieniem analizy wykonanej przed naruszeniem ochrony danych osobowych oraz analizy wykonanej po incydencie, a także metodologii przeprowadzania analizy ryzyka.
9) Czy opracowana została procedura wykonywania kopii zapasowych w Urzędzie Miasta O..
10) Czy przeprowadzano szkolenia pracowników Urzędu Miasta O. z zakresu cyberbezpieczeństwa oraz wykorzystywania narzędzi socjotechnicznych (phishingu).
11) Czy kopie zapasowe uległy również zaszyfrowaniu oprogramowaniem ransomware.
W odpowiedzi Administrator pismami z […] listopada i […] grudnia 2021 r. oraz […] stycznia, […] lutego, […] lutego i […] lutego 2022 r. poinformował, że:
1) Przeprowadzono wewnętrzne postępowanie wyjaśniające, które nie wykazało przełamania zabezpieczeń antywirusowych, zapory firewall, czy też wykorzystujących znane podatności CVE w routerze brzegowym. Dodatkowo zlecono zewnętrzny audyt incydentu niezależnemu podmiotowi, który wskazał z dużym prawdopodobieństwem źródło ataku, jakim było urządzenie elektroniczne służące do wydawania kluczy (e-dozorca). Urządzenie miało wbudowany system operacyjny […] (bez aktualizacji) i było podłączone do sieci informatycznej. Urządzenie zostało również zaszyfrowane.
2) Ograniczenie dostępności do danych trwało od […] października 2021 r. do […] listopada 2021 r. Udało się przywrócić wszystkie dane zaszyfrowane z kopii zapasowych systemu oraz dokumentacji papierowej.
3) Zgodnie ze specyfikacją ransomware […]. należy przyjąć, że atakujący uzyskali możliwość skopiowania danych na swoje serwery w celu próby ich zdekompilowania w odpowiednich dla baz danych specyfikacjach, co nie jest tożsame z możliwością ich bezproblemowego odczytania lub zmodyfikowania.
4) Zaszyfrowaniu uległy trzy serwery bazodanowe z usługą serwera plików oraz moduł sterujący mechanizmem systemu e-dozorca.
5) W Urzędzie Miasta O. sposób przetwarzania danych osobowych, w tym pracy na systemach bazodanowych, odbywa się wewnętrznie. Żadne dane nie są udostępniane na zewnątrz oraz Urząd nie wystawia swoich usług dostawcom/partnerom na zewnątrz. Nad procesami aktualizacji systemów antywirusowych, firewall oraz wykonywaniem kopii zapasowej na bieżąco sprawuje nadzór dział IT. Stałe regularne stosowanie testów bezpieczeństwa systemów przez wewnętrzny dział IT do momentu wystąpienia incydentu było niemożliwe z powodu braków kadrowych oraz restrukturyzacji działu IT.
6) Środki techniczne i organizacyjne stosowane przed naruszeniem: elektroniczny system wydawania kluczy (e-dozorca), system pozwalający na pełną kontrolę nad kluczami w Urzędzie; komputery zabezpieczone hasłem (komputery w Urzędzie zabezpieczone hasłem dostępu w ramach mechanizmu autoryzującego [...], wprowadzenie hasła wymagane jest w sposób automatyczny po dłuższej nieaktywności sprzętowej); system antywirusowy. Każdy komputer zabezpieczony programem antywirusowym […], system kopii zapasowej stacji roboczych i serwerów (wykonywana jest codzienna kopia zapasowa na dysk sieciowy NAS).
7) Środki techniczne i organizacyjne dodatkowo zastosowane po incydencie: dedykowany VLAN dla mniej bezpiecznych systemów, odseparowana strefa LAN bez dostępu do głównej sieci oraz Internetu, dedykowane, odrębne udziały sieciowe na dysku NAS dla serwerów (kopia każdego serwera wysyłana na odrębny zasób z unikatową autoryzacją), wymuszona zmiana wszystkich haseł w ramach polityki haseł - zmieniono hasła do wszystkich kont, w tym do kont administracyjnych.
8) Na serwerach zainstalowane było oprogramowanie […], […], […] oraz […].
9) Kopie zapasowe serwera (z zawartością plików i baz danych) tworzone są w sposób zautomatyzowany w oparciu o wykorzystanie programowej funkcji serwera, kopie bezpieczeństwa sporządzane są także dla dokumentacji gromadzonej na dyskach stacji roboczych użytkowników w wybranym katalogu (np. w katalogu C:/Dokumenty), kopie przyrostowe tworzy się codziennie o g. 18.00, a kopie całościowe sporządzane są raz w miesiącu. Przechowywanych jest 12 kopii miesięcznych przez okres roku (najstarsze kopie są nadpisywane w cyklu rotacyjnym). Kopie sporządzane są na wydzielonym serwerze NAS. Co miesiąc sporządzana jest kopia serwera NAS na dysk przenośny, który przechowywany jest w sejfie w pomieszczeniu szefa działu informatyki. Informatyk sprawuje nadzór nad poprawnością wykonania kopii zapasowych NAS oraz na dysku przenośnym. Niszczenie dysków z kopiami odbywa się komisyjnie, a nośniki niszczone są przez fizyczne zniszczenie, pocięcie po wymontowaniu z obudowy.
10) Szkolenie z zakresu cyberbezpieczeństwa dla pracowników Urzędu Miasta O. zostało przeprowadzone w dniach […] listopada 2021 r.
11) Macierz składała się z pięciu dysków w trybie Synology, gdzie logicznemu uszkodzeniu uległy 2 dyski bez wpływu na wykonywanie kopii zapasowej. Jednakże podczas odzyskiwania macierz musiała zostać w pełni naprawiona mechanizmami producenta (wymiana dwóch problematycznych dysków), co ze względu na pojemność całkowitą 7TB trwało niespełna 5 dni. Cała operacja nie miała wpływu na odtworzenie danych z kopii zapasowych, które zostały przywrócone poprawnie.
12) Testowanie kopii zapasowej odbywa się w ramach zakresu obowiązków służbowych informatyka, przy pomocy wbudowanego mechanizmu wykonywania kopii zapasowych […]. Poprawność wykonywania kopii zapasowych polega na pełnym rozpakowaniu kopii zapasowej z dysku przenośnego/NAS-a raz na pół roku. Ze względu na incydent utracono jednakże wszelkie logi, które poświadczają poprawność wykonania tychże operacji.
13) […] był systemem operacyjnym dla niezależnego urządzenia wydającego klucze (e-dozorca). W przypadku systemów serwerowych […], w 2021 roku Urząd uzyskał środki na zakup nowych serwerów i licencji, jednakże ze względu na braki kadrowe dopiero od września rozpoczął się proces migracji całego środowiska IT Urzędu do bieżącej wersji 2019/2021 […] wraz z wirtualizacją oraz bazami SQL.
14) Kopie zapasowe wykonywane są na niezmapowane udziały NAS przy użyciu unikatowych poświadczeń, dlatego kopie nie zostały zaszyfrowane.
15) W związku ze zwiększeniem poziomu ryzyka dla zagrożenia „Nieuprawniony dostęp do danych podczas przechowywania” w przeprowadzonej analizie ryzyka stanowiącej załącznik nr 3 do pisma z dnia […] listopada 2021 r. Administrator wskazał, jakie dodatkowe środki bezpieczeństwa zostały wdrożone w celu jego obniżenia, tj.: zmiana procedury wykonywania, mierzenia i testowania kopii zapasowej, podniesione wersje serwerowych systemów operacyjnych do wersji 2019/2021, podniesiono poziom funkcjonalności [...] 2019/2021, wyłączenie i wycofanie z użytku systemu e-dozorca, wdrożenie i przetestowanie dodatkowej macierzy replikującej kopie zapasowe (z macierzy NAS) - druga macierz znajduje się w innej lokalizacji. Ponadto, komunikacja między urządzeniami odbywa się w wyodrębnionej, zamkniętej podsieci (VLAN) bez jakiegokolwiek dostępu z sieci wewnętrznej, jak i zewnętrznej.
W załączeniu do pisma z dnia […] listopada 2021 r. Administrator przekazał analizę ryzyka wykonaną przed naruszeniem ochrony danych osobowych (z dnia […] lutego 2021 r.) oraz analizę ryzyka przeprowadzoną po naruszeniu ochrony danych osobowych (z dnia […] października 2021 r.).
W związku ze zgłoszonym naruszeniem ochrony danych osobowych oraz wyjaśnieniami złożonymi przez Administratora ww. pismami, Prezes Urzędu Ochrony Danych Osobowych w dniu […] marca 2022 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Prezydenta Miasta O., jako administratora danych, obowiązków wynikających z przepisów rozporządzenia 2016/679, tj. art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych zgłoszonym przez Prezydenta Miasta O. (sygn. pisma […]).
Po wszczęciu postępowania administracyjnego, pismami z dnia […] marca 2022 r. oraz […] i […] maja 2022 r. organ nadzorczy zwrócił się do Administratora o złożenie dodatkowych wyjaśnień, w tym:
1) Czy Administrator obecnie dokonuje regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających wpływ na bezpieczeństwo przetwarzanych danych osobowych.
2) Czy Administrator ustalił, jak długo trwał atak oprogramowaniem […] oraz czy jest w posiadaniu informacji, czy w trakcie trwania ataku zostało użyte narzędzie o nazwie […], stanowiące część składową ww. oprogramowania, powodujące przesłanie plików do innej lokalizacji, co skutkowałoby utratą poufności danych osobowych.
3) Czy Administrator zwracał się do operatora świadczącego usługi dostępu do Internetu, czy nastąpiło nieuzasadnione pobieranie danych z Urzędu Miejskiego w O. bezpośrednio przed atakiem lub w trakcie jego trwania (np. czy wielkość transferu danych nie odbiegała od standardowego).
4) Czy Administrator przed wystąpieniem naruszenia ochrony danych osobowych posiadał wykupioną usługę rozszerzonego wsparcia […] (obowiązującą do dnia […] października 2023 r.).
W odpowiedzi Administrator pismami z dnia […] marca 2022 r., […] maja 2022 r. oraz […] czerwca 2022 r. poinformował, że:
1) Obecnie dokonuje regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających wpływ na bezpieczeństwo przetwarzanych przez Prezydenta Miasta O. danych osobowych.
2) Ransomware […] usunął logi z systemu, wobec czego nie można było ocenić, kiedy atakujący uzyskali dostęp do systemów Urzędu Miasta O. Wskazał również, że moduł […] nie powoduje automatycznego, samoistnego przesyłania danych do zewnętrznej lokalizacji, jednakże daje możliwość przetransferowania danych w zaszyfrowanej postaci przez protokół http. Po zakończeniu działania moduł ten usuwa ślady funkcjonowania. W ocenie administratora mechanizm ten nie zadziałał poprawnie ze względu na parametry zainfekowanego hosta zarówno sprzętowe, jak również związane z oprogramowaniem.
3) Wielkość transferu danych zarówno przed incydentem, jak również w jego trakcie, nie odbiegała od standardowego.
4) Nie posiadał wykupionej usługi rozszerzonego wsparcia […].
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) - zwanej dalej: ustawą z dnia 10 maja 2018 r., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia; prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, stanowią dalsze przepisy tego aktu prawnego. Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Wskazane przepisy uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.
Biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez Prezydenta Miasta O., w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, a także działań zmierzających do optymalnej konfiguracji wykorzystywanych systemów operacyjnych przez regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych w postaci testów bezpieczeństwa w zakresie infrastruktury informatycznej oraz aplikacji. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa.
Jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679 jest obowiązek zapewnienia bezpieczeństwa przetwarzanych danych określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 3 września 2020 r., sygn. II SA/Wa 2559/19, „Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.
Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.”
W stanie faktycznym przedmiotowej sprawy, ryzyko dotyczyło zagrożenia polegającego na zaszyfrowaniu danych przez złośliwe oprogramowanie szyfrujące ransomware. Jedną z metod, aby zapobiec takim atakom, jest skuteczne zarządzanie możliwymi podatnościami oraz bieżące analizowanie i wykrywanie słabych punktów w infrastrukturze teleinformatycznej. Podstawą bezpieczeństwa jest w szczególności używanie aktualnego oprogramowania dla wszystkich elementów infrastruktury teleinformatycznej.
W przedstawionej przez Administratora analizie ryzyka przeprowadzonej przed wystąpieniem naruszenia ochrony danych osobowych (w dniu […] lutego 2021 r.) uwzględnione zostało zagrożenie w postaci nieuprawnionego dostępu do danych podczas przechowywania, opisane m.in. jako „Niezabezpieczony dostęp do baz danych lub do katalogów z plikami lub do chmury przez internet (przed hackerami i szkodliwym oprogramowaniem)”. Dla ww. zagrożenia określone zostało prawdopodobieństwo jego wystąpienia oraz skutek. Poziom ryzyka określony został jako iloczyn prawdopodobieństwa i skutków wystąpienia danego zagrożenia. Ponadto, Administrator wskazał zabezpieczenia, które miały zidentyfikowane zagrożenie zminimalizować, poprzez odwołanie się przede wszystkim do obowiązujących w jego organizacji instrukcji i procedur, np. procedury nadawania uprawnień do przetwarzania danych osobowych oraz procedury zabezpieczania systemu informatycznego. Jedna z tych procedur, zawarta w „Instrukcji zarządzania – […] w Urzędzie Miasta O.”, w części „Ochrona przed nieautoryzowanym dostępem do sieci lokalnej”, z celem stosowania zabezpieczeń opisanym jako zabezpieczenie systemów informatycznych przed nieautoryzowanym dostępem do sieci lokalnej np. przez programy szpiegujące i hakerów, wskazuje, że „Dokonuje się aktualizacji oprogramowania systemów i aplikacji (systemy operacyjne na stacjach roboczych / systemy operacyjne serwerów / przeglądarki www / Adobe / Flash / Java / inne). Aktualizacja dokonywana jest zgodnie z zaleceniami producentów oraz opinią rynkową co do bezpieczeństwa i stabilności nowych wersji (np. aktualizacje, service pack-i, łatki)”. W ramach wskazanego katalogu zabezpieczeń Administrator nie przewidział jednak zastępowania systemów operacyjnych ani innych systemów wykorzystywanych do przetwarzania danych osobowych, które utraciły już wsparcia ich producenta, systemami, które takie wsparcie posiadają. Obowiązek zapewnienia korzystania z systemów mających wsparcie producenta nie wynika także z instrukcji i procedur, które Administrator wymienił jako środki mające zabezpieczać przetwarzane dane osobowe przed ww. zagrożeniem. Co więcej, w samej analizie ryzyka Administrator nie przewidział zagrożenia polegającego na używaniu przy przetwarzaniu danych osobowych nieposiadających wsparcia producenta systemów informatycznych. Tymczasem z dokonanych ustaleń wynika, że to właśnie poprzez nieposiadający wsparcia producenta system operacyjny urządzenia służącego do wydawania kluczy (e-dozorca), tj.[…], nastąpiło przełamanie zabezpieczeń przez złośliwe oprogramowanie.
W szczególności, jak wskazano w raporcie z „Audytu incydentu ransomwere”, sporządzonego w dniu [...] listopada 2021 r., „zaszyfrowaniu uległ również elektroniczny dozorca kluczy (…). Była to pojedyncza stacja z wbudowanym komputerem opartym o […](bez jakichkolwiek aktualizacji) bez systemu antywirusowego oraz ochrony. Oficjalnie znane podatności i możliwości przejęcia kontroli systemu […] stawiają twarde podstawy do przypuszczenia, że jest to prawdopodobne wyjaśnienie całego incydentu”. Dalej w ww. raporcie podkreślono, że „Z tego miejsca przeprowadzono atak na kontroler domeny, który posiadał poziom funkcjonalności […]. To kolejny system dawno już niewspierany i posiadający wiele podatności (…)”. W raporcie wskazano też na błędy, które przyczyniły się do wystąpienia naruszenia, tj.: na „podpięciu e-dozorcy do głównego vlanu sieci LAN Urzędu Miasta O. (…)” oraz „przy zakupie rozwiązania e-dozorcy nie sprawdzono specyfikacji produktu (można było wymusić na producencie aktualizację systemu operacyjnego oraz instalację systemu antywirusowego)”.
W związku z powyższym wskazać należy, że stosowanie przez Prezydenta Miasta O. oprogramowania nieposiadającego wsparcia producenta, tj.[…], przyczyniło się do zmaterializowania się ryzyka wystąpienia naruszenia ochrony danych osobowych, w wyniku którego nastąpiło przełamanie zabezpieczeń systemu e-dozorca, wykorzystywanego przez Administratora do wydawania kluczy, a następnie zaszyfrowanie przetwarzanych w nim danych z wykorzystaniem złośliwego oprogramowania. Jak wcześniej wskazano, urządzenie to miało wbudowany system operacyjny […] (bez aktualizacji). Co więcej, jak wynika z wyjaśnień Administratora, urządzenie to zostało podłączone do sieci informatycznej, co spowodowało, iż zaatakowane zostały inne urządzenia, w efekcie czego nastąpiła utrata dostępności przetwarzanych przez Prezydenta Miasta O. danych osobowych. Wskazać należy, że ww. system utracił podstawowe wsparcie producenta w dniu […] stycznia 2011 r., natomiast świadczenie usługi wsparcia rozszerzonego dobiegło końca w dniu […] stycznia 2016 r.
W toku postępowania ustalono jednak, że system […] nie był jedynym systemem informatycznym używanym przez Administratora, który nie posiadał wsparcia jego producenta. Kolejnym oprogramowaniem stosowanym w Urzędzie Miasta O. bez takiego wsparcia był system operacyjny […]. Wskazać należy, że ww. system stracił wsparcie producenta w dniu […] stycznia 2020 r. ([…]). Oznacza to, że od dnia […] stycznia 2016 r. (w przypadku systemu […]) i od dnia […] stycznia 2020 r. (w przypadku systemu […]), zgodnie z informacjami podanymi przez producenta oprogramowania, dla tych systemów nie były wydawane aktualizacje oprogramowania oraz aktualizacje zabezpieczeń i poprawek.
Oprócz ww. systemów, przed wystąpieniem naruszenia ochrony danych osobowych Administrator wykorzystywał system […]. W tym miejscu trzeba zauważyć, że […] posiadał wsparcie producenta ([…]) do […] października 2018 r., z możliwością wykupienia rozszerzonego wsparcia do dnia […] października 2023 r. (…) - link do strony […]. Rozszerzona aktualizacja zabezpieczeń (ESU) jest opcją dla klientów, którzy muszą uruchamiać – tak jak Prezydent Miasta O. – niektóre starsze produkty firmy […] po zakończeniu pomocy technicznej. Jej cechą charakterystyczną jest to, że zawiera ona krytyczne lub ważne aktualizacje zabezpieczeń przez maksymalnie trzy lata od daty zakończenia wspierania produktu. Jednakże usługa rozszerzonego wsparcia dla […] nie została wykupiona przez Administratora.
Zgodnie więc z informacjami podanymi przez producenta oprogramowania, dla używanych w Urzędzie Miasta w O. ww. systemów nie były wydawane aktualizacje oprogramowania oraz aktualizacje zabezpieczeń i poprawek, co prowadzi do konkluzji, iż wobec braku zastosowania przez Administratora innych środków technicznych lub organizacyjnych służących mitygacji ryzyka wystąpienia naruszenia ochrony danych osobowych w związku z dalszym używaniem tych systemów - nie zapewnił on odpowiedniego poziomu bezpieczeństwa procesom przetwarzania danych osobowych realizowanych przy ich użyciu. Należy zatem podkreślić raz jeszcze, że niestosowanie przez Administratora przy przetwarzaniu danych osobowych oprogramowania posiadającego wsparcie producenta oraz nieuwzględnienie w przeprowadzonej analizie ryzyka zagrożeń z tym związanych (czego efektem powinno być wdrożenie dodatkowych środków bezpieczeństwa), przesądza w konsekwencji o niewdrożeniu przez Prezydenta Miasta O. odpowiednich środków technicznych i organizacyjnych w czasie przetwarzania danych osobowych, aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia 2016/679 i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, do czego Administrator zgodnie z art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679 był zobligowany, jak również o niezastosowaniu środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku poprzez zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, do czego z kolei zobowiązuje Administratora art. 32 ust. 1 lit. b) rozporządzenia 2016/679, oraz o niedokonaniu oceny, czy stopień bezpieczeństwa jest odpowiedni, przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych, obowiązek dokonania której wynika z art. 32 ust. 2 rozporządzenia 2016/679. Powyższe stwierdzenie znajduje swoje umocowanie również w poglądach judykatury. Jak bowiem wskazał WSA w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 „czynności o charakterze techniczno - organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych.”
Jak wskazano powyżej, jednym z istotnych elementów mających wpływ na bezpieczeństwo danych osobowych jest zapewnienie, aby wykorzystywane do przetwarzania danych osobowych oprogramowanie posiadało najnowszą wersję udostępnioną przez jego producenta. Instalacja najnowszych aktualizacji powinna odbywać się na bieżąco, z chwilą ich pojawienia się. Dzięki temu Administrator zapewnia, że takie oprogramowanie posiada wszystkie wydane przez producenta aktualizacje, w tym aktualizacje dotyczące zabezpieczeń i poprawek mających wpływ na bezpieczeństwo. Działania w tym zakresie Administrator podjął jednak dopiero po wystąpieniu naruszenia ochrony danych osobowych. Wówczas to Administrator zdecydował o wyłączeniu i wycofaniu z użytku urządzenia wydającego klucze (systemu e-dozorca), na którym zainstalowany był system […], a także o podniesieniu wersji serwerowych systemów operacyjnych do wersji […] oraz podniesieniu poziomu funkcjonalności [...] 2019/2021. Podjęcie tych działań wcześniej, w szczególności z chwilą kiedy dotychczas używane systemy utraciły wsparcie producenta, w sposób istotny ograniczyłoby ryzyko wystąpienia naruszenia. Ponadto, w celu zminimalizowania ryzyka ponownego wystąpienia tego typu naruszeń w przyszłości, Administrator wskazał, że zastosował m.in. „dedykowany VLAN dla mniej bezpiecznych systemów, odseparowana strefa LAN bez dostępu do głównej sieci oraz Internetu, dedykowane, odrębne udziały sieciowe na dysku NAS dla serwerów, kopia każdego serwera wysyłana na odrębny zasób z unikatową autoryzacją, wymuszona wszystkich haseł w ramach polityki haseł, zmieniono hasła do wszystkich kont w tym do kont administracyjnych”.
Ponadto, Prezydent Miasta O. nie był w stanie wykazać prawidłowej realizacji obowiązku związanego z wykonywaniem, mierzeniem i testowaniem kopii zapasowej danych, wskazując m.in. „że ze względu na incydent utracono wszelkie logi, które poświadczają poprawność wykonania kopii zapasowych”, w tym przedstawić pisemnych dowodów na podejmowanie działań w tym zakresie w latach 2020-2021, powołując się na zmiany personalne w Wydziale Informatyki we wrześniu 2021 r. Administrator co prawda miał opracowaną procedurę tworzenia kopii zapasowych, w ramach której przewidział m.in., że informatyk sprawuje nadzór nad poprawnością wykonania kopii zapasowych NAS oraz na dysku przenośnym, ale z uwagi na ww. okoliczności nie można ocenić jej skuteczności. Na konieczność dokonania zmian w ich sporządzaniu wskazał również raport z „Audytu incydentu ransomwere”, sporządzony w dniu […] listopada 2021 r., „Należałoby jednak usprawnić sam proces kopii zapasowej (…) po to by wyselekcjonować i wyodrębnić systemy i usługi ujęte w kopii zapasowej niezależnie od siebie. Cała infrastruktura mogłaby zostać szybciej przywrócona do sprawności.”
Należy zatem przyjąć, że przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych obowiązujące u Administratora zasady tworzenia kopii zapasowych nie zapewniały realizacji obowiązków wynikających z art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679, tj. zdolności do ciągłego zapewnienia dostępności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Przede wszystkim, jak ustalono, dane zostały odtworzone po upływie blisko miesiąca od wystąpienia naruszenia ochrony danych osobowych z kopii zapasowej i dokumentów w wersji papierowej (odtwarzanie danych trwało od dnia […] października 2021 r. do […] listopada 2021 r.). Nie ulega wątpliwości, że odtwarzanie danych przez okres prawie jednego miesiąca oraz konieczność wykorzystania w tym celu danych przetwarzanych w postaci tradycyjnej (papierowej) nie może zostać uznane za prawidłową realizację obowiązku wynikającego z ww. przepisów rozporządzenia 2016/679. Ponadto, brak możliwości szybkiego i skutecznego odtworzenia danych z posiadanych kopii zapasowych powinien zostać uwzględniony przez Administratora w przeprowadzonej analizie ryzyka. W analizie ryzyka z dnia […] lutego 2021 r., a więc sporządzonej przed wystąpieniem naruszenia ochrony danych osobowych, Administrator wprawdzie przewidział zagrożenie w postaci „przypadkowe lub niezgodne z prawem utracenie” z opisem „Atak kryptowirusa (szyfrujący pliki) na kopie bezpieczeństwa” oraz „Brak kopii bezpieczeństwa lub kopie niemożliwe do odtworzenia”, a także określił środek zabezpieczający, tj. procedurę tworzenia kopii zapasowych, jednakże w praktyce procedura ta okazała się nieskuteczna, gdyż odtworzenie danych zaszyfrowanych w wyniku ataku złośliwego oprogramowania, co należy ponownie podkreślić, trwało blisko miesiąc i wymagało wykorzystania danych z dokumentów papierowych. Dopiero po naruszeniu Administrator dokonał aktualizacji procedur związanych z tworzeniem, testowaniem i odtwarzaniem kopii zapasowych, która ma zapewnić w szczególności pełną rozliczalność działań w tym zakresie.
Z analizy zaistniałego naruszenia oraz materiału dowodowego zgromadzonego w toku postępowania administracyjnego wynika, że „stałe regularne stosowanie testów bezpieczeństwa systemów przez wewnętrzny dział IT do momentu wystąpienia incydentu był niemożliwy z powodu braków kadrowych oraz restrukturyzacji działu IT”. Powyższe ustalenia w sposób jednoznaczny wskazują na niewykonywanie przez Administratora przed wystąpieniem naruszenia ochrony danych osobowych obowiązków określonych w art. 32 ust. 1 lit. d) rozporządzenia 2016/679. W związku z powyższym administrator nie był w stanie wykazać, ani stwierdzić, czy zastosowane środki bezpieczeństwa posiadają znamiona wystarczalności.
Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora wynikającym z art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Natomiast w przedmiotowym stanie faktycznym uznać należy, że Administrator nie wywiązywał się z nałożonego na niego obowiązku dotyczącego testowania mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.
Podnieść również należy, że wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych.
Działania w tym zakresie Administrator podjął dopiero po naruszeniu ochrony danych osobowych, przedstawiając dowody w postaci przykładowych protokołów z przeprowadzonych testów infrastruktury teleinformatycznej.
W związku z powyższym podkreślić należy, że funkcjonowanie jakiejkolwiek organizacji, zwłaszcza w sferze ochrony danych osobowych, nie może opierać się na nierzetelnych bądź nierealnych podstawach, zaś lekceważenie wartości podstawowych informacji skutkować może, jak wskazano wyżej, fałszywym poczuciem bezpieczeństwa oraz nie podjęciem przez administratora danych działań, do których jest zobligowany, co z kolei skutkować może, jak w przedmiotowym przypadku, naruszeniem ochrony danych osobowych, powodującym ze względu na zakres danych osobowych podlegających naruszeniu oraz brak dostępu do danych osobowych przez okres około miesiąca, wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Nierzetelnie przeprowadzona analiza ryzyka skutkująca doborem nieskutecznych środków bezpieczeństwa oraz brak regularnego testowania, mierzenia i oceniania przez Administratora skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania doprowadził, co należy ponownie podkreślić, nie tylko do naruszenia ochrony danych osobowych, ale też przesądza o naruszeniu przez Prezydenta Miasta O. obowiązków spoczywających na administratorze danych, wynikających z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 oraz art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji również zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Efektem zaś naruszenia zasady poufności jest naruszenie art. 5 ust. 2 rozporządzenia 2016/679. Jak bowiem wskazał WSA w Warszawie w wyroku z dnia 10 lutego 2021 r., sygn. II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności interpretuje WSA w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.
Działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Prezydentowi Miasta O. upomnienia w zakresie stwierdzonego naruszenia przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679.
Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne - oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Określenie charakteru naruszenia polega na ustaleniu, który przepis rozporządzenia 2016/679 został naruszony i zakwalifikowaniu naruszenia do właściwej kategorii naruszonych przepisów, tj. wskazanych w art. 83 ust. 4 rozporządzenia 2016/679 lub/oraz w art. 83 ust. 5 i 6 rozporządzenia 2016/679. Na ocenę wagi naruszenia (np. niską, średnią lub znaczną), wskazywać będą charakter naruszenia, jak również „zakres, cel danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody”. Z celem przetwarzania danych osobowych wiąże się określenie, w jakim stopniu przetwarzanie spełnia dwa kluczowe elementy zasady „ograniczonego celu”, tj. określenie celu i zgodnego zastosowania przez administratora/podmiot przetwarzający. Przy wyborze środka naprawczego organ nadzorczy uwzględnia, czy szkoda została lub może zostać poniesiona z powodu naruszenia rozporządzenia 2016/679, chociaż sam organ nadzorczy nie jest właściwy do przyznania szczególnego odszkodowania za poniesioną szkodę. Zakreślając czas trwania naruszenia można stwierdzić, że zostało ono niezwłocznie usunięte, trwało krótko lub długo, co w konsekwencji pozwala na ocenę np. celowości czy też skuteczności działań administratora lub podmiotu przetwarzającego. Grupa Robocza Art. 29 w wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679 przyjętych 3 października 2017 r. odnosząc się do umyślnego lub nieumyślnego charakteru naruszenia wskazała, że zasadniczo „umyślność” obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego, podczas gdy „nieumyślność” oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora / podmiot przetwarzający obowiązku staranności wymaganego prawem. Umyślne naruszenia są poważniejsze niż te nieumyślne, a w konsekwencji częściej wiążą się z nałożeniem administracyjnej kary pieniężnej.
Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie Administratorowi upomnienia. Za okoliczność łagodzącą, która za tym przemawia, Prezes UODO uznał, że Prezydent O. podjął szereg działań naprawczych w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia (zmiana procedur, przeprowadzenie ponownej analizy ryzyka). Ponadto, Administrator zgłosił do Prezesa UODO naruszenie ochrony danych osobowych. Na podstawie okoliczności wskazanej sprawy brak jest również podstaw do uznania, że osoby, których dane dotyczą, poniosły jakąkolwiek szkodę na skutek tego naruszenia.
Naruszenie dotyczy więc jednorazowego zdarzenia, a zatem nie mamy do czynienia z systematycznym działaniem lub zaniechaniem, które stanowiłoby poważne zagrożenie dla praw osób, których dane osobowe są przetwarzane przez Prezydenta. Powyższe okoliczności uzasadniają udzielenie Administratorowi upomnienia za stwierdzone naruszenie, co zapewni także, aby w przyszłości podobne zdarzenia nie miały miejsca. Niemniej jednak, gdyby podobne zdarzenie powtórzyło się w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Prezydenta Miasta O. będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.