PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 16 maja 2023 r.

Decyzja

DKN.5131.56.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000 ze zm.), art. 7 ust. 1 oraz art. 60, art. 102 ust. 1 pkt 1 i ust. 3 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. d) i lit. i), art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 art. oraz 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Burmistrza Miasta Z. (Urząd Miasta Z., ul. [...]), Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez Burmistrza Miasta Z. (Urząd Miasta Z., ul. [...]), art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej jako rozporządzenie 2016/679, polegające na doborze nieskutecznych zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych oraz braku odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia:
1) nakazuje Burmistrzowi Miasta Z. dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, w terminie 30 dni od dnia doręczenia niniejszej decyzji,
2) nakłada na Burmistrza Miasta Z. (Urząd Miasta Z., ul. [...]) za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 administracyjną karę pieniężną w kwocie 30 000 złotych (słownie: trzydziestu tysięcy złotych).

Uzasadnienie

Burmistrz Miasta Z. (Urząd Miasta Z., ul. [...]), zwany również Administratorem lub Burmistrzem, (…) czerwca 2022 r. dokonał Prezesowi Urzędu Ochrony Danych Osobowych, zwanemu dalej także Prezesem UODO, zgłoszenia naruszenia ochrony danych osobowych, do którego doszło (…) czerwca 2022 r.

Administrator wskazał, że naruszenie ochrony danych osobowych polegało na: „(…) blokada dostępu przez sieć wewnętrzną dostępu do serwera przez użytkowników końcowych (…)”. W dalszej części formularza „Zgłoszenia naruszenia ochrony danych osobowych” Burmistrz wskazał, że „(…) złośliwe oprogramowanie L. umieściło plik tekstowy w każdym folderze z informacją o okupie (…)”. Naruszenie dotyczyło około 9400 osób. Administrator wskazał, że kategorie danych osobowych, które zostały naruszone to: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, numer telefonu, wizerunek.

Prezes UODO przeprowadził postępowanie wyjaśniające w sprawie zgłoszonego naruszenia (zarejestrowane pod sygn.: […]), a następnie wszczął z urzędu w dniu (…) listopada 2022 r. postępowanie administracyjne w zakresie możliwości naruszenia przez Burmistrza, jako administratora danych, obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenie 2016/679.

Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego w sprawie zgłoszonego naruszenia ochrony danych osobowych oraz postępowania administracyjnego ustalił następujący stan faktyczny.

1) Pismem z (…) czerwca 2022 r., Administrator przekazał organowi nadzorczemu wyjaśnienia, w których wskazał m.in., że:
- naruszenie ochrony danych osobowych zostało spowodowane atakiem ransomware na skutek wykorzystania podatności istniejącej w systemie teleinformatycznym,
- prawdopodobnie nie doszło do utraty poufności danych osobowych, ale na dzień sporządzenia odpowiedzi nie był w stanie tego stwierdzić,
- nie zwracał się do operatora świadczącego usługi dostępu do Internetu z zapytaniem, czy nastąpiło nieuzasadnione pobieranie danych z Urzędu Miejskiego w Z.,
- trwały prace nad odzyskaniem danych z kopii zapasowej (do dnia sporządzenia pisma z […] czerwca 2022 r. Administrator odzyskał około 80% danych),
- przeprowadził analizę wszystkich procesów przetwarzania danych osobowych, w tym również procesu, w którym doszło do naruszenia (analiza ryzyka została załączona do ww. pisma),
- harmonogram tworzenia kopii zapasowych określony został w (…) Zarządzenia Burmistrza Miasta Z. nr (…) z dnia (…) stycznia 2019 r. w sprawie (…),
- serwer, na którym były przetrzymywane kopie zapasowe uległ awarii,
- na serwerze codziennie są automatycznie aktualizowane sygnatury wirusów (informatyk Urzędu Miasta Z. sprawdza, czy nastąpiła aktualizacja).

Ponadto, w piśmie z (…) czerwca 2022 r. Administrator wymienił, jakie środki techniczne i organizacyjne zostały przez niego zastosowane przed wystąpieniem przedmiotowego naruszenia. Burmistrz wskazał, że w zakresie zastosowanych środków organizacyjnych przeprowadził szkolenia pracowników oraz wprowadził:
- procedurę zarządzania ryzykiem i cyberbezpieczeństwem,
- instrukcję zarządzania systemem informatycznym,
- regulamin ochrony danych osobowych,
- politykę bezpieczeństwa informacji i ochrony danych osobowych,
- politykę zarządzania ryzykiem utraty bezpieczeństwa danych.

Z kolei w zakresie środków technicznych zastosowanych przed wystąpieniem przedmiotowego naruszenia, Administrator wyjaśnił, że: „(…)
a) Dostęp do systemu operacyjnego serwera zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem indywidualnego identyfikatora użytkownika oraz hasła;
b) Użyto system F. do ochrony dostępu do sieci komputerowej;
c) Stosowane są różne narzędzia do ochrony przed złośliwym oprogramowaniem, takie jak:
a. skaner podatności;
b. system monitorowania zdarzeń;
c. zabezpieczenia antywirusowe;
d. analiza i ochrona połączeń do stron internetowych;
d) Tworzone są kopie zapasowe.
e) Oprogramowanie antywirusowe (…)”.

Ponadto, w piśmie z (…) czerwca 2022 r. Burmistrz wskazał, że po stwierdzeniu naruszenia podjął następujące czynności:
- odłączenie od sieci serwera,
- przeskanowanie komputerów i serwera programem antywirusowym,
- wszczęcie procedury zakupu X, sprzętu i oprogramowania do wykonywania automatycznych kopii zapasowych.

Wraz z pismem z (…) czerwca 2022 r. Administrator przekazał m.in. „Arkusz (…)”.

2) Pismem z (…) lipca 2022 r. Administrator wskazał m.in, że „(…) oprogramowanie Y. zakupiono w dniu […].07.2022 i zainstalowano na wszystkich stacjach roboczych. Ponadto jesteśmy w trakcie zakupu:

  • Serwera D.
  • Zapory sieciowej X. F., licencja i wsparcie 2 lata
  • UPS do serwerowni A. zasilacz UPS T.
  • Serwera typu H. do kopii zapasowych Q.
  • Oprogramowania wymuszającego backup F.

Planowane wdrożenie sierpień - wrzesień 2022 r.

W dniu […].07.2022 r. wszyscy pracownicy Urzędu przeszli szkolenie z zakresu cyberbezpieczeństwa. Jesteśmy, także w trakcie opracowywania i aktualizacji procedur
dotyczących:

  • wykonywania i weryfikacji/ testowania kopii bezpieczeństwa;
  • aktualizacji oprogramowania;
  • odtworzenia systemu informatycznego;
  • przeprowadzania analizy ryzyka;
  • harmonogramu czynności kontrolnych/ audytowych;

(planowany termin wdrożenia sierpień 2022 r.) (…)”.

Ponadto w ww. piśmie Burmistrz wskazał, że:
- oprogramowanie wykorzystane do ataku ransomware to L.,
- podatnością systemu informatycznego wykorzystaną do przeprowadzania ataku była niezaktualizowana baza danych wirusów,
- na serwerze w czasie wystąpienia naruszenia zainstalowane było oprogramowanie R., W. z poprawkami,
- dane odtwarzane są z kopii zapasowej oraz dokumentacji papierowej (powodem trudności w ich odzyskaniu są zaszyfrowane kopie zapasowe),
- planowany termin pełnego odtworzenia danych to sierpień 2022 r.,
- kopie zapasowe również zostały zaszyfrowane,
- Administrator odzyskuje kopie zapasowe z okresu 2019, 2020, 2021 r.

Do pisma z (…) lipca 2022 r. Administrator załączył m.in.:
- „Załącznik do zarządzenia (…) Burmistrza Miasta Z. z dnia (…) stycznia 2019 r. Wykaz (…)”,
- „Zarządzenie nr (…) Burmistrza Miasta Z. z dnia (…) stycznia 2019 r. w sprawie (…)”.

3) Administrator pismem z (…) sierpnia 2022 r. wyjaśnił, że „(…) zwrócił się do podmiotu świadczącego usługi dostępu do internetu. Z informacji otrzymanych od operatora wynika, iż w dniach poprzedzających atak (do czasu odłączenia od sieci) nie zaobserwowano zwiększonego ruchu sieciowego sugerującego wyprowadzenie danych (…) Po przeprowadzeniu analizy zdarzeń związanych z atakiem ransomwere administrator stwierdził, iż nie doszło do utraty poufności oraz integralności danych osobowych. Odzyskane dane nie uległy nieautoryzowanym zmianom, zachowały swoją spójność, dokładność i wiarygodność (…) Program z niezaktualizowana bazą wirusów to M. (…) Dane odtwarzane były z kopii z okresu 2019, 2020 i 2021 r. (…)” . Wraz z ww. pismem Burmistrz załączył:
- „Arkusz (…)” – wykonanej po wystąpieniu naruszenia ochrony danych osobowych,
- potwierdzenie zakupu (faktura) „Y.– zakup licencji ma 3 lata dla 63 stacji”,
- potwierdzenie przeprowadzenia szkolenia personelu z cyberbezpieczeństwa,
- „Instrukcję (…)” stanowiącą załącznik do zarządzenia (…) Burmistrza Miasta Z. z dnia (…) sierpnia 2022 r.,
- „Harmonogram (…)” z (…) sierpnia 2022 r.

4) Pismem z (…) grudnia 2022 r. Administrator wyjaśnił, że wszystkie dane zaszyfrowane w wyniku ataku ramsomware zostały odzyskane do (…) sierpnia 2022 r. Dane zostały przywrócone z kopii zapasowych oraz dokumentacji papierowej. Ponadto Burmistrz wskazał, że „(…) wdrożył następujące środki organizacyjno-techniczne w celu zminimalizowania ryzyk związanych z naruszeniem ochrony danych osobowych, tj.:

  • stworzono etat na zatrudnienie dodatkowego informatyka (od […].08.2022 r.);
  • Zarządzeniem Burmistrza Miasta Z. Nr (…) wdrożono instrukcję Zarządzania systemem informatycznym uwzględniającą m.in.: procedury tworzenia kopii zapasowych, weryfikacji i testowania tychże kopii, zasady korzystania z internetu, poczty e-mail, tworzenia oraz zmiany haseł do systemów;
  • informatycy [2 osoby] sprawują stały nadzór nad przebiegiem aktualizacji systemów antywirusowych oraz systemem kopii zapasowych, w tym testowanie kopii;
  • wymuszono zmiany wszystkich haseł, zmieniono hasła do wszystkich kont, w tym do kont administracyjnych;
  • informatycy Urzędu uczestniczą w szkoleniach on-line przeprowadzanych przez ekspertów Naukowej i Akademickiej Sieci Komputerowej Państwowego Instytutu Badawczego;
  • w ramach zadania zleconego przez Ministra Cyfryzacji pn. <Działania prewencyjno- edukacyjne z zakresu cyberbezpieczeństwa dla przedstawicieli jednostek samorządu terytorialnego w województwie (…)> kadra kierownicza Urzędu [Burmistrz, Zastępca Burmistrza, Sekretarz, Skarbnik, Kierownik Urzędu Stanu Cywilnego] dnia […].11.2022 r. uczestniczyli w indywidualnym szkoleniu w zakresie cyberbezpieczeństwa;
  • zaimplementowano oprogramowanie antywirusowe Y. na wszystkich stacjach roboczych [do dnia […].07.2022 r.]
  • trwa procedura przetargowa dotycząca niżej wymienionego sprzętu:
    Serwer D.;
    Zapora sieciowej X. F., licencje i wsparcie 2 lata;
    UPS do serwerowni A.;
    Serwer typu H. do kopii zapasowych Q.;

Dnia […].11.2022 r. ogłoszono już 5 postępowanie przetargowe na zakup w/w sprzętu – poprzednie zostały unieważnione ze względu na zbyt wysoką cenę lub brak ofert. W aktualnym postępowaniu oferty można składać do dnia […].12.2022 r., natomiast termin dostawy określono na 90 dni od dnia podpisania umowy (…)”.

5) W odpowiedzi na pismo Prezesa UODO z (…) marca 2023 r. informujące Burmistrza o zgromadzeniu materiału dowodowego wystarczającego do wydania decyzji administracyjnej, Administrator w piśmie z (…) marca 2023 r. wskazał, że „(…) 1. Uzyskano dostęp do wszystkich danych; 2. Na podstawie zebranych dowodów nie stwierdzono wycieku danych osobowych; 3. Nie odnotowano żadnych zgłoszeń podmiotów danych wskazujących na poniesienie szkód w związku z naruszeniem; 4. Dokonano modernizacji sprzętu i oprogramowania służącego bezpieczeństwu przetwarzanych danych osobowych (zakupiono i w większości zaimplementowano sprzęt wymieniany w poprzednich pismach do PUODO); 5. Wdrożono procedury zapewniające wysokie standardy bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych; 6. Przeprowadzono szkolenia personelu w zakresie ochrony danych osobowych i cyberbezpieczeństwa; 7. W ramach regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania dokonywane są cykliczne audyty oraz analizy ryzyka (…)”.

Organ nadzorczy dokonał oceny materiału dowodowego pod kątem zbadania jego wiarygodności i mocy dowodowej. Prezes UODO uznał przeważającą większość przedłożonych przez Administratora dowodów za wiarygodne. Za powyższym przemawia fakt, że w większości wyjaśnienia Burmistrza są logiczne, spójne i korelują z całością materiału dowodowego. Prezes UODO nie dał wiary jedynie wyjaśnieniom Burmistrza dotyczącym aktualizacji bazy wirusów przez informatyka zawartym w piśmie z (…) czerwca 2022 r. Powodem odmówienia wiarygodności wyjaśnień Burmistrza w tym zakresie jest fakt, że są one sprzeczne z dalszymi wyjaśnieniami Administratora dotyczącymi tej kwestii. Jak bowiem wynika z całości zgromadzonego materiału dowodowego, przyczyną wystąpienia ataku ransomware była niezaktualizowana baza wirusów – co w dalszych wyjaśnieniach przyznał sam Administrator, wskazując w piśmie z (…) lipca 2022 r., że podatnością systemu informatycznego wykorzystaną do przeprowadzania ataku była niezaktualizowana baza danych wirusów.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  (Dz.U. z 2019 r. poz. 1781) - zwanej dalej: ustawą z dnia 10 maja 2018 r., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.

Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, stanowią dalsze przepisy tego aktu prawnego. Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się  z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Wskazane przepisy uszczegóławiają zasadę poufności określoną  w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.

Biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez Burmistrza, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, a także działań zmierzających do optymalnej konfiguracji wykorzystywanych systemów operacyjnych przez regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych w postaci testów bezpieczeństwa w zakresie infrastruktury informatycznej oraz aplikacji. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia.

Ze zgromadzonego materiału dowodowego wynika, że Burmistrz przeprowadził analizę ryzyka zarówno przed, jak i po wystąpieniu naruszenia ochrony danych osobowych. W dalszej części niniejszej decyzji zostaną wskazane te ryzyka, które Administrator przewidział, a które mają związek z przedmiotowym naruszeniem.

Jak wynika z załączonej do wyjaśnień analizy ryzyka dokonanej (…) maja 2022 r. (tj. przed wystąpieniem naruszenia ochrony danych osobowych), Administrator przewidział ryzyko (numer ryzyka R8), które określił w następujący sposób: „(…) Ataki na sprzęt - Włamania do urządzeń nieaktualizowanych, nieodpowiednio skonfigurowanych, nieaktualizowane oprogramowania (…)”. Opisał także podatność dla tego ryzyka: „(…) Ataki na urządzenia sieciowe oraz błędnie skonfigurowany sprzęt lub sprzęt działający z ustawieniami fabrycznymi. Pozostawienie domyślnych haseł, dostępu do strony konfiguracyjnej routera z poziomu Internetu. Brak aktualizacji oprogramowania (firmware) skutkuje podatnością na włamania, kradzież danych, zakłócanie pracy. Atak z wykorzystaniem znanych dziur w niezaktualizowanym oprogramowaniu (…)”. Z kolej jako uzasadnienie oceny zabezpieczeń wskazano: „(…) procedura zabezpieczenia systemu informatycznego, testy penetracyjne, obsługa informatyczna, aktualizacja oprogramowania zgodnie z zaleceniami producentów oraz opinią rynkową co do bezpieczeństwa i stabilności nowych wersji (…)”. Administrator przewidział małe prawdopodobieństwo materializacji tego ryzyka. W analizie ryzyka, przeprowadzonej po wystąpieniu naruszenia, ww. ryzyko również zostało uwzględnione i, tak jak poprzednio, Administrator przewidział małe prawdopodobieństwo materializacji tego ryzyka.

Burmistrz przewidział także ryzyko związane z atakiem ransomware (nr ryzyka R11), opisując podatność w następujący sposób: „(…) Ransomware - Program do szyfrowania plików. Instaluje się z maili lub z hiperlinków w mailach lub poprzez odwiedziny zainfekowanej strony. Są też znane przypadki infekcji poprzez sieć lokalną. Odszyfrowanie wymaga zapłaty (…)”. Jako uzasadnienie oceny zabezpieczeń wskazano: „(…) nie są wykonywane testy w celu sprawdzenia poprawności wykonywania kopii zapasowych oraz sprawdzenia przydatności tworzonych kopii podczas próby symulowanego przywrócenia i uruchomienia oprogramowania dziedzinowego po przywróceniu. Szkolenia personelu. Regulamin ODO. Systemy antywirusowy i antyspamowy. Sewery proxy i bramki filtrujące: blokada ruchu na podstawie bazy reputacji, blokada dostępu do określonych stron (…)”. Administrator przewidział średnie prawdopodobieństwo materializacji tego ryzyka. Po wystąpieniu naruszenia ochrony danych osobowych, w przypadku ww. ryzyka, Administrator dokonał zmian w analizie ryzyka wskazując, że są „(…) wykonywane testy w celu sprawdzenia poprawności wykonywania kopii zapasowych oraz sprawdzenia przydatności tworzonych kopii podczas próby symulowanego przywrócenia i uruchomienia oprogramowania dziedzinowego po przywróceniu (…)”. W następstwie czego nastąpiła redukcja przewidzianego poziomu ww. ryzyka – po zmianie Administrator przewidział małe prawdopodobieństwo jego materializacji.

Co więcej, w analizie ryzyka przeprowadzonej przed wystąpieniem naruszenia ochrony danych osobowych, Burmistrz zidentyfikował ryzyko (numer ryzyka 21), które określił jako „Kopie zapasowe baz danych”, ale – jak wynika z tej analizy – nie przewidziano procedur tworzenia kopii zapasowych, nie był wykonywany regularny backup serwerów, aplikacji, plików, konfiguracji, a także nie były przeprowadzane testy możliwości odtworzenia kopii. Prawdopodobieństwo materializacji tego ryzyka określono jako wysokie.

W zmienionej po wystąpieniu naruszenia ochrony danych osobowych analizie ryzyka w przypadku zagrożenia o nr R21 wskazano, że „(…) jest wykonywany regularny backup serwerów /aplikacji/ plików/ konfiguracji testowanie możliwości odtworzenia kopii (…)”. Ponadto, w przypadku ww. zagrożenia Administrator wskazał, że zmianie uległo prawdopodobieństwo materializacji ryzyka i określił je jako małe.

Z powyższego wynika, że Burmistrz był świadomy możliwości utraty dostępu do przetwarzanych danych osobowych na skutek ataku ransomware. Przyczyną wystąpienia naruszenia ochrony danych osobowych była, po pierwsze, nierzetelnie przeprowadzona analiza ryzyka (szczególnie w zakresie wykonywania kopii zapasowych), po drugie, niepełne wdrożenie środków technicznych i organizacyjnych gwarantujących bezpieczeństwo w procesie przetwarzania danych osobowych, które dokonana analiza ryzyka przewidywała. Efektem powyższego było zmaterializowanie się ryzyka, w wyniku którego nastąpiło przełamanie zabezpieczeń systemu informatycznego Administratora wykorzystywanego przez niego do przetwarzania danych osobowych, a następnie zaszyfrowanie przetwarzanych w nim danych z wykorzystaniem złośliwego oprogramowania.

Jednym z istotnych elementów mających wpływ na bezpieczeństwo danych osobowych jest zapewnienie, aby wykorzystywane do przetwarzania danych osobowych oprogramowanie posiadało najnowszą wersję udostępnioną przez jego producenta. Instalacja najnowszych aktualizacji powinna odbywać się na bieżąco, z chwilą ich pojawienia się. Dzięki temu Administrator zapewnia, że takie oprogramowanie posiada wszystkie wydane przez producenta aktualizacje, w tym aktualizacje dotyczące zabezpieczeń i poprawek mających wpływ na bezpieczeństwo. Jak wynika ze złożonych wyjaśnień, przedmiotowe naruszenie ochrony danych osobowych zostało spowodowane atakiem ransomware na skutek wykorzystania podatności istniejącej w systemie teleinformatycznym, którą była niezaktualizowana baza wirusów programu M. Co więcej, z przedłożonych wyjaśnień wynika, Administrator jako system operacyjny zainstalowany na serwerze w czasie wystąpienia naruszenia ochrony danych osobowych wykorzystywał T. Wskazać należy, że ww. system stracił wsparcie producenta w dniu (…) stycznia 2020 r. (https://[...]) Zgodnie z informacją podaną na stronie internetowej producenta, od (…) stycznia 2020 r. nie było żadnych dodatkowych lokalnych bezpłatnych aktualizacji zabezpieczeń, aktualizacji niezwiązanych z bezpieczeństwem, bezpłatnej opcji pomocy technicznej oraz aktualizacji zawartości technicznej online.

W tym kontekście należy wskazać, że korzystanie z systemów informatycznych służących do przetwarzania danych osobowych po zakończeniu wsparcia technicznego przez ich producenta w sposób istotny obniża ich poziom bezpieczeństwa. Brak wbudowanych oraz aktualizowanych zabezpieczeń zwiększa w szczególności ryzyko infekcji za pomocą złośliwego oprogramowania oraz ataków poprzez powstawanie nowych luk w zabezpieczeniach. Systemy te stają się bardziej podatne na cyberataki, m.in. typu ransomware blokujące dostęp do danych oraz żądające okupu za ich odzyskanie.

W tym miejscu wskazać należy na nieścisłości w złożonych przez Burmistrza wyjaśnieniach. W piśmie z (…) czerwca 2022 r. Administrator wskazał, że „(…) na serwerze codziennie są automatycznie aktualizowane sygnatury wirusów, informatyk sprawdza czy nastąpiła aktualizacja (…)”. Jednakże z kolejnych wyjaśnień Burmistrza zawartych w pismach z (…) lipca 2022 r. oraz (…) sierpnia 2022 r. wynika, że podatnością systemu informatycznego, która została wykorzystana do przeprowadzania ataku ransomware była niezaktualizowana baza wirusów programu M. Powyższe oznacza, że Administrator nie miał pełnej kontroli nad bezpieczeństwem procesu przetwarzania danych osobowych.

Jak już wyżej omówiono, Administrator przed wystąpieniem naruszenia ochrony danych osobowych zidentyfikował ryzyko związane z wykorzystywaniem nieaktualnego oprogramowania (nr ryzyka R8), ale pomimo opisania jako środka bezpieczeństwa dokonywanie aktualizacji oprogramowania zgodnie z zalecaniami producentów oraz opinią rynkową co do bezpieczeństwa i stabilności nowych wersji, Burmistrz nie aktualizował wykorzystywanego oprogramowania. Co więcej, analiza ryzyka dokonana przez Administratora przed wystąpieniem naruszenia ochrony danych osobowych zakładała co prawda aktualizację programu antywirusowego (jako środek bezpieczeństwa w przypadku ryzyka nr R11 – ataki ransomware), ale Burmistrz zlekceważył możliwość materializacji ryzyka i nie zastosował się do procedur, które sam określił. Wskazać ponadto należy, że Administrator w przeprowadzonej analizie ryzyka nie przewidział ryzyka związanego z używaniem oprogramowania serwera, które utraciło wsparcie producenta, a w konsekwencji nie określono żadnych środków minimalizujących to ryzyko. Powyższe świadczy w sposób jednoznaczny, że Administrator przy dokonywaniu oceny stopnia bezpieczeństwa w związku z przeprowadzaną analizą ryzyka nie wziął pod uwagę wszystkich ryzyk wiążących się z przetwarzaniem danych osobowych, czego od niego wymaga art. 32 ust. 2 rozporządzenia 2016/679. Przesądza to o naruszeniu przez Administratora tego przepisu rozporządzenia 2016/679.

W związku z przełamaniem zabezpieczeń systemów informatycznych Burmistrza zaszyfrowane zostały dane, w tym dane osobowe, w wyniku czego nastąpiła utrata dostępności do baz danych Administratora. Jak wynika ze zgromadzonego materiału dowodowego zaszyfrowane zostały również kopie zapasowe. Administrator w piśmie z (…) czerwca 2022 r. wskazał, że „(…) harmonogram tworzenia kopii zapasowych określony został w (…) Zarządzenia Burmistrza Miasta Z. nr (…) z dnia (…) stycznia 2019 r. w sprawie (…). Serwer, na którym były przetrzymywane kopie zapasowe uległ awarii (…)”. Zgodnie z (…) Zarządzenia Burmistrza Miasta Z. nr (…) z dnia (…) stycznia 2019 r. (dokument ten został załączony do wyjaśnień Administratora) „(...) kopia baz danych jest wykonywana raz w tygodniu, jest ona dodatkowo kopiowana na inny serwer w celu zabezpieczenia baz danych [harmonogram wykonywania kopii] (…)”. Biorąc zatem pod uwagę powyższe, tj. zaszyfrowanie kopii zapasowej i awarię serwera, na którym kopie zapasowe były przetrzymywane, Burmistrz był zmuszony do odtwarzania danych również na podstawie dokumentacji papierowej. W następstwie powyższego, Administrator nie był w stanie sprawnie i w relatywnie krótkim czasie odtworzyć zaszyfrowanych danych (kompletne dane zaszyfrowane w wyniku ataku ransomware zostały odzyskane przez Burmistrza dopiero […] sierpnia 2022 r.) i przywrócić ich dostępności. Biorąc pod uwagę datę zaistnienia/rozpoczęcie naruszenia (tj. […] czerwca 2022 r.) ograniczenie dostępności trwało niemalże trzy miesiące.

Należy również zauważyć, że obowiązujące u Administratora (przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych) zasady tworzenia kopii zapasowych oraz praktyka wykonywania tej kopii nie zapewniały realizacji obowiązków wynikających z art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679, tj. zdolności do ciągłego zapewnienia dostępności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Przede wszystkim, jak ustalono, kopie zapasowe baz danych wykonywane były raz w tygodniu a dodatkowa kopia wykonywana była na inny serwer. Jak wynika z przedłożonych wyjaśnień, serwer na którym miała być wykonana dodatkowa kopia, danych uległ awarii, co uniemożliwiło szybkie odtworzenie znajdujących się na nim danych.

Odpowiednie zmiany wprowadzono dopiero po naruszeniu ochrony danych osobowych. W pierwszej kolejności podkreślić należy, że (…) sierpnia 2022 r. wydano zarządzenie nr (…) Burmistrza Miasta Z. w sprawie wprowadzenia „Instrukcji (…)”. W instrukcji, o której mowa wyżej, wskazano, że znajduje ona zastosowanie do „(…) systemów informatycznych stosowanych w Urzędzie Miasta Z., w których są przetwarzane dane osobowe. Przyjęta przez Administratora Danych Osobowych (ADO) do stosowania stanowi obowiązujący wszystkich pracowników i współpracowników dokument. Nadzór nad stosowaniem niniejszej instrukcji sprawuje Administrator Systemów Informatycznych (ASI) wyznaczony w Urzędzie, którego zadaniem jest zarządzanie systemami informatycznymi Urzędu, w tym w szczególności wykorzystywanymi do przetwarzania danych osobowych, zapewnienia bezpieczeństwa danych osobowych w systemach informatycznych, współpraca przy przygotowaniu, wdrażaniu oraz respektowaniu przez pracowników dokumentacji zarządzania systemem informatycznym i ochrony danych osobowych, współpraca podczas przeprowadzania procesu analizy ryzyka dla zarządzanego systemu oraz zapewnienia ciągłości działania systemu (…)”. Omawiana instrukcja sankcjonuje obszary działalności Administratora, w których dopuścił się on zaniedbań, w następstwie których doszło do naruszenia ochrony danych osobowych. Dokument reguluje zatem między innymi kwestie związane z zasadami tworzenia kopii zapasowych, procedury testowania kopii oraz ochrony antywirusowej. W omawianym dokumencie wskazuje się, że „(…) na potrzeby zachowania ciągłości działania systemów informatycznych i utrzymania integralności danych wykonuje się kopie zapasowe zbiorów danych. Zadanie to realizowane jest codziennie w dni robocze. Kopie awaryjne są wykonywane automatycznie przez dedykowane oprogramowanie codziennie o godz. 15.15 - kopia lokalna , a pomiędzy godz. 8.00 a 13.00 kopia na zewnętrzny serwer. Poza godzinami pracy Urzędu według ustalonego harmonogramu. Harmonogram zawiera informacje jakie zasoby i systemy są kopiowane. Kopie tworzone są przyrostowo. Kopie trafiają na zewnętrzny serwer, oraz lokalnie i dodatkowo na klucz USB (…)”. W instrukcji określono również zakres tworzenia kopii zapasowych wskazując, że obejmuje ona bazy danych zlokalizowane na serwerach, pliki i katalogi na serwerach, systemy operacyjne serwerów. Zgodnie z postanowieniami ww. dokumentu „(…) kopie zapasowe testowane są co najmniej raz w miesiącu. Polega to na testowym odtworzeniu zawartości kopii na innym urządzeniu. ASI sporządza notatkę po każdym teście. Po stwierdzeniu nieprzydatności kopii zapasowych zbiorów nośnik zostaje pozbawiony danych lub wybrakowany według procedury niszczenia nośników danych (…)”. Instrukcja wprowadzona przez Administratora reguluje również kwestię ochrony antywirusowej, wskazano w niej między innymi, że „(…) zidentyfikowanymi obszarami systemów informatycznych Urzędu narażonymi na ingerencję wirusów oraz innego szkodliwego oprogramowania są dyski twarde lub karty pamięci, urządzenia elektroniczne, nośniki informacji, dostęp do sieci publicznej, poczta e-mail (…) drogą przedostania się wirusów lub szkodliwego oprogramowania może być sieć publiczna, sieć lokalna lub elektroniczne nośniki informacji (…) stacje robocze, komputery przenośne, serwery muszą być objęte ochroną w czasie rzeczywistym, za pomocą oprogramowania antywirusowego oraz zapory firewall, zapewniających integralność zasobów przechowywanych i przetwarzanych w systemie informatycznym Urzędu (…) konfiguracja programu antywirusowego zapewnia ciągłe monitorowanie otrzymywanych i wysyłanych, a także uruchamianych plików pod kątem występowania oprogramowania złośliwego (…)”.

Wskazać należy, iż rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych. Zarządzanie ryzykiem ma charakter ciągłego procesu wymuszającego na administratorze danych nie tylko zapewnienie zgodności z przepisami rozporządzenia 2016/679 poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale także zapewnienie ciągłości monitorowania poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Wobec powyższego, koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma zatem przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiego podejścia jest konieczność samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie są wskazywane konkretne środki i procedury w zakresie bezpieczeństwa. Przeprowadzenie szczegółowej analizy prowadzonych procesów przetwarzania danych i dokonanie oceny ryzyka stanowi obowiązek Administratora, który następnie, na podstawie takiej analizy, powinien zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

Ze zgromadzonego materiału dowodowego wynika jednoznacznie, że wprowadzone przez Burmistrza środki techniczne i organizacyjne przed naruszeniem ochrony danych osobowych nie zapewniły odpowiedniego stopnia bezpieczeństwa danych przetwarzanych za pośrednictwem systemów informatycznych. Skutkowało to uniemożliwieniem zadziałania mechanizmów bezpieczeństwa. W świetle powyższego stwierdzić należy, że Burmistrz nie wdrożył środków technicznych i organizacyjnych w czasie przetwarzania danych osobowych, aby przetwarzanie to odbywało się zgodnie z rozporządzeniem 2016/679 i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, do czego był on zobowiązany zgodnie z art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679, jak również nie zastosował środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych poprzez zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, do czego zobowiązuje administratora danych art. 32 ust. 1 lit. b) rozporządzenia 2016/679, zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, o czym stanowi art. 32 ust. 1 lit. c) rozporządzenia 2016/679 oraz o niedokonaniu oceny, czy stopień bezpieczeństwa jest odpowiedni, przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych, obowiązek dokonania której wynika z art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji również o naruszeniu zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, której ww. przepisy są uszczegółowieniem. Jak bowiem wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 „(...) czynności o charakterze techniczno - organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych (…)”. Następstwem zaś naruszenia przez Administratora zasady poufności jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.

Podkreślić należy także, że wprowadzenie po naruszeniu ochrony danych osobowych przez Administratora zmian w obszarze zabezpieczeń systemu informatycznego wykorzystywanego przez Burmistrza nie zmienia negatywnej oceny organu nadzorczego tego aspektu procesu przetwarzania danych osobowych realizowanego przez Administratora, a stanowi jedynie przesłankę za odstąpieniem od nakazania Administratorowi dokonania zmian w tym obszarze celem dostosowania operacji przetwarzania danych do wymogów rozporządzenia 2016/679.

W odpowiedzi na wniosek organu nadzorczego o przekazanie pisemnych dowodów na dokonywanie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia (zarówno przed, jak i po wystąpieniu naruszenia ochrony danych osobowych), Administrator ograniczył się jedynie do wskazania, że „(…) na serwerze codziennie są automatycznie aktualizowane sygnatury wirusów [informatyk Urzędu Miasta Z. sprawdza czy nastąpiła aktualizacja] (…)” i mimo wezwania organu nadzorczego, Administrator nie przedstawił dowodu potwierdzającego wykonywanie ww. czynności. Podkreślić przy tym należy, że, to właśnie niezaktualizowana baza danych wirusów programu M. stanowiła podatność systemu informatycznego, która została wykorzystana do przeprowadzania ataku ransomware.

Co prawda, zgodnie z postanowieniami zawartymi w wykazie zastosowanych środków organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa danych osobowych na poziomie wysokim, stanowiącym załącznik do zarządzenia nr (…) Burmistrza Miasta Z. z dnia (…) stycznia 2019 r., zastosowano m.in. następujące środki techniczne służące właściwej ochronie danych osobowych:
- na wszystkich stacjach roboczych zainstalowane są programy antywirusowe, które są aktualizowane wg warunków licencyjnych,
- stosowany jest system monitorujący stan usług i zasobów krytycznych (serwerów/baz danych/urządzeń sieciowych),
- centralny monitoring zabezpieczeń programu antywirusowego.

Wskazać jednak należy, że przyjęte środki techniczne mające służyć właściwej ochronie danych osobowych w żaden sposób nie były przez Burmistrza testowane, mierzone i oceniane celem weryfikacji ich skuteczności (względnie: Administrator, mimo wezwania organu nadzorczego, nie przedstawił – zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679 – żadnych dowodów potwierdzających przeprowadzenie takich testów). Potwierdzeniem powyższego jest także sposób wykorzystania podatności systemu informatycznego do przeprowadzenia ataku ransomware.

Należy w konsekwencji zauważyć, że brak wykonywania testów przesądza o stwierdzeniu, że Administrator nie wypełnił swoich obowiązków wynikających z art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Testom nie były poddawane zabezpieczenia techniczne oraz organizacyjne w odniesieniu do systemów informatycznych wykorzystywanych do przetwarzania danych osobowych. W związku z powyższym Burmistrz nie był w stanie wykazać, ani stwierdzić, że zastosowane środki bezpieczeństwa posiadają znamiona wystarczalności. Wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych.

Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Natomiast w przedmiotowym stanie faktycznym uznać należy, że Administrator nie wywiązywał się należycie z nałożonego na niego obowiązku dotyczącego testowania mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.

Co więcej, Administrator nie przedstawił dowodu, że po wystąpieniu naruszenia ochrony danych osobowych dokonuje regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych. Na marginesie należy wskazać, że wprowadzona po wystąpieniu naruszenia „Instrukcja (…)” nie przewiduje dokonywania regularnego testowania mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Zgodnie z ww. dokumentem testowaniu podlegają jedynie kopie zapasowe danych osobowych, co nie wyczerpuje obowiązków Administratora w tym zakresie i przesadza o konieczności uznania naruszenia wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679.

Stanowiska organu nadzorczego w omówionej powyżej kwestii nie zmienia oświadczenie Administratora zawarte w piśmie z (…) marca 2023 r. (por. pkt 5 uzasadnienia faktycznego), w którym między innymi wskazano, że (…) w ramach regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania dokonywane są cykliczne audyty oraz analizy ryzyka (…)”. Powyższe oświadczenie Burmistrza w żaden sposób nie zostało poparte dowodami, do których złożenia Administrator już był wzywany. W tym kontekście jeszcze raz należy podkreślić, że testowanie, mierzenie i ocenianie skuteczności przyjętych środków bezpieczeństwa musi być także dokumentowane (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) – tymczasem Burmistrz na żadnym etapie postępowania administracyjnego, mimo wezwania organu nadzorczego, nie przedstawił w tym zakresie dowodu, a ograniczył się jedynie do oświadczenia, że dokonuje „cyklicznych audytów oraz analiz ryzyka”. Wobec powyższego, oświadczenie Administratora zawarte w ww. piśmie Prezes UODO uznał za niewystarczające. 

W świetle dokonanych w toku niniejszego postępowania ustaleń wskazać należy, że Burmistrz nie stosując środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, rezultatem czego było naruszenie ochrony danych osobowych zgłoszone Prezesowi UODO w dniu (…) czerwca 2022 r., naruszył art. 5 ust. 1 lit. f) rozporządzenia 2016/679, odzwierciedlony w postaci obowiązków określonych w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i art. 32 ust. 2. Konsekwencją zaś naruszenia art. 5 ust. 1 lit. f) rozporządzenia 2016/679 jest naruszenie zasady rozliczalności wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679. Jak wynik z orzeczenia WSA w Warszawie z dnia 10 lutego 2021 r., sygn. II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych .”  Podobnie kwestię zasady rozliczalności interpretuje WSA w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679.”

Mając powyższe na uwadze, a także treść art. 58 ust. 2 lit. d) rozporządzenia 2016/679, Prezes Urzędu Ochrony Danych Osobowych nakazał administratorowi dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wdrożenie środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze ustalenia stanu faktycznego, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego we wskazanym wyżej przepisie rozporządzenia 2016/679 stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Burmistrza Miasta Z. administracyjnej kary pieniężnej.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 -39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

W niniejszej sprawie administracyjna kara pieniężna wobec Burmistrza nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 - na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie kara nałożona na Burmistrza łącznie za naruszenie wszystkich powyższych przepisów - stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 - nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, którego skutkiem była utrata dostępności danych przetwarzanych przez Burmistrza, która nastąpiła w wyniku ataku ransomware, ma znaczną wagę i poważny charakter, stwarzała bowiem wysokie ryzyko negatywnych skutków prawnych dla dokładnie nieustalonej, potencjalnie dużej liczby osób (Administrator wskazał, że naruszenie ochrony danych osobowych dotyczy ok. 9400 osób). Administrator nie stwierdził co prawda naruszania poufności danych, wskazując, że „(…) prawdopodobnie nie doszło do utraty poufności danych osobowych, ale na dzień sporządzenia odpowiedzi nie był w stanie tego stwierdzić (…)”, ale z uwagi na brak możliwości wykazania przez  Administratora (zgodnie z zasadą rozliczalności) wykluczenia tego rodzaju naruszenia, należy przyjąć, iż występuje ryzyko, że do utraty poufności danych mogło jednak dojść. Należy w tym miejscu wziąć pod uwagę, że złośliwe oprogramowanie może przyczynić się do naruszenie poufności danych w następstwie przysyłania w dłuższym okresie czasu danych osobowych na zewnątrz organizacji Administratora w postaci niewielkich paczek danych, w taki sposób, aby wzrost ruchu sieciowego był niezauważalny. Natomiast do ataku ransomeware mogło dojść dopiero po przesłaniu danych osobowych na zewnątrz organizacji Administratora. Burmistrz z uwagi na przejęte przez siebie rozwiązania nie jest w stanie wykazać (zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679), że nie została naruszona poufność przetwarzanych przez niego danych osobowych.  

Naruszenie przez Burmistrza obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieuprawnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano. W tym miejscu podkreślenia wymaga, że Burmistrz jako organ wykonawczy samorządu terytorialnego (gminy), jest podmiotem zaufania publicznego, wobec którego należy oczekiwać zarówno znajomości przepisów, jak i właściwego ich stosowania, i tym samym wysokich standardów w zakresie bezpieczeństwa przetwarzanych danych.

Jednocześnie należy wskazać, że Administrator (jak wynika z dostarczonych przez niego wyjaśnień) odzyskał wszystkie zaszyfrowane dane dopiero w dniu (…) sierpnia 2022 r. Powyższe oznacza, że Burmistrz utracił dostęp do danych osobowych, które przetwarzał w związku z powierzonymi mu zadaniami, na okres od (…) czerwca 2022 r. do (…) sierpnia 2022 r.

W niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp mogły uzyskać osoby nieuprawnione, doznały szkody majątkowej. Niemniej jednak już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę); osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową. Zakładając nawet, że nie doszło do utraty poufności danych, należy wziąć pod uwagę, że Burmistrz utracił pełen dostęp do danych osobowych, które przetwarzał w związku z wykonywaniem powierzonych mu zadań. Wobec tego należy założyć, że wystąpiło ryzyko braku możliwości załatwienia spraw konkretnych osób (których dane zostały naruszone) w przewidzianym w odrębnych przepisach terminie, tzn. Burmistrz zamiast realizować swoje zadania w ustawowych terminach, korzystając przy tym z przetwarzanych danych osobowych (do których dostęp w wyniku naruszenia utracił) musiał najpierw odzyskać do nich dostęp.

Ponadto, publiczne zawiadomienie osób nie gwarantuje, że informacja dotarła do każdej osoby, do której powinna ona dotrzeć. Tym samym mogło dojść do sytuacji, w której osoby objęte naruszeniem, nie dysponując wiedzą o naruszeniu mogły nie podjąć działań mających im zapewnić choćby minimum poczucia bezpieczeństwa, poprzez zwiększenie ostrożności w posługiwaniu się własnymi danymi osobowymi.

2. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Administrator był świadomy, że w przypadku dopuszczenia przetwarzania danych osobowych w systemach informatycznych, powinien przetwarzać dane osobowe w taki sposób, aby zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed potencjalnym atakiem złośliwego oprogramowania, a wiec w taki sposób, aby zapewnić przestrzeganie zasady „integralności i poufności” wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Burmistrz, z uwagi na zakres działalności Urzędu, którym kieruje, był świadomy możliwości naruszenia ochrony danych osobowych w następstwie ataku ransomware, o czym świadczy chociażby przeprowadzona analiza ryzyka.

Należy w tym miejscu podkreślić, że istotny wpływ na wystąpienie przedmiotowego naruszenia miało rażące niedbalstwo organu samorządu terytorialnego. Burmistrz mimo świadomości zagrożenia dla bezpieczeństwa w procesie przetwarzania danych osobowych związanego z prawdopodobieństwem przeprowadzenia ataku ransomware podejmował działania w zakresie ochrony danych osobowych w sposób nierzetelny.

Tym samym, nieumyślnie naruszył przepisy o ochronie danych osobowych - art. 5 ust. 1 li. f) rozporządzenia 2016/679 w zw. z art. 24 ust. 1, 25 ust. 1, 32 ust. 1 i 2 rozporządzenia 2016/679 i w konsekwencji również art. 5 ust. 2 rozporządzenia 2016/679.

Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Administrator dopuścił się zaniedbania skutkującego wystąpieniem naruszenia ochrony danych osobowych, do którego doszło na skutek między innymi rażącego niedbalstwa i nierzetelności organu samorządu terytorialnego. Tak więc stanowi to istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej.

3. Kategorie danych osobowych, których dotyczyło naruszenie  (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe znajdujące się w zasobach Burmistrza, do których utracił on dostęp w następstwie ataku ransomware, nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich zakres, tj. nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, numer telefonu, wizerunek wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, że w szczególności fakt objęcia naruszeniem ochrony danych osobowych takich kategorii danych jak nr ewidencyjny PESEL wraz z imieniem i nazwiskiem, które jednoznacznie identyfikują osobę fizyczną, może realnie i negatywnie wpływać na ochronę praw lub wolności tej osoby. Wskazać należy, że numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Administratora z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków [art. 83 ust. 2 lit. f) rozporządzenia 2016/679]. Należy w tym miejscu wskazać, że poza prawidłowym wywiązywaniem się z ciążących na Burmistrzu obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji, Burmistrz w pełnym zakresie zrealizował zalecenia Prezesa UODO dotyczące uzupełnienia zawiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu.

Na fakt zastosowania wobec Burmistrza w niniejszej sprawie przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:

1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Działania Administratora ograniczyły się w tym zakresie wyłącznie do zawiadomienia osób o naruszeniu, poprzez publiczny komunikat, udostępniony na stronie internetowej Administratora. Komunikat ten stanowi jednak jedynie wypełnienie prawnego obowiązku wynikającego z art. 34 ust. 3 lit. c) rozporządzenia 2016/679, a jak stanowią Wytyczne Wp. 253 (w odniesieniu do przesłanki „sposobu, w jaki organ nadzorczy dowiedział się o naruszeniu”) „[z]wykłe dopełnienie [...] obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.

2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
W przyjętych w dniu 3 października 2017 r. Wytycznych Grupy Roboczej ds. Ochrony Danych Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 wskazano, że - rozpatrując tę przesłankę - „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator <zrobił wszystko, czego można by było oczekiwać>, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.

Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Burmistrza przepisów art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie „zrobił wszystkiego, czego można by było od niego oczekiwać”; nie wywiązał się tym samym z nałożonych na nią przepisami art. 25 i 32 rozporządzenia 2016/679 obowiązków.

W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia przepisów rozporządzenia 2016/679; nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Burmistrza administracyjnej kary pieniężnej.

3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).  
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.

4.Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie przepisów rozporządzenia 2016/679 w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.

5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym administrator nie miał obowiązku podejmowania żadnych  działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Burmistrz nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

7. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.

8. Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych, uznał, iż nałożenie administracyjnej kary pieniężnej na Burmistrza jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Burmistrzowi naruszeń. Stwierdzić należy, iż zastosowanie wobec Burmistrza jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Administrator w przyszłości nie dopuści się kolejnych zaniedbań.

Odnosząc się do wysokości wymierzonej Burmistrzowi administracyjnej kary pieniężnej, Prezes UODO uznał, iż w ustalonych okolicznościach niniejszej sprawy – tj. wobec stwierdzenia naruszenia kilku przepisów rozporządzenia 2016/679 (zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f), a odzwierciedlonej w postaci obowiązków określonych w art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji również art. 5 ust. 2 rozporządzenia 2016/679 (zasady rozliczalności) oraz faktu, iż Burmistrz jest organem jednostki sektora finansów publicznych – zastosowanie znajdzie art. 102 ust. 1 pkt 1) ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), z którego wynika ograniczenie wysokości (do 100.000 zł) administracyjnej kary pieniężnej, jaka może zostać nałożona na jednostkę sektora finansów publicznych.

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia  w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszająca.

Zdaniem Prezesa UODO nałożona na Burmistrza kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Burmistrz stosował będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność kary równoważna jest zatem gwarancji tego, iż Burmistrz od momentu zakończenia niniejszego postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.

Zastosowana administracyjna kara pieniężna jest również, proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, skutku, kręgu dotkniętych nim osób fizycznych oraz wysokiego ryzyka negatywnych konsekwencji, jakie w związku z naruszeniem mogą ponieść. Zdaniem Prezesa UODO, nałożona na Burmistrza administracyjna kara pieniężna nie będzie stanowiła nadmiernego dla niego obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej Administratora. Zdaniem Prezesa UODO, Burmistrz powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 30 000 zł (trzydziestu tysięcy złotych) jest w pełni uzasadnione.

W ocenie Prezesa UODO, administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Burmistrza przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszania obowiązków Administratora wynikających z przepisów o ochronie danych osobowych.

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 - zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.

Celem nałożonej kary jest doprowadzenie do przestrzegania przez Burmistrza w przyszłości przepisów rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Podmiot udostępniający: Departament Kontroli i Naruszeń
Wytworzył informację:
user Jan Nowak
date 2023-05-16
Wprowadził informację:
user Wioletta Golańska
date 2023-06-05 14:28:02
Ostatnio modyfikował:
user Edyta Madziar
date 2023-06-27 09:59:06