Decyzja
DKN.5131.14.2021
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735, ze zm.) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 2 lit. b) i d) w związku z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Panią W. S., prowadzącą działalność gospodarczą pod firmą W. S. (K.), Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Panią W. S., prowadzącą działalność gospodarczą pod firmą W. S. (K.) przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej „rozporządzeniem 2016/679”, polegające na doborze nieskutecznych zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych oraz braku odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, a także na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
1. Udziela Pani W. S., prowadzącej działalność gospodarczą pod firmą W. S. (K.) upomnienia.
2. Nakazuje Pani W. S., prowadzącej działalność gospodarczą pod firmą W. S. (K.) dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez:
a) przeprowadzenie analizy ryzyka w celu oszacowania właściwego poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,
b) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
Uzasadnienie
W lipcu 2020 r. do Urzędu Ochrony Danych Osobowych wpłynęła informacja o incydencie, który dotyczył strony internetowej ([…]) sklepu Pani W. S., prowadzącej działalność gospodarczą pod firmą W. S. (K.), zwanej dalej również Administratorem. W związku z powyższym, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także ,,Prezesem UODO”), zwrócił się pismami z dni: […] sierpnia 2020 r., […] października 2020 r. oraz […] listopada 2020 r. do Administratora o złożenie wyjaśnień w przedmiotowej sprawie. Dopiero pismem z dnia […] grudnia 2020 r. (data nadania przesyłki: (…) grudnia 2021 r.) Administrator udzielił odpowiedzi na ww. wezwania i dokonał zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych klientów, ,,którzy dokonali zamówienia w sklepie w dacie […]12.2019 do […] 04.2020”, pomimo iż, jak sam stwierdził, informację o samym incydencie powziął już w dniu […] lipca 2020 r. Zgodnie ze zgłoszeniem, które zostało zarejestrowane pod sygnaturą […], naruszenie ochrony danych osobowych polegało na możliwości nieuprawnionego dostępu do katalogów strony internetowej sklepu […], prowadzonego przez Panią W. S., zawierających dane o zamówieniach klientów, a w konsekwencji pobraniu przez osobę trzecią repozytorium z serwera strony zawierającego ww. informacje. Administrator w następujący sposób określił skalę powstałego naruszenia – „Brak możliwości stwierdzenia wprost. W plikach, do których nastąpił nieautoryzowany dostęp mogły być dane maksymalnie 1208 osób. Maksymalnie 1337 rekordów (ilość zamówień)”. Zakres danych osobowych objętych przedmiotowym naruszeniem, zgodnie ze zgłoszeniem, obejmował imiona i nazwiska, adresy e-mail, numery telefonów oraz adresy do wysyłki zamówienia. Zgodnie ze zgłoszeniem, Administrator nie stwierdził wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, w związku z czym nie zawiadomił osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.
Pismami z dni: […] stycznia 2021 r. oraz […] lutego 2021 r. Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Administratora o złożenie dodatkowych wyjaśnień, w tym m.in.:
- Wskazanie powodów opóźnienia powiadomienia organu nadzorczego o naruszeniu ochrony danych osobowych.
- Poinformowanie, czy zweryfikowano, aby dane zostały pobrane przez nieuprawnioną osobę.
- Wskazanie, czy przeprowadzono analizę ryzyka dla procesu przetwarzania danych osobowych klientów za pośrednictwem strony internetowej sklepu.
- Wskazanie, czy ww. analiza wykazała podatności oraz ich możliwe skutki dla strony, a także, czy podjęto działania minimalizujące ryzyko ich wystąpienia.
- Poinformowanie, czy, a jeśli tak, to w jaki sposób administrator dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemie objętym naruszeniem, w szczególności ochronić przed nieuprawnionym uzyskaniem dostępu do danych klientów.
- Wskazanie, czy dokonywano regularnego testowania przed atakami z sieci publicznej w celu identyfikacji jak największej liczby podatności i uchybień mogących stanowić zagrożenie dla bezpieczeństwa strony, a jeżeli tak, to o przedstawienie stosownych dowodów.
W wyjaśnieniach udzielonych pismami z dni: […] stycznia 2021 r. oraz […] marca 2021 r. Administrator poinformował, że:
1) W dniu […] lipca 2020 roku powziął informację o incydencie dotyczącym naruszenia danych osobowych. Źródłem informacji był e-mail od p. M. M. z portalu […]. Po uzyskaniu ww. informacji administrator w pierwszej kolejności skupił się na ustaleniu rodzaju problemu i przyczyn, z powodu których doszło do incydentu. Następnie podjął niezbędne kroki, aby zabezpieczyć dane osobowe w odpowiedni sposób. Pełne zabezpieczenie nastąpiło nie później niż […] sierpnia 2020 roku, tj. kilka dni po uzyskaniu informacji o incydencie. Zatem od ujawnienia incydentu do całkowitego zabezpieczenia danych upłynęło nie więcej niż 7 dni. Następnie administrator dokonał oceny ryzyka naruszenia praw lub wolności osób fizycznych. Wzięto pod uwagę między innymi wielkość potencjalnej szkody oraz prawdopodobieństwo jej wystąpienia. Administrator ustalił z całą pewnością, że nie doszło do naruszenia szczególnych kategorii danych osobowych, w tym ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej. Naruszenie dotyczyło bowiem takich danych jak m.in. imię, nazwisko, adres e-mail, adres do wysyłki czy informacje o zakupionych produktach. Istotne okazało się, że administrator nie przechowywał danych typu: NIP, PESEL czy innych identyfikatorów. Rodzaj naruszenia został określony jako utrata poufności. Nie nastąpiła utrata dostępności ani naruszenia integralności danych. Administrator prowadzi sklep internetowy pod adresem […]. Jest on adresowany głównie do ludzi młodych, korzystających z portali społecznościowych, gdzie nierzadko ujawnia się dobrowolnie przynajmniej część z danych, których poufność została naruszona, w tym imię, nazwisko oraz wizerunek. Produkty oferowane przez sklep internetowy Administratora to głównie autorska odzież i akcesoria. Klienci sklepu internetowego podejmują decyzję o zakupie nie z powodu właściwości użytkowych oferowanych produktów, ale głównie z powodu chęci identyfikowania się z marką W. Innymi słowy, nie stanowi dla nich tajemnicy fakt dokonania zakupów w sklepie […], wręcz przeciwnie, klienci sklepu […] chętnie eksponują nabyte produkty. Ma to miejsce zarówno w przestrzeni publicznej typu szkoła, uczelnia, miejsce pracy, a także w mediach społecznościowych. Ten element w ocenie Administratora był istotny z punktu widzenia kontekstu przetwarzania danych i rodzaju danych, których poufność została naruszona (m.in. rodzaj nabytych produktów). Dokonując oceny ryzyka wzięto też pod uwagę okoliczności, w jakich doszło do naruszenia poufności danych oraz ujawnienia tego faktu. Mianowicie Administrator ustalił, że potencjalna możliwość naruszenia poufności istniała przez kilka miesięcy. Z treści samego artykułu w portalu, który ujawnił naruszenie, wynikało, że osoba, która uzyskała dostęp do danych, obserwowała zmiany w bazie danych. Administrator analizując wszystkie posiadane wówczas informacje doszedł do przekonania, że mimo potencjalnie długiego czasu, w którym dane były niezabezpieczone, żaden z klientów sklepu internetowego […], ani sam administrator nie doznał jakichkolwiek niedogodności. Administrator aż do otrzymania ww. e-maila od p. M. M. nie otrzymał żadnej informacji, czy skargi w tym zakresie. Podobnie rzecz się miała po upływie ponad miesiąca od powiadomienia klientów sklepu internetowego o incydencie. Uznano także, mając na uwadze ww. okoliczności, że dostęp do danych uzyskała wyłącznie jedna osoba, która poinformowała o tym portal […], a dla uwiarygodnienia informacji przekazała część z posiadanych danych. Osoba ta musiała posiadać ponadprzeciętną wiedzę i umiejętności z zakresu informatyki. Administrator ocenił, że jest to pasjonat w swojej dziedzinie, nie oszust. Administrator ocenił, że mimo posiadania danych osobowych, których poufność naruszono w przedmiotowym incydencie, nie jest łatwe zidentyfikowania konkretnej osoby fizycznej. Ostatecznie, po przeprowadzeniu analizy wszystkich okoliczności Administrator uznał, że jest mało prawdopodobne, by przedmiotowy incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. W efekcie nie dokonano zgłoszenia w przewidzianym prawem terminie. Opisana wyżej ocena zmieniła się po otrzymaniu pisma z tut. Urzędu z dnia […] listopada 2020 r., które Administrator odczytał jako wezwanie do dokonania zgłoszenia oraz wezwanie do poinformowania osób, których dane osobowe zastały naruszone, o incydencie. W związku z tym, w odpowiedzi na ww. pismo dokonano zgłoszenia incydentu w dniu […] grudnia 2020 r., zaś informację do osób, których dane osobowe zastały naruszone, wysłano drogą e-mailową, w dniu […] grudnia 2020 r.
2) Okoliczności pobrania danych zostały opisane w artykule na portalu […], z tego też źródła Administrator powziął wiedzę o incydencie. W wyniku wewnętrznego audytu ustalono, że żadna z osób współpracujących z Administratorem nie dopuściła się tego czynu. Jednocześnie przeprowadzony na zlecenie Administratora audyt zewnętrzny potwierdził, że dane zostały pobrane przez nieuprawnioną osobę.
3) Przed uruchomieniem sprzedaży w sklepie internetowym […] rozpoczął współpracę z profesjonalistami z zakresu IT, legitymującymi się wieloletnim doświadczeniem w branży. Dotyczyło to zarówno zaprojektowania sklepu internetowego, jego bieżącej obsługi IT oraz monitoringu bezpieczeństwa danych. Administrator we współpracy z ww. podmiotami wziął pod uwagę zasoby, które będą używane do przetwarzania danych osobowych, sprzęt i oprogramowanie, miejsce przetwarzania danych, osoby biorące udział w przetwarzaniu danych i ich wiedzę, doświadczenie oraz umiejętności w tym zakresie, zakres danych pozyskiwanych od klientów sklepu internetowego, ilość tych danych i inne elementy niezbędne do oceny ryzyka. Podmioty odpowiedzialne za zabezpieczenie procesu przetwarzania danych osobowych wykonywały także okresowe kontrole, z których przygotowywano raporty. W wyniku przeprowadzonej analizy przed uruchomieniem sprzedaży nie stwierdzono wysokiego ryzyka naruszenia praw lub wolności osób fizycznych w procesie przetwarzania danych osobowych klientów za pośrednictwem strony internetowej sklepu […].
4) Po ujawnieniu przedmiotowego incydentu zlecił szczegółowy audyt mający na celu ujawnienie przyczyn utraty poufności danych, a także celem ustalenia, jakie działania należy podjąć, aby uniemożliwić dostęp do danych i zabezpieczyć je na przyszłość. Audyt wykazał, że strona internetowa i serwer wymagały podjęcia następujących działań:
a) zablokowania bezpośredniego odwoływania się do serwera oraz konfiguracja białych list adresów dla serwerów publicznych;
b) wzmocnienie zabezpieczeń blokując ruch zewnętrzny pod adresami plików źródłowych;
c) wzmocnienie zabezpieczeń poprzez wdrożenie podwójnego uwierzytelniania dla wszelkich punktów dostępów;
d) migracja plików kopii zapasowych na zewnętrzne serwery wraz z dodatkową blokadą zewnętrznego ruchu;
e) re-instalacja serwerów, bazy danych oraz systemu zarządzania treścią wraz z modułami towarzyszącymi.
Wszystkie powyższe działania zostały wykonane po obszernym audycie zewnętrznym oraz wewnętrznym. Administrator był przekonany, że nie później jak od […] sierpnia 2020 roku bezpieczeństwo danych jest w pełni zapewnione. Ponadto, Administrator prowadził wzmożony i regularny przegląd bezpieczeństwa plików oraz danych.
1) Współpracował w zakresie projektowania i utrzymania sklepu internetowego z profesjonalnymi podwykonawcami. W ramach świadczonych usług na rzecz Administratora przeprowadzano okresowe kontrole bezpieczeństwa środków technicznych i organizacyjnych. Prowadzone były regularne działania mające na celu zminimalizowanie ryzyka dostępu do wszelkich wrażliwych danych wraz z zabezpieczeniem stabilności systemu. Działania te sprowadzały się do systematycznie wykonywanej analizy rejestru zdarzeń serwerów wraz z bieżącymi aktualizacjami wykorzystywanego oprogramowania. Dodatkowo, na bieżąco prowadzone były prace rozwojowe wykorzystywanych systemów. W szczególności wykonywano:
a) prace nadzorcze w postaci monitoringu ruchu i obciążenia na infrastrukturze podczas okresów wzmożonego ruchu;
b) okresową weryfikację rejestru zdarzeń serwerów;
c) prace rozwojowe w obrębie infrastruktury serwerowej;
d) instalacja oprogramowania do eksportu danych z serwerów wirtualnych do serwera agregującego metryki;
e) aktualizację i weryfikację stabilności systemu zarzadzania treścią;
f) okresowe prace nadzorcze nad głównym modułem sprzedażowym wraz z przeglądem modułów dodatkowych;
g) aktualizację oprogramowania serwera baz danych.
Administrator danych przekazał raporty z działań z zakresu IT z marca, maja i lipca 2020 r.
2) W zakresie zapewnienia bezpieczeństwa strony […] współpracował z profesjonalnymi podwykonawcami, którzy dokonywali regularnego testowania przed atakami z sieci publicznej w celu identyfikacji jak największej liczby podatności i uchybień mogących stanowić zagrożenie dla strony. Do takich działań zaliczały się między innymi:
a) systematycznie wykonywana analiza rejestru zdarzeń;
b) ulepszenia zabezpieczeń dla baz danych w okresie luty-czerwiec 2020;
c) regularne weryfikowanie stabilności systemu i wykorzystywanego oprogramowania;
d) szereg prac rozwojowych mających na celu zwiększenie poziomu bezpieczeństwa i stabilności usług.
Administrator danych przekazał faktury potwierdzające zakup niezbędnych maszyn i usług do wykonywania ww. czynności informatycznych.
W związku ze zgłoszonym naruszeniem ochrony danych osobowych oraz wyjaśnieniami złożonymi przez Administratora ww. pismami, Prezes UODO w dniu […] kwietnia 2021 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Panią W. S., prowadzącą działalność gospodarczą pod firmą W. S., jako administratora danych, obowiązków wynikających z przepisów rozporządzenia 2016/679, tj. art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 i 2, art. 32 ust. 1 i 2 oraz art. 33 ust. 1 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych klientów sklepu […] (sygn. pisma […]).
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, pismem z dnia […] kwietnia 2021 r. Administrator złożył wyjaśnienia, w których wskazał m.in., że:
1) W piśmie pełnomocnika Administratora z […] stycznia 2021 roku (do poprzedniej sygnatury […]) wskazano, że na zlecenie Administratora w roku 2020 były wykonywane regularne kontrole IT sklepu internetowego funkcjonującego pod adresem […]. Po każdej kontroli wykonawcy, tj. p. M. G. i p. D. P., przygotowywali raporty, z których wynikało między innymi, że monitorowano ruch na stronie, weryfikowano rejestr zdarzeń serwerów oraz aktualizowano i weryfikowano stabilność systemu zarządzania treścią (M. G. prowadzący działalność gospodarczą pod firmą M. G. I. z/s w K., NIP: […]). Infrastruktura serwerowa jest utrzymywana u zewnętrznego dostawcy usług, tj. O. Sp. z o.o. z/s we W. Dostawca infrastruktury udostępnia logi z serwerów nie starsze niż 30 dni. Z tego powodu (ale także w dacie wykrycia incydentu), nie można było odtworzyć bardziej szczegółowych raportów dotyczących retencji danych.
Administrator danych przekazał wspomniane wyżej raporty oraz dodatkowe raporty dotyczące ruchu, pozyskiwania, ścieżek użytkowników, jak i danych demograficznych z okresu […].02.2020 r. – […].08.2020 r.
2) Prowadzone działania mające na celu usprawnienia zabezpieczeń dla baz danych były realizowane zarówno przed, jak i po incydencie. Działania w okresie luty-czerwiec 2020 roku to m.in.:
a) ukrycie interfejsu użytkownika dla narzędzia do zarządzania bazą […] w celu zwiększenia zabezpieczeń;
b) migracja bazy danych z serwera aplikacyjnego na serwer zewnętrzny.
Po wykryciu incydentu (lipiec 2020 r.) podjęto dodatkowe działania, tj.:
a) całkowita reinstalacja bazy danych;
b) odseparowanie bazy danych od środowiska zewnętrznego (połączenie możliwe tylko przez maszyny z sieci);
c) reinstalacja oraz zwiększenie bezpieczeństwa dla rozproszonego systemu kontroli wersji;
d) zmiana haseł na szyfrowanie […].
Administrator danych przekazał wniosek o zmianę lokalizacji serwera mający na celu usprawnienie działania usług oraz fakturę dokumentującą zakup serwera.
3) Główne narzędzia wykorzystywane do prac badawczo-rozwojowych mających na celu maksymalizację bezpieczeństwa i stabilności usług to:
a) […] – przeszukiwanie plików;
b) […]– skanowanie portów;
c) […]– agregacja metryk;
d) […] – wizualizacja metryk;
e) […] – monitorowanie procesów;
f) […] – monitorowanie poziomu zajętości dysku;
g) […] – równoważenie obciążenia;
h) […] – zautomatyzowane alerty systemowe;
i) […] – wieloplatformowy edytor tekstowy.
Analiza danych przy użyciu ww. narzędzi pozwoliła Administratorowi podejmować decyzje o działaniach rozwojowych mających również na względzie bezpieczeństwo.
4) Działania podejmowane celem zwiększenia poziomu bezpieczeństwa i stabilności usług w okresie styczeń-czerwiec 2020 r.:
a) migracja serwera aplikacyjnego z Francji do Polski;
b) rozbudowa infrastruktury serwerów mająca na celu możliwość skalowania ruchu;
c) skalowanie ruchu poprzez wprowadzenie drugiej maszyny wykonawczej;
d) implementacja oprogramowania […] do zapobiegania włamaniom.
Działania podejmowane celem zwiększenia poziomu bezpieczeństwa i stabilności usług w okresie lipiec-grudzień 2020 r.:
a) wprowadzenie nowej polityki wewnętrznego bezpieczeństwa; w szczególności ustalono, że każdy pracownik, który ma styczność z oprogramowaniem sklepu […] posiada indywidualne konto, które można monitorować;
b) wprowadzono dodatkowe, niestandardowe zabezpieczenia panelu administracyjnego dla wykorzystywanego oprogramowania sklepu […];
c) automatyczne raporty i powiadomienia o nieautoryzowanym ruchu;
d) konfiguracja mechanizmu blokowania ruchu dla ataków typu […];
e) automatyczna migracja plików graficznych na serwery zewnętrzne […] w celu zwiększenia wydajności usługi.
Jak wyjaśniono, zaistniały incydent był dla Administratora oraz obsługującej go firmy IT przyczynkiem do zwiększenia nakładów finansowych i organizacyjnych ukierunkowanych na poprawienie jakości świadczonych usług, a także bezpieczeństwa przetwarzanych danych. Administrator rozpoczął prace nad nowym rozwiązaniem centralizacji logów, co pozwoli dogłębniej analizować zdarzenia z wszystkich wykorzystywanych maszyn.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia; prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, stanowią dalsze przepisy tego aktu prawnego. Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Wskazane przepisy uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.
W celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, a także działań zmierzających do optymalnej konfiguracji wykorzystywanych systemów operacyjnych przez regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych w postaci testów bezpieczeństwa w zakresie infrastruktury informatycznej. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia. Efektem powyższego było zmaterializowanie się ryzyka, które w ocenie Administratora posiadało niski stopień prawdopodobieństwa, tj. poprzez pobranie repozytorium z serwera strony wykorzystywanego przez Administratora do przetwarzania danych osobowych, nastąpiło nieuprawnione uzyskanie dostępu do katalogów z informacjami o zamówieniach klientów, w tym danych osobowych. Istotnym jest jednak fakt, iż Administrator nie przekazał Prezesowi UODO dowodów potwierdzających przeprowadzenie analizy ryzyka, a ograniczył się jedynie do zaprezentowania raportów działań z zakresu IT za poszczególne miesiące. Oprócz nich wskazał, iż w przedmiotowej sprawie ,,(…) nie wystąpiło wysokie ryzyko – brak wystarczającej ilości danych osobowych do podjęcia znaczących działań naruszających dobro osób”, a dodatkowo ,,W wyniku przeprowadzonej analizy przed uruchomieniem sprzedaży nie stwierdzono wysokiego ryzyka naruszenia prawa lub wolności osób fizycznych w procesie przetwarzania danych osobowych klientów za pośrednictwem strony internetowej (…)”. Powyższe raporty oraz wyjaśnienia nie mogą jednak stanowić podstawy do uznania, w świetle zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679, że Administrator wykonał w tym zakresie analizę ryzyka uwzględniającą stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Prawidłowo przeprowadzona analiza ryzyka powinna pozwolić Administratorowi na identyfikację wszystkich zagrożeń dla danych osobowych w ramach prowadzonych procesów ich przetwarzania oraz oszacowanie prawdopodobieństwa ich materializacji stosownie do przyjętej metodyki, efektem czego powinien być dobór skutecznych środków bezpieczeństwa w celu obniżenia zidentyfikowanych ryzyk do poziomu ryzyka akceptowalnego i w konsekwencji zapewnienie odpowiedniego poziomu zabezpieczenia danych osobowych. Natomiast przedstawione przez Administratora raporty z zakresu działań IT za poszczególne miesiące dokumentują wyłącznie działania, jakie Administrator podejmował na posiadanej infrastrukturze teleinformatycznej, bez odniesienia się do konkretnych zagrożeń, których zrealizowanie się ewentualnie miałyby one wyeliminować lub ograniczyć. Ponadto, opis działań zawartych w treści ww. raportów jest bardzo ogólny, co uniemożliwia ocenę ich skuteczności w zabezpieczaniu przetwarzanych danych. Wreszcie, z uwagi na brak opisania rezultatów tych działań oraz wynikających z nich wniosków, nie można także przyjąć, że stanowią one przejaw regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, a więc realizację wymogu określonego w art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Z powyższego wynika zatem, że brak rzetelnie przeprowadzonej przez Administratora analizy ryzyka doprowadził do uchybień postaci niewdrożenia odpowiednich środków technicznych i organizacyjnych, skutkujących przełamaniem zabezpieczeń i w konsekwencji wystąpieniem naruszenia ochrony danych osobowych. Jak podkreślił WSA w Warszawie w wyroku z dnia 13 maja 2021 r., sygn. II SA/Wa 2129/20 „Administrator danych powinien (…) przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”.
Ze zgromadzonego materiału dowodowego wynika, że wdrożone przez Administratora środki techniczne nie zapewniły odpowiedniego stopnia bezpieczeństwa danych osobowych klientów przetwarzanych w związku z prowadzeniem sklepu internetowego […]. Następstwem powyższego był incydent, w wyniku którego osoba nieuprawniona uzyskała dostęp do imion i nazwisk, adresów mailowych, numerów telefonów oraz adresów do wysyłki zamówień klientów Administratora. Dokonane ustalenia nie dają zatem podstawy do stwierdzenia, że stosowane przez Administratora środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania; środki te w ocenie Prezesa UODO nie były w odpowiedni sposób poddawane przeglądom i uaktualniane, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych.
Wyjaśniając kwestie bezpieczeństwa Administrator poinformował, że ,,(…) przed uruchomieniem sprzedaży w sklepie internetowym rozpoczął współpracę z profesjonalistami z zakresu IT, legitymującymi się wieloletnim doświadczeniem w branży. Dotyczyło to zarówno zaprojektowania sklepu internetowego, jego bieżącej obsługi IT oraz monitoringu bezpieczeństwa danych”. Jak się później okazało, zarówno powyższe działania, jak i ,,(…) okresowe kontrole” wykonywane przez ,,(…) podmioty odpowiedzialne za zabezpieczenie procesu przetwarzania danych osobowych (…)” nie okazały się na tyle skuteczne, aby uniknąć wystąpienia naruszenia. Powyższe potwierdza tylko, jak ważne jest rzetelne przeprowadzenie analizy ryzyka. Należy również podkreślić, że właściwe działania zostały podjęte przez Administratora dopiero ,,po ujawnieniu przedmiotowego incydentu (…)” i zleceniu przez niego szczegółowego audytu. Na jego podstawie stwierdzono, że ,,strona internetowa i serwer wymagały podjęcia następujących działań: a) blokada bezpośredniego odwoływania się do serwera oraz konfiguracja białych list adresów dla serwerów publicznych; wzmocnienie zabezpieczeń blokując ruch zewnętrzny pod adresami plików źródłowych; wzmocnienie zabezpieczeń poprzez wdrożenie podwójnego uwierzytelniania dla wszelkich punktów dostępów; migracja plików kopii zapasowych na zewnętrzne serwery wraz z dodatkową blokadą zewnętrznego ruchu; re-instalacja serwerów, bazy danych oraz systemu zarządzania treścią wraz z modułami towarzyszącymi”. Oznacza to, że w okresie poprzedzającym wystąpienie naruszenia, Administrator nie zapewnił odpowiedniego zabezpieczenia przetwarzanych danych, co sam potwierdził, wskazując, że ,,(…) jest przekonany, że nie później jak od […] sierpnia 2020 roku bezpieczeństwo danych jest w pełni zapewnione”, a także, iż „ustalił, że potencjalna możliwość naruszenia poufności istniała przez kilka miesięcy”. W konsekwencji, przesądza to o niewdrożeniu przez Administratora odpowiednich środków technicznych i organizacyjnych w czasie przetwarzania danych osobowych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, do czego był on zobowiązany zgodnie z art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679, jak również o niezastosowaniu środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku poprzez zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, do czego zobowiązuje administratora danych art. 32 ust. 1 lit. b) rozporządzenia 2016/679 oraz o niedokonaniu oceny, czy stopień bezpieczeństwa jest odpowiedni, przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych, obowiązek dokonania której wynika z art. 32 ust. 2 rozporządzenia 2016/679. Jak bowiem wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych”. Następstwem naruszenia ww. przepisów rozporządzenia 2016/679 było naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a w konsekwencji także zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. Powyższe potwierdza orzeczenie WSA w Warszawie z dnia 10 lutego 2021 r., sygn. II SA/Wa 2378/20: „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności interpretuje w wyroku z dnia 26 sierpnia 2020 r. WSA w Warszawie sygn. II SA/Wa 2826/19: „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.
W pismach kierowanych do Prezesa UODO Administrator wyjaśnił, że przeprowadzano ,,okresowe kontrole bezpieczeństwa środków technicznych i organizacyjnych”. Jak wynika z pisma Administratora z dnia […] stycznia 2021 r., cyt.: „Prowadzone były regularne działania mające na celu zminimalizowanie ryzyka dostępu do wszelkich wrażliwych danych wraz z zabezpieczeniem stabilności systemu. Działania te sprowadzały się do systematycznie wykonywanej analizy rejestru zdarzeń serwerów wraz z bieżącymi aktualizacjami wykorzystywanego oprogramowania. Dodatkowo na bieżąco prowadzone były prace rozwojowe wykorzystywanych systemów”.
Należy zauważyć, że testy wykonywane w wyżej określonym zakresie nie wyczerpują w pełni obowiązku administratora określonego w art. 32. ust. 1 lit. d) rozporządzenia 2016/679. Testom nie były poddawane w pełnym zakresie zabezpieczenia techniczne oraz organizacyjne w odniesieniu do systemów informatycznych wykorzystywanych do przetwarzania danych osobowych, np. nie były wykonywane testy zastosowanych zabezpieczeń pod kątem wykrywania luk bezpieczeństwa oraz podatności. Co więcej, sam administrator wskazał w wyjaśnieniach, że ,,[...] potencjalna możliwość naruszenia poufności istniała przez kilka miesięcy”, a więc nie był w stanie wykazać, ani stwierdzić, że zastosowane środki bezpieczeństwa posiadają znamiona wystarczalności. Ponadto, powyższe stwierdzenie Administratora, w kontekście jego wyjaśnień zawartych w piśmie z dnia […] stycznia 2021 r., jednoznacznie wskazuje, że podejmowane w tym zakresie przed wystąpieniem naruszenia ochrony danych osobowych działania były nieskuteczne.
Podkreślenia zatem wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora wynikającym z art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Natomiast w przedmiotowym stanie faktycznym Administrator wywiązywał się z tego obowiązku częściowo, weryfikując i modyfikując poziom skuteczności wdrożonych zabezpieczeń dopiero po ,,(…) ujawnieniu przedmiotowego incydentu” i zleceniu audytu, który wykazał, że ,,(…) strona internetowa i serwer wymagały podjęcia (…) działań”. Powyższe nie może zostać jednak uznane za realizację obowiązku nałożonego na Administratora i określonego powołanym przepisem rozporządzenia 2016/679. Wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych.
Zastrzeżenia mogą budzić również dowody na skuteczność tych testów, które w wyjaśnieniach Administratora zostały ograniczone jedynie do wykazu prac, stwierdzeń oraz faktur. Przedstawione przez Administratora „Raporty z działań z zakresu IT” zawierają jedynie stwierdzenia o wykonaniu m.in. okresowej weryfikacji rejestru zdarzeń, monitoringu ruchu i obciążenia na infrastrukturze oraz aktualizacji oprogramowania. Z ww. raportów nie wynika wprost, jakiej infrastruktury technicznej dotyczyły podjęte działania, a także, czy infrastruktura, która została zaatakowana, była poddawana ww. testom. Jak wskazano wyżej, z uwagi na brak opisania w przedłożonych przez Administratora „Raportach z zakresu działań IT” za poszczególne miesiące rezultatów podejmowanych działań oraz wynikających z nich wniosków, nie można przyjąć, że o realizacji przez Administratora obowiązku wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679 świadczą te raporty. Efektem przeprowadzenia wskazanych w nich czynności powinno być bowiem stwierdzenie, czy poddany takiemu testowi bądź ocenie stosowany przez Administratora środek techniczny lub organizacyjny nadal spełnia swoją funkcję, tj. czy nadal skutecznie chroni przetwarzane dane osobowe, czy też został skompromitowany z uwagi np. na wykrycie istniejącej w nim luki bezpieczeństwa, co powinno oznaczać rezygnację z jego stosowania i zastąpienie go innym skutecznym środkiem lub zastosowanie dodatkowych środków bezpieczeństwa w celu zapewnienia odpowiedniego poziomu ochrony dla danych osobowych (co powinno także znaleźć odzwierciedlenie w przeprowadzonej analizie ryzyka). Pewną zmianę podejścia Administratora w tym zakresie można dostrzec w przedstawionym „Raporcie działań z zakresu IT” sporządzonym w dniu […] kwietnia 2021 r., w którym znalazła się ocena używanych rozszerzeń dla systemu zarządzania treścią. Podkreślić jednak należy, że aby działania te mogły zostać uznane za właściwą realizację wymogu testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych stosowanych przez Administratora w celu zapewnienia bezpieczeństwa przetwarzania, to muszą one obejmować wszelkie aspekty związane z bezpieczeństwem przetwarzania danych osobowych, a wyprowadzane z nich wnioski w sposób kompleksowy opisywać wszystkie, a nie tylko wybrane, elementy infrastruktury teleinformatycznej wpływające na zabezpieczenie danych.
Dokonane ustalenia nie dają zatem podstawy do stwierdzenia, co należy ponownie podkreślić, że stosowane przez Administratora środki techniczne i organizacyjne były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania; środki te w ocenie Prezesa UODO nie były także w odpowiedni sposób poddawane przeglądom i uaktualniane, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych.
Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 3 września 2020 r., sygn. II SA/Wa 2559/19, „Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.
Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.”.
Z analizy zaistniałego naruszenia wynika, że przyjęta przez Administratora metodyka wewnętrznych testów nie była w stanie wykazać rzetelnej oceny stanu bezpieczeństwa systemów informatycznych wskazującej wszystkie podatności oraz odporności na próby przełamania zabezpieczeń na skutek nieuprawnionego działania osoby trzeciej. Wobec powyższego ocena stanu bezpieczeństwa okazała się niewystarczająca w zakresie zastosowania odpowiednich zabezpieczeń technicznych i organizacyjnych. Wskazać należy, że wcześniejsze zastosowanie zabezpieczeń, które wdrożone zostały dopiero po naruszeniu, znacząco obniżyłoby ryzyko zaistnienia tego typu zagrożenia.
Mając powyższe na uwadze, a także treść art. 58 ust. 2 lit. d) rozporządzenia 2016/679, Prezes UODO nakazał administratorowi dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wykonanie analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, a także wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Z art. 33 ust. 1 rozporządzenia 2016/679 wynika, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
W związku z przedmiotowym naruszeniem, administrator nie tylko nie wywiązał się z obowiązku, zgodnie z którym bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – powinien zgłosić je organowi nadzorczemu (data stwierdzenie naruszenia wskazana w przesłanym formularzu: […] lipca 2020 r., natomiast data zgłoszenia naruszenia: […] grudnia 2020 r.), ale również zdecydował się na jego wykonanie dopiero ,,(…) po otrzymaniu pisma z tut. Urzędu z dnia […] listopada 2020 r., które administrator odczytał jako wezwanie do dokonania zgłoszenia (…)”. Grupa Robocza Art. 29 w wytycznych wskazuje, że nawet brak wszystkich szczegółowych informacji związanych z incydentem nie powinien stanowić przeszkody dla terminowego zgłoszenia naruszenia i ,,choć w niektórych przypadkach w RODO dopuszcza się możliwość dokonywania zgłoszeń z opóźnieniem, takie sytuacje należy traktować jako sytuacje nadzwyczajne”.
W przedmiotowej sprawie, co jednoznacznie wynika z dokonanych ustaleń, doszło do nieuprawnionego uzyskania dostępu do danych, skutkującego naruszeniem bezpieczeństwa prowadzącego do ujawnienia danych ,,maksymalnie 1208 osób”(,,klienci, którzy dokonali zamówienia w sklepie w dacie […].12.2019 do […].04.2021”), a więc do naruszenia poufności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych.
Naruszenie ochrony danych osobowych (poufności danych), jakie wystąpiło w niniejszej sprawie, skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. Jak wskazuje Grupa Robocza Art. 29 w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, zwanych dalej również ,,wytycznymi”: „Oceniając ryzyko dla osób fizycznych będące wynikiem naruszenia, administrator powinien uwzględnić zatem konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia”. Grupa Robocza Art. 29 zaleca zatem, aby w trakcie oceny brano pod uwagę następujące kryteria: „(…) Liczba osób fizycznych, na które naruszenie wywiera wpływ. Naruszenie może dotyczyć tylko jednej osoby, kilku osób lub kilku tysięcy osób - albo dużo większej ich liczby. Zazwyczaj potencjalny wpływ naruszenia wzrasta wraz z liczbą osób, których ono dotyczy. Jednak w zależności od charakteru danych osobowych oraz kontekstu, w którym zostały one ujawnione, naruszenie może mieć poważne konsekwencje nawet dla jednej osoby. Również w tym wypadku najważniejsze jest przeanalizowanie prawdopodobieństwa wystąpienia konsekwencji dla osób, na które naruszenie na wpływ, oraz tego, jak poważne będą te konsekwencje”. Nie ulega wątpliwości, że w omawianym przypadku naruszenie dotyczy wielu osób, co w sposób istotny podnosi wagę naruszenia i prawdopodobieństwo zmaterializowania się zagrożeń związanych z naruszeniem. Fakt, że w wyniku naruszenia nie doszło do ujawnienia np. numerów ewidencyjnych PESEL osób nim dotkniętych nie oznacza, że osób tych nie można zidentyfikować i że nie mogą one ponieść negatywnych konsekwencji w wyniku ujawnienia ich danych osobowych osobie nieuprawnionej. W konsekwencji oznacza to, że występuje ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679.
W przedmiotowej sprawie, jak już wspomniano, doszło do ujawnienia danych osobowych ,,1208 osób” w postaci: imion i nazwisk, adresów e-mail, numerów telefonów oraz adresów do wysyłki zamówienia. Ujawnienie takich danych nie jest co prawda związane z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, o czym przesądza m.in. podnoszona przez Administratora okoliczność, że w wyniku naruszenia ochrony danych osobowych nie doszło do ujawnienia danych ,,ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej” (a co za tym idzie, Administrator nie miał obowiązku zawiadomić o naruszeniu osób, których dane dotyczą, zgodnie z art. 34 rozporządzenia 2016/679), tym niemniej ryzyko to w takim przypadku istnieje - stąd zaistniała konieczność zawiadomienia Prezesa UODO o naruszeniu. Możliwym ryzykiem związanym z zaistniałym zdarzeniem jest bowiem w szczególności utrata przez osoby, których dane dotyczą, kontroli nad ich danymi. Dane te mogą np. posłużyć osobom, które wejdą w ich posiadanie, np. do niechcianych przez osoby, których dane dotyczą, kontaktów poprzez e-mail lub telefon - również takich, w czasie których podjęte zostaną próby uzyskania dodatkowych danych tych osób. Wreszcie, przy wykorzystaniu tych danych mogą zostać założone konta w różnego rodzaju serwisach społecznościowych i portalach internetowych, co może mieć negatywny wpływ na postrzeganie tych osób w ich środowisku zawodowym czy rodzinnym, a nawet prowadzić do ich dyskryminacji. Powyższe oznacza zatem, że w przypadku przedmiotowego naruszenia ochrony danych osobowych istnieje ryzyko naruszenia praw lub wolności osób fizycznych.
Warte szczególnego podkreślenia jest to, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować - w treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Zatem podnoszona przez Administratora okoliczność, że cyt.: „(…) jest mało prawdopodobne, by przedmiotowy incydent skutkował ryzykiem naruszenia prawa lub wolności osób fizycznych. W efekcie nie dokonano zgłoszenia w przewidzianym prawem terminie” nie ma znaczenia dla stwierdzenia istnienia po stronie Administratora obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679. W podobnej sprawie Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 22 września 2021 r. sygn. akt II SA/Wa 791/21 stwierdził, że „(…) w rozpatrywanej sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych”. W dalszej części Sąd podkreśla również, że „możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zatem podnoszona przez Administratora okoliczność, że cyt.: „nie wpłynęła do Uczelni żadna informacja mogąca mieć wpływ na zmianę poziomu ryzyka albo wymagająca podjęcia innych środków technicznych i organizacyjnych rozszerzających katalog podjętych działań” pozostaje irrelewantna dla stwierdzenia istnienia po stronie Administratora obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z powyższym przepisem”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 21 stycznia 2022 r. (sygn. akt: II SA/Wa 1353/21) wskazując, że „(…) możliwe konsekwencje zdarzenia naruszenia danych osobowych nie muszą się zmaterializować - gdyż w art. 33 ust. 1 RODO mowa o tym, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Podnoszona przez Spółkę okoliczność, że w wyniku naruszenia nie doszło do powstania uszczerbku fizycznego lub szkód u osób fizycznych, nie ma znaczenia dla stwierdzenia istnienia po stronie Spółki obowiązku zgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych, zgodnie z ww. przepisem”.
Dla stwierdzenia istnienia po stronie Administratora obowiązku zgłoszenia Prezesowi UODO ww. naruszenia ochrony danych osobowych, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, nie ma także znaczenia fakt podjęcia przez Administratora działań mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia, wykazanych w korespondencji z organem nadzorczym. Charakter tych działań wskazuje bowiem, że mają one zapobiec wystąpieniu tego typu naruszeń w przyszłości; działania te w żaden sposób natomiast nie wpływają na ocenę, że w związku z wystąpieniem przedmiotowego naruszenia ochrony danych istnieje ryzyko naruszenia praw lub wolności osób fizycznych. Ponadto, Grupa Robocza Art. 29 w wytycznych wyraźnie wskazuje, że ,,w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”. Bez znaczenia jest również podnoszona przez Administratora okoliczność, że „dostęp do danych uzyskała wyłącznie jedna osoba, która poinformowała o tym portal niebezpiecznik.pl, a dla uwiarygodnienia informacji przekazała część z posiadanych danych. Osoba ta musiała posiadać ponadprzeciętną wiedzę i umiejętności z zakresu informatyki. Administrator ocenił, że jest to pasjonat w swojej dziedzinie, nie oszust”. Osoba ta jest bowiem osobą nieuprawnioną do dostępu do tych danych. Co więcej, Administrator nie może mieć pewności, że oprócz ww. osoby dostępu do wskazanych danych osobowych nie miała inna nieuprawniona osoba bądź osoby.
W sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.
W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.
W konsekwencji należy stwierdzić, że Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie określonym w art. 33 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora tego przepisu. Z przesłanych przez niego wyjaśnień wynika, że informację o naruszeniu powziął dnia […] lipca 2020 r., natomiast zgłoszenia Prezesowi UODO dokonał dopiero […] grudnia 2020 r. Stwierdzenie zawarte przez Administratora w wyjaśnieniach, tj. ,,(…) nie dokonałam zgłoszenia incydentu do UODO w trybie przez Państwa określonym, ponieważ (pomimo ustalenia luki, słabości w systemie zabezpieczeń strony internetowej) nieuprawniony dostęp do danych klientów mógł dotyczyć tylko ich poniższego zakresu: imion i nazwisk, danych o nr telefonów, e-maili, adresów do wysyłki zamówienia, rodzaju usług zamówionych / zrealizowanych, a który to zakres w mojej ocenie nie pozwalałby na poważne, rzeczywiste naruszenie praw i wolności naszych klientów” nie usprawiedliwia tak znaczącego przekroczenia terminu 72 godzin, o którym mowa powyżej. Co więcej, w przedmiotowej sprawie administrator mógł bez większych przeszkód wywiązać się z dochowania terminu, korzystając z możliwości sukcesywnego dokonywania zgłoszenia, o którym mowa w wytycznych Grupy Roboczej Art. 29.
Działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisów art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 w związku z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i ust. 2, a także art. 33 ust. 1 rozporządzenia 2016/679.
Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne - oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Określenie charakteru naruszenia polega na ustaleniu, który przepis rozporządzenia 2016/679 został naruszony i zakwalifikowaniu naruszenia do właściwej kategorii naruszonych przepisów, tj. wskazanych w art. 83 ust. 4 rozporządzenia 2016/679 lub/oraz w art. 83 ust. 5 i 6 rozporządzenia 2016/679. Na ocenę wagi naruszenia (np. niską, średnią lub znaczną), wskazywać będą charakter naruszenia, jak również „zakres, cel danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody”. Z celem przetwarzania danych osobowych wiąże się określenie, w jakim stopniu przetwarzanie spełnia dwa kluczowe elementy zasady „ograniczonego celu”, tj. określenie celu i zgodnego zastosowania przez administratora. Przy wyborze środka naprawczego organ nadzorczy uwzględnia, czy szkoda została lub może zostać poniesiona z powodu naruszenia rozporządzenia 2016/679, chociaż sam organ nadzorczy nie jest właściwy do przyznania szczególnego odszkodowania za poniesioną szkodę. Zakreślając czas trwania naruszenia można stwierdzić, że zostało ono niezwłocznie usunięte, trwało krótko lub długo, co w konsekwencji pozwala na ocenę np. celowości czy też skuteczności działań administratora. Grupa Robocza Art. 29 w wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679 przyjętych 3 października 2017 r. odnosząc się do umyślnego lub nieumyślnego charakteru naruszenia wskazała, że zasadniczo „umyślność” obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego, podczas gdy „nieumyślność” oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora/podmiot przetwarzający obowiązku staranności wymaganego prawem. Umyślne naruszenia są poważniejsze niż te nieumyślne, a w konsekwencji częściej wiążą się z nałożeniem administracyjnej kary pieniężnej.
Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie Administratorowi upomnienia. Za okoliczność łagodzącą, która za tym przemawia, Prezes UODO uznał, że Administrator podjął szereg działań naprawczych w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia poprzez wdrożenie dodatkowych rozwiązań gwarantujących zabezpieczenie strony internetowej. Ponadto, Administrator zgłosił ostatecznie do Prezesa UODO naruszenie ochrony danych osobowych. Na podstawie okoliczności wskazanej sprawy brak jest również podstaw do uznania, że osoby, których dane dotyczą, poniosły jakąkolwiek szkodę na skutek tego naruszenia.
Naruszenie dotyczy więc jednorazowego zdarzenia, a zatem nie mamy do czynienia z systematycznym działaniem lub zaniechaniem, które stanowiłoby poważne zagrożenie dla praw osób, których dane osobowe są przetwarzane przez Administratora. Powyższe okoliczności uzasadniają udzielenie Administratorowi upomnienia za stwierdzone naruszenie, co zapewni także, aby w przyszłości podobne zdarzenia nie miały miejsca. Niemniej jednak, gdyby podobne zdarzenie powtórzyło się w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.