Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) w związku z art. 7, art. 60 oraz art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. d), e) oraz i), art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 34 ust. 1, 2 i 4 oraz art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Samodzielny Publiczny Zespół Opieki Zdrowotnej z siedzibą w P., ul. (…), Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez Samodzielny Publiczny Zespół Opieki Zdrowotnej z siedzibą w P., ul. (…), przepisów:

a)      art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu:

-        odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,

-        odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, skutkujące naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679);

b)     art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych,

1)      nakłada na Samodzielny Publiczny Zespół Opieki Zdrowotnej z siedzibą w P., za naruszenie art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 34 ust. 1 rozporządzenia 2016/679 administracyjną karę pieniężną w kwocie 40.000 zł (słownie: czterdzieści tysięcy złotych).

2)      nakazuje Samodzielnemu Publicznemu Zespołowi Opieki Zdrowotnej z siedzibą w P., ul. (…) zawiadomienie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, osób, których dane osobowe zaszyfrowane zostały na serwerach i innych urządzeniach Samodzielnego Publicznego Zespołu Opieki Zdrowotnej z siedzibą w P. na skutek naruszenia ochrony danych osobowych, do którego doszło w dniu 10 lutego 2022 r., o naruszeniu ich danych osobowych, w celu przekazania wymaganych informacji, zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:

a)    opisu charakteru naruszenia ochrony danych osobowych;

b)    imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c)    opisu możliwych konsekwencji naruszenia ochrony danych osobowych;

d)    opisu środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

3)      nakazuje Samodzielnemu Publicznemu Zespołowi Opieki Zdrowotnej z siedzibą w P., ul. (…), dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, w terminie 90 dni od dnia doręczenia niniejszej decyzji.

Uzasadnienie

Samodzielny Publiczny Zespół Opieki Zdrowotnej z siedzibą w P. (dalej jako: Administrator lub SPZOZ w P.) dokonał w dniu 16 lutego 2022 r. zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (dalej także jako: Prezes Urzędu) naruszenia ochrony danych osobowych, do którego doszło w dniu 10 lutego 2022 r. Powyższe naruszenie polegało na zaszyfrowaniu danych SPZOZ w P. przez złośliwe oprogramowanie typu „ransomware”. W konsekwencji Administrator został pozbawiony dostępu do danych przechowywanych na serwerach oraz (…), na których znajduje się baza danych SPZOZ w P.

Zakres danych osobowych objętych przedmiotowym naruszeniem, zgodnie ze zgłoszeniem naruszenia ochrony danych osobowych, obejmował imię i nazwisko, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr PESEL, nazwę użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, serię i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia.

Administrator wskazał, że na serwerach objętych naruszeniem ochrony danych osobowych znajdowały się dane 30331 pacjentów SPZOZ w P. oraz dane 1129 pracowników, zleceniobiorców i współpracowników SPZOZ w P.

Administrator wobec powyższego zdarzenia nie stwierdził wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, bowiem stosownie do jego ustaleń, dane znajdujące się na serwerach i maszynach wirtualnych objętych naruszeniem nie zostały wykradzione, odczytane lub udostępnione. Powyższe stwierdzono w wyniku ekspertyzy przeprowadzonej po wystąpieniu naruszenia ochrony danych osobowych, w ramach której ustalono, iż (…). Tym samym Administrator nie zawiadomił osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.

Pismami z dnia 17 lutego 2022 r., 8 sierpnia 2022 r., 2 listopada 2022 r., 14 marca 2023 r., 24 kwietnia 2023 r. i 14 grudnia 2023 r. Prezes Urzędu zwrócił się do SPZOZ w P. o złożenie wyjaśnień w niniejszej sprawie. Na podstawie zgłoszenia naruszenia ochrony danych osobowych oraz odpowiedzi udzielonych pismami z dnia 4 marca 2022 r., 12 sierpnia 2022 r., 14 listopada 2022 r., 27 marca 2023 r., 10 maja 2023 r. i 15 stycznia 2024 r. ustalono następujący stan faktyczny:

1. W dniu 10 lutego 2022 r. w Samodzielnym Publicznym Zespole Opieki Zdrowotnej stwierdzono naruszenie ochrony danych osobowych w postaci zaszyfrowania danych przechowywanych na serwerach oraz maszynach wirtualnych, na których znajduje się baza danych SPZOZ w P. Do ww. naruszenia doszło w nocy z 9 na 10 lutego 2022 r. Zostały zaszyfrowane dane na dyskach serwera (…), na których były przechowywane kopie bezpieczeństwa, a także dane na (…).

2. O sprawie, poza zgłoszeniem Prezesowi Urzędu zaistniałego zdarzenia, została zawiadomiona Policja. Postępowanie prowadzi Komenda Powiatowa Policji w P. wraz z Wydziałem (…) Komendy Wojewódzkiej Policji w (…). W toku prowadzonego postępowania Policja zabezpieczyła większość sprzętu informatycznego SPZOZ w P., w tym (…), co uniemożliwiało – w opinii Administratora – przeprowadzenie wewnętrznego postępowania wyjaśniającego.

3. W związku z zaistniałym zdarzeniem, SPZOZ w P. zlecił podmiotowi zewnętrznemu przeprowadzenie ekspertyzy, w celu podjęcia próby odszyfrowania danych w postaci (…) pochodzących z serwerów Administratora. Powyższa ekspertyza, datowana na dzień (…) lutego 2022 r. pozwoliła ustalić, że do zaszyfrowania doprowadziło oprogramowanie ransomware (…). Dalej, jak wynika z treści ekspertyzy, (…). Autorzy badania wskazali także, iż na chwilę obecną nie są dostępne narzędzia deszyfrujące dla oprogramowania (…) ransomware, jednakże narzędzia takie mogą stać się dostępne w przyszłości. W ocenie Administratora, powyższa ekspertyza wykazała również, że (…).

4. Administrator zlecił również podmiotowi zewnętrznemu przeprowadzenie audytu bezpieczeństwa IT, którego celem była (…). Audyt ten wykazał między innymi, że (…).

5. W ocenie Administratora, kopia zapasowa była wykonywana w SPZOZ w P. za pomocą narzędzia R. w sposób (…), na którym znajdował się serwer O. (…), następnie (…) na serwer N. marki Q. Testowanie kopii bezpieczeństwa odbywało się przy pomocy narzędzia R. Jak wykazała jednak ww. ekspertyza, (…).

6. Administratorowi nie udało się odzyskać zaszyfrowanych danych, w tym kopii bezpieczeństwa.

7. Po wystąpieniu naruszenia ochrony danych osobowych Administrator, w celu zminimalizowania ryzyka wystąpienia tego typu naruszeń w przyszłości, podjął szereg działań, takich jak przeprowadzenie kolejnych audytów bezpieczeństwa (Administrator przesłał potwierdzenia wykonania takich audytów, datowanych na: (…) marca 2022 r., (…) listopada 2022 r. oraz (…) września 2023 r.), czy też przeprowadzenie szkolenia dla pracowników z zakresu cyberbezpieczeństwa, jak również dokonanie zakupu i skonfigurowanie (…).

8. SPZOZ w P. nie posiada dowodów potwierdzających przeprowadzenie analiz ryzyka dla operacji przetwarzania danych osobowych przed wystąpieniem naruszenia ochrony danych osobowych. Jednocześnie Administrator wskazał, że nie posiada dowodów potwierdzających wykonywanie przed wystąpieniem naruszenia ochrony danych osobowych regularnego testowania, mierzenia i oceniania  skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzania.

9. W SPZOZ w P. przed wystąpieniem naruszenia ochrony danych osobowych nie funkcjonowała procedura aktualizowania systemów i oprogramowania urządzeń teleinformatycznych. Bieżącą aktualizację systemów i oprogramowania urządzeń teleinformatycznych prowadził (…) zatrudniony na podstawie umowy o pracę. Oprogramowanie f. w czasie wystąpienia naruszenia ochrony danych osobowych było zaktualizowane do najnowszej wersji — SPZOZ w P. posiadał wówczas (…).

10. W SPZOZ w P. została opracowana „Instrukcja (…)”, stanowiąca załącznik nr (…) do P. (…) w zakresie przetwarzania danych osobowych.

W związku ze zgłoszonym naruszeniem ochrony danych osobowych oraz wyjaśnieniami złożonymi przez Administratora, Prezes Urzędu Ochrony Danych Osobowych w dniu 17 maja 2023 r. wszczął z urzędu postępowanie administracyjne (sygn. (…)) w zakresie możliwości naruszenia przez SPZOZ w P., jako administratora danych, obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 32 ust. 1 i 2 oraz art. 34 ust. 1 rozporządzenia 2016/679. Następnie, pismem z dnia 27 października 2023 r., Prezes Urzędu rozszerzył powyższe postępowanie administracyjne o możliwość naruszenia przez SPZOZ w P., jako administratora danych, przepisów art. 5 ust. 2 oraz art. 25 ust. 1 rozporządzenia 2016/679.

Administrator nie ustosunkował się do pisma zawiadamiającego o wszczęciu postępowania administracyjnego, jak również do pisma informującego o rozszerzeniu tego postępowania.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) ww. rozporządzenia, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie ze wskazanym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

W myśl z art. 25 ust. 1 ww. rozporządzenia, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Jak wskazała Europejska Rada Ochrony Danych, dalej: EROD, w Wytycznych nr 4/2019 dotyczących artykułu 25 „Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych” Wersja 2.0, str. 4 (dalej: Wytyczne nr 4/2019), art. 25 ust. 1 rozporządzenia 2016/679 stanowi, że „(...) administratorzy powinni uwzględnić ochronę danych w fazie projektowania oraz domyślną ochronę danych odpowiednio wcześnie, na etapie planowania kolejnej operacji przetwarzania. Wdrażają oni ochronę danych w fazie projektowania oraz domyślną ochronę danych przed przetwarzaniem, a także w sposób ciągły podczas przetwarzania, dokonując regularnych przeglądów skuteczności wybranych środków i zabezpieczeń. Ochronę danych w fazie projektowania oraz domyślną ochronę danych stosuje się również do istniejących systemów, które przetwarzają dane osobowe". Oznacza to, że dotychczasowe systemy zaprojektowane przed wejściem w życie rozporządzenia 2016/679 należy poddawać przeglądom i konserwacji, aby zapewnić wdrożenie środków i zabezpieczeń, które w skuteczny sposób wdrażają zasady i prawa osób, których dane dotyczą, jak określono w ww. wytycznych.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych, uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 ww. rozporządzenia, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Zgodnie z motywem 75 preambuły do rozporządzenia 2016/679, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się - w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osób wymagających szczególnej opieki, w szczególności dzieci oraz jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

Prawodawca sygnalizuje poprzez motyw 76 preambuły do rozporządzenia 2016/679, że prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

Motyw 83 preambuły do rozporządzenia 2016/679 wskazuje natomiast, iż w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z rozporządzeniem 2016/679, administrator powinien oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki - takie jak szyfrowanie - minimalizujące to ryzyko. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych - takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez SPZOZ w P., w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, a także działań zmierzających do wymaganego zabezpieczenia wykorzystywanych systemów informatycznych. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której należało zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia. Efektem powyższego było zmaterializowanie się ryzyka, w wyniku którego nastąpiło przełamanie zabezpieczeń systemu informatycznego Administratora, wykorzystywanego przez niego do przetwarzania danych osobowych, a następnie zaszyfrowanie przetwarzanych w nim danych z wykorzystaniem złośliwego oprogramowania.

Jak wynika bowiem ze zgormadzonego w sprawie materiału dowodowego, Administrator nie jest w stanie wykazać ani potwierdzić przeprowadzenia analizy ryzyka dla operacji przetwarzania danych osobowych przed wystąpieniem naruszenia ochrony danych osobowych. W ramach wyjaśnień Administrator wskazał, że nie jest w posiadaniu dokumentacji potwierdzającej wykonanie takiej analizy, natomiast osobą odpowiedzialną za bezpieczeństwo danych osobowych był (…) zatrudniony na postawie umowy o pracę, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. W ocenie organu nadzorczego taki sposób działania SPZOZ w P. nie zapewniał należytej kontroli nad ww. procesem w kontekście zagwarantowania bezpieczeństwa uczestniczących w nim danych osobowych, jak również możliwości wykazania jego zgodności z przepisami rozporządzenia 2016/679, stosownie do zasady rozliczalności wynikającej z art. 5 ust. 2 ww. rozporządzenia.

Jak podnoszono już w literaturze (P. Barta, P. Litwiński, M. Kawecki, Komentarz do art. 5, w: Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, Legalis 2021), „rozliczalność, czyli w szczególności obowiązek wykazania zgodności z przepisami prawa, składa się w opinii Grupy Roboczej Art. 29 [Opinia z 13.7.2010 r. 3/2010 w sprawie zasady rozliczalności (WP 173), (...)] z następujących obowiązków cząstkowych:

1)    obowiązek wdrożenia środków (w tym wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania;

2)    obowiązek sporządzenia dokumentacji, która wskazuje osobom, których dane dotyczą, oraz organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych.

(...) W tym sensie rozliczalność powinna być więc rozumiana jako pewna właściwość czynności przetwarzania, pozwalająca na dowodzenie zgodności z przepisami prawa operacji na danych osobowych, w szczególności za pomocą dokumentacji ochrony danych osobowych. Konsekwencją zasady rozliczalności jest to, że w razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym administrator powinien być w stanie przedstawić dowody na to, że przestrzega przepisów o ochronie danych osobowych. Dowodami takimi mogą być przede wszystkim dokumenty opisujące zasady przetwarzania i ochrony danych osobowych”.

Wobec nieprzeprowadzenia analizy ryzyka wiążącego się z przetwarzaniem danych osobowych, SPZOZ w P. nie jest w stanie wykazać, że wdrażając środki techniczne i organizacyjne mające zapewnić zgodność przetwarzania z rozporządzeniem 2016/679, a także oceniając, czy stopień bezpieczeństwa danych osobowych jest odpowiedni, rzeczywiście uwzględniono kryteria opisane w art. 32 ust. 1 rozporządzenia 2016/679, w tym ryzyko naruszenia praw lub wolności osób fizycznych, oraz ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, zgodnie z obowiązkiem wynikającym z art. 32 ust. 2 rozporządzenia 2016/679. Jak podkreślił Wojewódzki Sąd Administracyjny w Warszawie w wyrokach z dnia 13 maja 2021 r., sygn. akt II SA/Wa 2129/20, oraz z dnia 5 października 2023 r., sygn. akt II SA/Wa 502/23, „administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”.

Obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679, jest jedną z podstaw prawnej ochrony danych osobowych wprowadzonej rozporządzeniem 2016/679. Obowiązujące przepisy prawa nie określają katalogu odpowiednich środków bezpieczeństwa, a na administratorze spoczywa obowiązek dokonania oceny w tym zakresie. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Jak wskazał Wojewódzki Sąd Administracyjny w wyroku z dnia 5 października 2023 r., sygn. akt II SA/Wa 502/23, „organ nadzorczy nie jest zobowiązany do wskazywania Administratorowi rozwiązań technicznych i organizacyjnych, które powinien on wdrożyć, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. To zadaniem Administratora jest wprowadzenie tych środków, a następnie - jeżeli pojawi się taka konieczność - wykazanie, że przestrzega on zasad przetwarzania danych osobowych określonych w rozporządzeniu 2016/679, zgodnie z zasadą rozliczalności (art. 5 ust. 2 ww. rozporządzenia)”.

Jak wykazał raport z przeprowadzonego w SPZOZ w P. audytu z dnia (…) marca 2022 r., (…). Jak wskazano w tym raporcie: „(…)”.

Takie postępowanie stoi w oczywistej sprzeczności z normami sformułowanymi w treści rozporządzenia 2016/679, które na każdym etapie implementowania systemu informatycznego służącego przetwarzaniu – zarówno w fazie projektowania, wdrażania, utrzymywania czy modyfikacji – przewidują uwzględnianie związanego z tymi operacjami ryzyka naruszenia praw lub wolności osób fizycznych. W Wytycznych nr 4/2019 (str. 29) EROD wskazuje, że „ocena zagrożeń dla bezpieczeństwa danych polegająca na analizie wpływu na prawa osób fizycznych i przeciwdziałaniu zidentyfikowanym zagrożeniom”, „uwzględnianie wymogów bezpieczeństwa na jak najwcześniejszym etapie projektowania i rozwoju systemu oraz ciągła integracja i wykonywanie odpowiednich testów” czy „regularny przegląd i testowanie oprogramowania, sprzętu, systemów i usług itp. w celu wykrycia słabych punktów systemów wspomagających przetwarzanie” to jedne z kluczowych elementów uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych.

W ślad za wypowiedzią Wojewódzkiego Sądu Administracyjnego w Warszawie zawartą w wyroku z dnia 19 stycznia 2021 r. (sygn. akt II SA/Wa 702/20, Legalis nr 2821108) należy podkreślić, że „(...) administrator danych powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679). (...) administrator danych jest odpowiedzialny nie tylko za działania swoich pracowników, ale także za przetwarzanie danych w systemie informatycznym, z którego korzysta”.

Przywołując w tym miejscu wyjaśnienia Administratora z dnia 15 stycznia 2024 r., należy podkreślić, że argumentacja zawarta w ww. piśmie, iż to (…) zatrudniony w czasie naruszenia analizował wszelkie podatności oraz ryzyka w SPZOZ w P. w zakresie bezpieczeństwa, sugerując, iż sam fakt wykonywania przez ww. pracownika swoich obowiązków jest jednoznaczny ze spełnieniem wymagań, o których mowa powyżej, jest nie do przyjęcia. Należy bowiem podkreślić, iż to rolą Administratora jest wykazać przestrzeganie przepisów rozporządzenia 2016/679 (art. 5 ust. 2) przed organem nadzorczym. Obecnie w powyższym zakresie administrator nie jest w stanie udowodnić, że wywiązał się z obowiązków nałożonych na niego ww. przepisami.

Przeprowadzony w organizacji Administratora audyt bezpieczeństwa IT wykazał między innymi, że (…). Ponadto, audyt ten ujawnił szereg innych nieprawidłowości w zakresie zapewnienia bezpieczeństwa systemów informatycznych. Wskazano m.in. że (…). Wskazano, że w przypadku (…). Podkreślono, że Administrator (…). Także w złożonych w ramach postępowania wyjaśnieniach (z dnia 15 stycznia 2024 r.), wskazano, iż przed wystąpieniem naruszenia ochrony danych osobowych nie funkcjonowała w SPZOZ w P. procedura (…).

Niezwykle istotnym elementem dla oceny wdrożonych środków technicznych jest uwzględnienie konieczności cyklicznego wykonywania kopii zapasowych baz danych z serwerów. Omawiany raport wskazuje jednoznacznie, że (…). Ponadto należy zaznaczyć, że kopie zapasowe, które dla każdej organizacji powinny stanowić jeden z najważniejszych obszarów dla utrzymania ciągłości działania, zostały w ramach naruszenia ochrony danych osobowych również zaszyfrowane. Jak wskazał Administrator, zaszyfrowanych danych z kopii zapasowych nie udało się odszyfrować, co oznacza w konsekwencji, że SPZOZ w P. nie wdrożył rozwiązań służących ciągłemu zapewnieniu dostępności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, do czego był zobowiązany stosownie do wymogu z art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679.

Co równie istotne, Administrator miał pełną świadomość obowiązków spoczywających na nim w powyższym zakresie. Świadczą o tym m.in. postanowienia zawarte w „Instrukcji (…)”, w której wprost wskazano, że (…).

Analiza powyższego dokumentu pozwala stwierdzić, że brak wykonywania regularnych kopii przez Administratora stanowił nie tylko naruszenie przepisów rozporządzenia 2016/679, ale również naruszenie wewnętrznych regulacji służących zapewnieniu prawidłowego i bezpiecznego przetwarzania danych osobowych w organizacji.

Jak wynika ze zgromadzonego materiału dowodowego, SPZOZ w P. nie jest również w stanie udokumentować, ani w żaden inny sposób udowodnić dokonywania przed wystąpieniem naruszenia ochrony danych osobowych regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Takie działania podjęto już po incydencie, na co wskazują raporty z przeprowadzonych audytów bezpieczeństwa z dnia (…) marca 2022 r., (…) listopada 2022 r. oraz (…) września 2023 r.

Należy mieć na uwadze, że administratorzy zobligowani są nie tylko do osiągnięcia zgodności z wytycznymi rozporządzenia 2016/679 poprzez jednorazowe wdrożenie technicznych i organizacyjnych środków bezpieczeństwa, ale także do zapewnienia ciągłości monitorowania skali zagrożeń oraz rozliczalności w zakresie poziomu i adekwatności wprowadzonych zabezpieczeń. Przedstawiciele doktryny podkreślają, że „(...) obowiązek w zakresie zapewnienia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 ust. 1 [rozporządzenia 2016/679], ma charakter dynamiczny (...), gdyż ustawodawca unijny wymaga regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków dla zapewnienia bezpieczeństwa w stopniu, odpowiadającym ryzyku” (P. Barta, P. Litwiński, M. Kawecki, Komentarz do art. 32, w: Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, Legalis 2021).

Podkreślenia wymaga, że ww. testowanie, mierzenie i ocenianie środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także udokumentowanie tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679). Co prawda, przedłożone przez SPZOZ w P. w ramach złożonych wyjaśnień kopie raportów z audytu bezpieczeństwa potwierdzają (…), o którym mowa powyżej, jednak dopiero po wystąpieniu naruszenia ochrony danych osobowych. Omawiany zarzut odnosi się natomiast do sytuacji, jaka miała miejsce w organizacji Administratora przed stwierdzeniem przedmiotowego naruszenia, kiedy to nie dokonywano regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych. Bez wątpienia podjęcie tych działań przed jego wystąpieniem przyczyniłoby się do zidentyfikowania luk w zabezpieczeniach, w takim co najmniej zakresie, jak to wynika z audytu z (…) 2022 r., a w konsekwencji dałoby możliwość Administratorowi podjęcia działań w celu ich usunięcia. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22, „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO)”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23.

Brak analizy ryzyka skutkujący doborem nieodpowiednich środków bezpieczeństwa oraz brak regularnego testowania, mierzenia i oceniania przez SPZOZ w P. skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, nie tylko doprowadził do naruszenia ochrony danych osobowych, o którym mowa w art. 4 pkt 12 rozporządzenia 2016/679, ale przesądził też o naruszeniu przez SPZOZ w P. obowiązków spoczywających na administratorze danych, wynikających z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 oraz art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji również zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Efektem zaś naruszenia zasady poufności jest naruszenie art. 5 ust. 2 rozporządzenia 2016/679. Jak bowiem wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 10 lutego 2021 r. (sygn. akt II SA/Wa 2378/20, Legalis nr 2579568), „(...) administrator danych jest odpowiedzialny za przestrzeganie wszystkich zasad przy przetwarzaniu danych osobowych (wymienionych w art. 5 ust. 1) i musi być w stanie wykazać ich przestrzeganie. Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię tę zinterpretował Wojewódzki Sądu Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r. (sygn. akt II SA/Wa 2826/19, Legalis nr 2480051), stwierdzając, iż „biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.

Dopiero po wystąpieniu naruszenia ochrony danych osobowych Administrator podjął określone czynności o charakterze techniczno-organizacyjnym, m.in.: (…). Działania te nie zostały jednak poprzedzone przeprowadzeniem analizy ryzyka, w związku z czym Administrator nie jest w stanie stwierdzić ani wykazać, że ww. środki bezpieczeństwa są odpowiednie i zapewnią ochronę przetwarzanych danych osobowych, w tym danych dotyczących zdrowia, adekwatną do zagrożeń związanych z ich przetwarzaniem przez podmiot świadczący usługi z zakresu ochrony zdrowia.

Zgodnie z definicją zawartą w art. 4 pkt 12 rozporządzenia 2016/679, „naruszenie ochrony danych osobowych” jest naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Jak wynika z art. 34 ust. 1 rozporządzenia 2016/679, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. W ust. 2 ww. artykułu wskazano, iż zawiadomienie, o którym mowa w ust. 1, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) ww. rozporządzenia, gdzie wskazano, iż zgłoszenie takie musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jak wyjaśnił Administrator w toku postępowania, osoby, których dane dotyczą, nie zostały zawiadomione o naruszeniu ochrony danych osobowych, bowiem w jego ocenie zaszyfrowanie danych nie spowodowało wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Dodatkowo Administrator wskazał, iż dane znajdujące się na serwerach i maszynach wirtualnych objętych naruszeniem nie zostały wykradzione, odczytane lub udostępnione.

W tym miejscu należy jednak wskazać, że z ekspertyzy pozaprocesowej z dnia (…) lutego 2022 r., którą wykonano na zlecenie Administratora, wynika jedynie, iż „(…)”. Brak jest natomiast informacji wskazujących jednoznacznie, że zaszyfrowane dane nie zostały wcześniej odczytane lub pobrane. Należy w konsekwencji przyjąć, że osoba lub osoby, które przedmiotowe dane zaszyfrowały, mogły lub w dalszym ciągu mogą uzyskać do nich nieuprawniony dostęp. Wynika to m.in. z treści wiadomości przesłanej od atakujących do Administratora, gdzie w celu uwiarygodnienia swoich zamiarów i możliwości, zaproponowano odszyfrowanie jednego z zaszyfrowanych plików bez pobierania opłaty. W przypadku niespełnienia żądania wykupienia wskazanego przez atakujących urządzenia (dekodera) deszyfrującego, zagrożono opublikowaniem przedmiotowych danych w sieci.

Konsekwencje wynikające z opisywanego ataku, jak również treść powyższego komunikatu, skierowanego do Administratora, jak i brak jednoznacznych ustaleń w tym zakresie wynikających z ekspertyzy pozaprocesowej z dnia (…) lutego 2022 r. budzą uzasadnioną obawę, że w ramach niniejszego zdarzenia nastąpiła nie tylko utrata dostępności danych osobowych, ale również doszło do naruszenia poufności tych danych. Jak stanowi art. 33 ust. 5 rozporządzenia 2016/679, administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Na podstawie treści ww. przepisu w związku z zasadą rozliczalności, opisaną w art. 5 ust. 2 ww. rozporządzenia, należy przyjąć, że to na Administratorze ciąży obowiązek dowodowy w zakresie wykazania, iż atakujący nie przejęli (nie skopiowali) baz danych SPZOZ w P. Mając zatem na uwadze wyjaśnienia Administratora oraz sposób i rodzaj ataku hakerskiego, jakim jest ransomware, należy stwierdzić, iż SPZOZ w P. nie wykazał w sposób niebudzący wątpliwości, że w ramach omawianej sprawy nie doszło do naruszenia poufności danych. Administrator bowiem na etapie składania wyjaśnień, jak również po wszczęciu postępowania administracyjnego, nie był w stanie dowieść (wykazać bezspornie), iż nie doszło do ujawnienia danych objętych naruszeniem, a zatem naruszenia ich poufności.

W związku więc z istniejącym wciąż ryzykiem ujawnienia danych osobowych z baz danych SPZOZ w P., przyjąć należy wysokie ryzyko naruszenia praw i wolności pracowników i pacjentów ww. podmiotu, skutkujące obowiązkiem ich zawiadomienia, o którym to obowiązku mowa jest w art. 34 rozporządzenia 2016/679.

Odnosząc się zaś do utraty dostępności należy wskazać, iż utrata dostępu do danych, jaka miała miejsce w przedmiotowej sprawie, szczególnie wobec charakteru działalności prowadzonej przez Administratora oraz braku możliwości szybkiego odtworzenia zaszyfrowanych danych osobowych z uwagi na zaszyfrowanie także kopii zapasowych, jak również biorąc pod uwagę zakres i rodzaj przetwarzanych w ramach tej działalności danych osobowych, może realnie wpłynąć na prawa lub wolności osób, których dane dotyczą. W SPZOZ w P. przetwarzane są m.in. dane osobowe pacjentów, także takie, które należą do szczególnych kategorii danych osobowych, tj. dane dotyczące zdrowia. Brak dostępu do tych danych rodzi ryzyko ograniczonego dostępu do dokumentacji medycznej, a co za tym idzie, może znacznie utrudnić lub też nawet uniemożliwić prawidłowe wykonywanie świadczeń medycznych wobec konkretnej osoby, co w konsekwencji stwarza realne ryzyko dla zdrowia, a nawet życia pacjenta.

Powyższe świadczy o tym, że Administrator nie ma obecnie kontroli nad zaszyfrowanymi danymi, tym bardziej, iż dane te nie zostały ostatecznie przez niego odzyskane. Taka sytuacja rodzi bardzo poważne ryzyka i zagrożenia dla praw lub wolności osób fizycznych, których dane były przetwarzane na zaatakowanych komputerach i (…). A w konsekwencji powoduje powstanie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, co oznacza obowiązek zawiadomienia tych osób o naruszeniu ochrony ich danych osobowych.

Podkreślić również należy, że zaistniałe naruszenie ochrony danych osobowych dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającego. Nr PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Nr PESEL wraz
z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie. Dlatego też należy wziąć pod uwagę, że przedmiotem omawianego naruszenia ochrony danych osobowych są m.in. dane w postaci numeru ewidencyjnego wraz z imieniem i nazwiskiem, które to zestawienie danych bywa wystarczające do „podszycia się” pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych (vide: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci - gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania"). Nie sposób również pominąć, że analizowane naruszenie ochrony danych osobowych dotyczyło również danych teleadresowych, które jak powszechnie się przyjmuje obejmują m.in. adres zamieszkania lub pobytu i numer telefonu, a także takich danych jak numer rachunku bankowego czy seria i numer dowodu osobistego oraz, o czym już wyżej wspomniano, danych o stanie zdrowia. Dane te jako całość, w znaczeniu generalnym stanowią pewnego rodzaju zbiór, zaś jak podkreślono w Wytycznych EROD nr 9/2022[1], zbiór różnych danych osobowych ma zazwyczaj bardziej wrażliwy charakter niż pojedyncze dane. W ocenie ryzyka kluczowym czynnikiem jest rodzaj i wrażliwość danych osobowych ujawnionych w wyniku naruszenia. Nie ulega ponadto wątpliwości, że taki zakres danych pozwala na jednoznaczną identyfikację osoby.

Warto w tym miejscu przytoczyć jeden z przykładów znajdujących się w Wytycznych Europejskiej Rady Ochrony Danych 01/2021^[2] (przypadek nr 14, s. 31), odnoszący się do sytuacji „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”. W opisanym w ww. wytycznych przypadku doszło do ujawnienia numeru ubezpieczenia społecznego, będącego odpowiednikiem stosowanego w Polsce numeru PESEL. W przypadku tym EROD nie miała wątpliwości, że ujawnione dane w zakresie: imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego, wskazują na wysokie ryzyko naruszenia praw lub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”). EROD dostrzega wagę krajowych numerów identyfikacyjnych (w tym przypadku numeru PESEL), podkreślając jednocześnie, że tego typu naruszenie ochrony danych osobowych, a więc obejmujące swym zakresem dane w postaci: imienia i nazwiska, adresu e-mail, adresu korespondencyjnego oraz numeru ubezpieczenia społecznego, wymaga realizacji działań, tj.: powiadomienia organu nadzorczego oraz zawiadomienia o naruszeniu osób, których dane dotyczą.

Europejska Rada Ochrony Danych nie ma najmniejszych wątpliwości, że indywidualnie nadany numer jednoznacznie identyfikujący osobę fizyczną powinien podlegać szczególnej ochronie, a jego ujawnienie nieuprawnionym podmiotom może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

Na fakt, że dane jednoznacznie identyfikujące osobę fizyczną mogą powodować wysokie ryzyko naruszenia praw lub wolności EROD wskazuje również w innych przykładach podanych w Wytycznych 01/2021. W pkt 65 i 66 przywołanych Wytycznych wskazano: „(...) Naruszone dane pozwalają na jednoznaczną identyfikację osób, których dane dotyczą, i zawierają inne informacje na ich temat (w tym płeć, datę i miejsce urodzenia), ponadto mogą być wykorzystywane przez atakującego do odgadnięcia haseł klientów lub do przeprowadzenia kampanii spear phishingowej skierowanej do klientów banku. Z tych powodów uznano, że naruszenie ochrony danych prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności wszystkich osób, których dane dotyczą. W związku z tym możliwe jest wystąpienie szkód materialnych (np. strat finansowych) i niematerialnych (np. kradzieży tożsamości lub oszustwa)”.

Ponadto trzeba mieć na uwadze, że przedmiotowe naruszenie ochrony danych osobowych obejmowało swoim zakresem również dane dotyczące zdrowia pacjentów, w tym dzieci i osób o szczególnych potrzebach (np. osoby starsze, niepełnosprawne itp.). Podkreślenia wymaga, iż dane te mieszczą się w sferze informacji związanych z pacjentem, uzyskanych przez lekarza w związku z wykonywaniem zawodu i jako takie podlegają obowiązkowi zachowania ich w tajemnicy. Co równie istotne, dane dotyczące zdrowia, zgodnie z rozporządzeniem 2016/679, należą do szczególnych kategorii danych osobowych i są objęte szczególnymi zasadami przetwarzania oraz powinny podlegać szczególnej ochronie ze strony ich administratorów, a w sytuacji wystąpienia naruszenia ochrony danych osobowych powodują powstanie wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej.

Zatem nie ulega wątpliwości, że omawiane w ramach niniejszej sprawy naruszenie, ze względu na zakres danych przetwarzanych przez Administratora, powoduje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej.

Należy podkreślić, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora.

Jest to szczególnie ważne, ponieważ w oparciu o zawiadomienie o naruszeniu ochrony danych osobowych osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. Również w oparciu o informacje przekazane przez administratora dotyczące opisu charakteru naruszenia i zastosowanych lub proponowanych środkach w celu zaradzenia naruszeniu osoba fizyczna może dokonać oceny, czy po zaistniałym naruszeniu administrator danych nadal daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo. Brak zawiadomienia o naruszeniu ochrony danych osobowych osoby fizycznej w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować dla niej poważne konsekwencje. Natomiast brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, która polega nie tylko na ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia (umożliwia to osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych).

W wyniku analizy zaistniałego naruszenia, kategorii danych i kategorii osób, których ono dotyczyło, Prezes Urzędu Ochrony Danych Osobowych uznał, że naruszenie poufności i dostępności danych (z uwagi na brak możliwości odszyfrowania danych oraz możliwość uzyskania do nich dostępu przez sprawców naruszenia ochrony danych osobowych), w szczególności w zakresie imienia i nazwiska oraz numeru PESEL wraz z danymi dotyczącymi zdrowia, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym konieczne jest niezwłoczne i prawidłowe zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych osobowych.

W konsekwencji należy stwierdzić, że Administrator nie zawiadomił osób, których dane dotyczą, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora tego przepisu.

W tym miejscu należy zaznaczyć, że zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych. W związku z powyższym, Administrator został zobowiązany przez Prezesa Urzędu do zawiadomienia w terminie 30 dni od dnia doręczenia niniejszej decyzji osób, których dane przetwarzane były w zasobach zaatakowanych urządzeń, o naruszeniu ochrony ich danych osobowych w celu przekazania tym osobom wymaganych informacji zgodnie z art. 34 ust. 2 rozporządzenia 2016/679.

Na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze ustalenia stanu faktycznego, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego we wskazanym wyżej przepisie rozporządzenia 2016/679 stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Samodzielny Publiczny Zespół Opieki Zdrowotnej z siedzibą w P. administracyjnej kary pieniężnej. Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Stosownie zaś do art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Natomiast z art. 102 ust. 1 pkt 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej uodo, wynika, że Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na: jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, instytut badawczy lub Narodowy Bank Polski. Z ust. 3 tego artykułu wynika ponadto, że administracyjne kary pieniężne, o których mowa między innymi w ust. 1, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.

Decydując o nałożeniu administracyjnej kary pieniężnej Prezes Urzędu – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

Stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, skutkujące wystąpieniem naruszenia ochrony danych osobowych przechowywanych na serwerach oraz maszynach wirtualnych, na których znajdowała się baza danych SPZOZ w P., ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla potencjalnie dużej liczby osób (Administrator wskazał, że na serwerach znajdowały się dane 30331 pacjentów SPZOZ w P. oraz dane 1129 pracowników, zleceniobiorców i współpracowników tego podmiotu), do których danych utracono dostęp. Naruszenie przez SPZOZ w P. obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieupoważnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez osoby trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane dotyczą.

O znacznym charakterze i wadze opisywanego naruszenia przepisów rozporządzenia 2016/679 przesądza także fakt, że naruszenie to dotyczy m.in. danych osobowych chronionych tajemnicą zawodową, tj. danych pacjentów.

W niniejszej sprawie brak jest dowodów, aby osoby, których dane osobowe zaszyfrowane zostały na serwerach i innych urządzeniach SPZOZ w P., doznały szkody majątkowej. Niemniej jednak już samo ryzyko naruszenia poufności ich danych stanowić może szkodę niemajątkową (krzywdę). Osoby fizyczne, których dotyczyło zaistniałe naruszenie, mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z dnia 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z dnia 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „[a]rt. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić »szkodę niemajątkową« w rozumieniu tego przepisu”. Natomiast brak dostępu do tych danych rodzi ryzyko ograniczonego dostępu do dokumentacji medycznej, a co za tym idzie, może znacznie utrudnić lub też nawet uniemożliwić prawidłowe wykonywanie świadczeń medycznych wobec konkretnej osoby, co w konsekwencji stwarza realne ryzyko dla zdrowia, a nawet życia pacjenta.

Za okoliczność obciążającą Prezes Urzędu uznaje długi czas trwania naruszenia przez SPZOZ w P. przepisów o ochronie danych osobowych. Administrator nie przeprowadził analizy ryzyka wiążącego się z przetwarzaniem danych osobowych, zatem nie wykonał nałożonego na niego obowiązku, który został uregulowany w powyższym rozporządzeniu. Mając na uwadze, że stosowanie powołanego aktu prawnego rozpoczęło się w dniu 25 maja 2018 r., należy uznać, że to od tego czasu trwa stan naruszenia przepisów rozporządzenia 2016/679 w powyższym zakresie.

W odniesieniu do naruszenia art. 34 ust. 1 ww. rozporządzenia, należy przyjąć, iż w tym przypadku naruszenie przepisów ma miejsce od dnia stwierdzenia naruszenia ochrony danych osobowych (10 lutego 2022 r.) i trwa nadal wobec nie powiadomienia o jego wystąpieniu osób, których dane dotyczą. W związku z brakiem wykonania przez Administratora nałożonego na niego obowiązku w ww. zakresie, ma miejsce sytuacja, gdzie ww. osoby nie posiadają jakiejkolwiek wiedzy na temat zaistniałego zdarzenia, co oznacza w konsekwencji, że nie mogą podjąć żadnych działań zaradczych.

2. Umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b) rozporządzenia 2016/679).

Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r., zatwierdzonymi przez EROD w dniu 25 maja 2018 r.), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Administrator podjął świadomą decyzję, by nie zawiadamiać o naruszeniu ochrony danych osobowych osób, których dane dotyczą. Nie ulega wątpliwości, że Administrator, przetwarzając dane osobowe w związku z prowadzoną działalnością, powinien posiadać wiedzę w zakresie ochrony danych osobowych, obejmującą konsekwencje stwierdzenia naruszenia ochrony danych osobowych skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Będąc tego świadomym, Administrator podjął jednak decyzję o rezygnacji z zawiadomienia osób, których dane dotyczą.

Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Administrator dopuścił się świadomego niepodjęcia działań stanowiących wypełnienie ciążącego na nim obowiązku, o którym mowa w art. 34 ust. 1 rozporządzenia 2016/679. Tak więc stanowi to istotną okoliczność wpływającą obciążająco na wysokość kary administracyjnej.

W przypadku naruszenia przepisów art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, skutkujących naruszeniem zasady integralności i poufności oraz zasady rozliczalności (odpowiednio art. 5 ust. 1 lit. f) oraz art. 5 ust 2 rozporządzenia 2016/679), Prezes Urzędu nie dopatrzył się umyślnego działania Administratora.

Jak wskazano w  Wytycznych Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679, przyjętych w dniu 3 października 2017 r. (17/PL WP 253). „(…) „nieumyślność” oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora/podmiot przetwarzający obowiązku staranności wymaganego prawem”.

Jak wynika z przeprowadzonego w (…) 2022 r. audytu bezpieczeństwa, obejmującego swym zakresem (…). Tym samym należałoby stwierdzić, że Administrator nie zapewnił odpowiedniego poziomu bezpieczeństwa danych, przetwarzanych w ramach wykorzystywanych zasobów, jednakże powyższemu działaniu nie można przypisać umyślności, chrakteryzującej się m.in. celowym działaniem, zmierzającym do doprowadzenia do naruszenia przepisów rozporządzenia 2016/679, a co najwyżej, działanie to można ocenić jako obarczone brakiem staranności w wykonywaniu nałożonych na Administratora obowiązków. SPZOZ w P. wdrożył i stosował środki techniczne i organizacyjne, które należy ocenić wprost jako niewystarczające dla zapewnienia bezpieczeństwa przetwarzania danych w systemach informatycznych, lecz nie można w tym miejscu określać postępowania Administratora w tym zakresie jako umyślnego, mającego na celu naruszenie przepisów o ochronie danych osobowych.

Wobec powyższego należy stwierdzić, że Administrator nieumyślnie naruszył przepisy o ochronie danych osobowych, tj. art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

3. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).

Jak wskazano powyżej, w niniejszej sprawie brak jest dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej. Jednakże już samo ryzyko naruszenia poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę).

W niniejszej sprawie Administrator w zakresie zminimalizowania ewentualnej szkody poniesionej przez ww. osoby, nie podjął stosownych działań, w tym nie dokonał stosownego zawiadomienia osób, których dane dotyczą. Brak działania Administratora w tym przedmiocie pozbawił wyżej wymienionych możliwości samodzielnej reakcji na potencjalne zagrożenia wiążące się z ewentualnym wykorzystaniem ich danych przez osoby nieuprawnione.

Tym samym, powyższe zaniechanie Administratora w opisywanym zakresie należy uznać za okoliczność wypływającą obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

4. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) rozporządzenia 2016/679).

Dane osobowe, których dotyczy naruszenie przepisów rozporządzenia 2016/679,  należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679. Swoim zakresem obejmowały bowiem dane dotyczące zdrowia pacjentów, w tym dzieci i osób o szczególnych potrzebach (np. osoby starsze, niepełnosprawne itp.). Ponadto, naruszenie objęło dane pacjentów i pracowników SPZOZ w P., takie jak: imię, nazwisko, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer telefonu, numer PESEL, dane dotyczące zarobków, seria i numer dowodu osobistego.

Należy wobec powyższego podkreślić, iż ww. zakres danych wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Przede wszystkim trzeba mieć na uwadze, jak istotne dane z punktu widzenia podmiotu danych były przetwarzane w ww. systemach, które dotknięte zostały atakiem ransomware. Możliwość nieuprawnionego dostępu do danych medycznych może skutkować dyskryminacją osoby, której dane dotyczą, a zatem może dojść do naruszenia dóbr osobistych podmiotu danych.

Natomiast nieuprawnione ujawnienie takich kategorii danych jak numer ewidencyjny PESEL wraz z imieniem i nazwiskiem, które jednoznacznie identyfikują osobę fizyczną, może realnie i negatywnie wpływać na ochronę praw lub wolności tej osoby. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 1 lipca 2022 r., sygn. akt II SA/Wa 4143/21, „w przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą”.

Jak wskazano w Wytycznych EROD 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1; przyjęte 24 maja 2023 r.), dalej: Wytyczne 04/2022, „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 RODO oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać temu czynnikowi.”

Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a)-j) rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne. Również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) nie znaleziono żadnych okoliczności łagodzących, a jedynie neutralne.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

1. Stopień odpowiedzialności Administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).

Przyjęte 24 maja 2023 r. Wytyczne 04/2022 wskazują, że rozpatrując tę przesłankę „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator zrobił wszystko, czego można by było oczekiwać, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.

Prezes Urzędu stwierdził w niniejszej sprawie naruszenie przez SPZOZ w P. przepisów art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie zrobił wszystkiego, czego można by było od niego oczekiwać, tym samym nie wywiązał się z nałożonych na niego przepisami art. 32 ust. 1 i 2 rozporządzenia 2016/679 obowiązków.

W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia, nie jest jedynie czynnikiem wpływającym – łagodząco lub obciążająco – na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa Urzędu uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Administratora administracyjnej kary pieniężnej.

2. Wszelkie stosowne wcześniejsze naruszenia ze strony Administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).

Prezes Urzędu nie stwierdził stosownych wcześniejszych naruszeń rozporządzenia 2016/679 przez SPZOZ w P., w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej, jednakże do obowiązków każdego administratora należy przestrzeganie przepisów prawa (w tym przepisów dotyczących ochrony danych osobowych), w związku z czym brak wcześniejszych naruszeń ochrony danych osobowych nie może zostać uznany za okoliczność łagodzącą przy wymierzaniu sankcji.

3.Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).

Administrator prawidłowo wywiązywał się z ciążących na nim obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji.

Ponadto, po wystąpieniu naruszenia ochrony danych osobowych Administrator podjął określone działania w celu wyjaśnienia okoliczności z tym zdarzeniem związanych, w tym przeprowadził audyt bezpieczeństwa oraz wdrożył środki w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Powyższe działania stanowiły realizację obowiązku ciążącego na Administratorze, wobec czego nie mogą one stanowić okoliczności łagodzącej, tym bardziej, że SPZOZ w P. dobrał te środki bez przeprowadzenia analizy ryzyka, co oznacza, że Administrator nie jest w stanie stwierdzić ani wykazać, że ww. środki bezpieczeństwa są odpowiednie i zapewnią ochronę przetwarzanych danych osobowych, w tym danych dotyczących zdrowia, adekwatną do zagrożeń związanych z ich przetwarzaniem przez podmiot świadczący usługi z zakresu ochrony zdrowia.

4. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).

Prezes Urzędu stwierdził naruszenie przez Administratora przepisów o ochronie danych osobowych w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez SPZOZ w P. Administrator dokonując zgłoszenia realizował ciążący na nim obowiązek prawny, brak jest zatem podstaw do uznania, że fakt ten stanowi okoliczność łagodzącą. Jak wskazała EROD w Wytycznych 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO (str. 32; wersja 2.1; przyjęte 24 maja 2023 r.), „Zgodnie z art. 83 ust. 2 lit. h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, może stanowić istotny czynnik obciążający lub łagodzący. Przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze – na przykład – skargi lub dochodzenia. Okoliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń (jak np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33). W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną.”

5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).

Przed wydaniem niniejszej decyzji Prezes Urzędu nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa Urzędu, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).

Samodzielny Publiczny Zespół Opieki Zdrowotnej z siedzibą w P. nie poinformował, czy stosuje zatwierdzone kodeksy postępowania, czy też zatwierdzone mechanizmy certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

7. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).

Prezes Urzędu nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu zgłaszającego naruszenie.

Prezes Urzędu, wszechstronnie rozpatrując przedmiotową sprawę, nie odnotował okoliczności innych, niż powyżej opisane, mogących wpłynąć na ocenę naruszenia i wysokość orzeczonej administracyjnej kary pieniężnej.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, że nałożenie administracyjnej kary pieniężnej na Administratora jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Administratorowi naruszeń. Stwierdzić należy, że zastosowanie wobec Administratora jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Administrator w przyszłości nie dopuści się kolejnych zaniedbań.

Odnosząc się do wysokości wymierzonej Administratorowi administracyjnej kary pieniężnej wskazać należy, że wobec faktu, iż SPZOZ w P. jest jednostką sektora finansów publicznych – zastosowanie znajdzie art. 102 uodo, z którego wynika ograniczenie wysokości (do 100.000 zł) administracyjnej kary pieniężnej, jaka może zostać nałożona na jednostkę sektora finansów publicznych.

W ocenie Prezesa Urzędu, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszająca. Zdaniem Prezesa Urzędu nałożona na Administratora kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Administrator stosował będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność kary równoważna jest zatem gwarancji tego, iż Administrator od momentu zakończenia niniejszego postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.

Zastosowana administracyjna kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, skutku, kręgu dotkniętych nim osób fizycznych oraz wysokiego ryzyka negatywnych konsekwencji, jakie w związku z naruszeniem mogą one ponieść. Zdaniem Prezesa Urzędu, nałożona na Administratora administracyjna kara pieniężna nie będzie stanowiła nadmiernego dla niego obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków Administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej Administratora.

Zdaniem Prezesa Urzędu, Administrator powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 40.000 złotych (czterdzieści tysięcy złotych) jest w pełni uzasadnione.

W ocenie Prezesa Urzędu, administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, bowiem stanowić będzie odpowiedź na naruszenie przez Administratora przepisów rozporządzenia 2016/679, ale i prewencyjną, gdyż przyczyni się do zapobiegania w przyszłości naruszeniom obowiązków Administratora wynikających z przepisów o ochronie danych osobowych. W ocenie Prezesa Urzędu, zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f) tego aktu prawnego.

Celem nałożonej kary jest doprowadzenie do przestrzegania przez Administratora w przyszłości przepisów rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.