Warszawa, dnia 31
maja
2023 r.
Decyzja
DKN.5131.8.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775, ze zm.) w związku z art. 7 ust. 1, art. 60, art. 101, art. 101a ust. 2 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej: „uodo” oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2, a także z art. 33 ust. 1 i art. 34 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej: „rozporządzeniem 2016/679”, po przeprowadzeniu postępowania administracyjnego wszczętego z urzędu w sprawie naruszenia przepisów o ochronie danych osobowych przez P. Sp. z o.o. z siedzibą w W. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez P. Sp. z o.o. z siedzibą w W. przy ul. (…) przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, a także art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679, polegające na:
1) niewdrożeniu:
a) odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą,
b) odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia,
które to naruszenia skutkują naruszeniem zasady integralności (art. 5 ust. 1 lit. f rozporządzenia 2016/679) i rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679),
2) niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, oraz niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony danych osobowych powodującym wysokie ryzyko naruszenia praw lub wolności osób fizycznych,
nakłada na P. Sp. z o.o. z siedzibą w W. przy ul. (…), za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 i 2, art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 47.160,- PLN (czterdzieści siedem tysięcy sto sześćdziesiąt złotych).
Uzasadnienie
W dniu (…) lipca 2020 r. do Urzędu Ochrony Danych Osobowych wpłynęła informacja od podmiotu trzeciego, wskazująca na utratę dokumentacji koncesyjnej prowadzonej w formie elektronicznej przez P. Sp. z o.o. z siedzibą w W. (zwaną dalej również „Spółką” lub „Administratorem”), która to dokumentacja powinna zawierać dane osobowe pracowników ochrony (zatrudnionych na podstawie umowy o pracę lub osób wykonujących zadania na podstawie umów cywilnoprawnych), a także osób fizycznych będących stronami umów cywilnoprawnych na usługę ochrony zawartych przez Spółkę.
W związku z powyższym, w dniu (…) lipca 2020 r. Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również „Prezesem UODO” lub „organem nadzorczym”, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Spółki o udzielenie informacji, czy w związku z ww. sytuacją dokonana została analiza incydentu pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. W piśmie organ nadzorczy wskazał Spółce na treść art. 33 ust. 1 i 3 rozporządzenia 2016/679 oraz na sposób, a w jaki może dokonać zgłoszenia naruszenia. Z wyjaśnień udzielonych przez Administratora w odpowiedzi na to i na późniejsze wezwania organu nadzorczego (kierowane do niego przed wszczęciem postępowania administracyjnego w niniejszej sprawie) wynika m. in., że:
1) W wyniku ataku ransomware przeprowadzonego w celu osiągniecia korzyści majątkowej doszło do zaszyfrowania danych osobowych znajdujących się na trzech serwerach, przy czym dane te dotyczyły wszystkich pracowników Spółki i osób świadczących na rzecz Spółki usługi w ramach zawartych umów cywilnoprawnych.
2) W wyniku przedmiotowego zdarzenia Administrator utracił dostęp do danych ww. osób należących do następujących kategorii: nazwisk, imion, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, numerów telefonów oraz numerów dowodów osobistych.
3) Spółka zweryfikowała problem, ustaliła brak możliwości rozszyfrowania (dostęp do utraconych danych nie został odzyskany) i przyjęła, iż najkorzystniejsze będzie wstrzymanie się od ingerowania w system; Spółka korzystała więc ze sporządzonej w formie papierowej kopii danych.
4) Administrator na podstawie badania przepływu danych wychodzących ustalił, iż nie doszło do transferu danych poza firmowy serwer (dane nie zostały pobrane przez osobę nieupoważnioną). Wskazał również, że „(…) jest zainstalowany na styku z dostępem do Internetu i w 100% blokuje ruch wychodzący z wewnątrz sieci korporacyjnej. W procesie analizy (…) logów z urządzeń sieciowych oraz zdarzeń systemowych nie zaobserwowano żadnych śladów eksfiltracji danych”. Z przeprowadzonego przez pracowników Spółki audytu systemu informatycznego, który (jak oświadczyła Spółka) wykazał, że nie doszło do uzyskania dostępu do danych w nim przetwarzanych, nie sporządzono żadnego raportu.
Nadto Administrator wskazał, że przed datą zainfekowania utworzono m.in. kopię zapasową serwera (przy czym nie wyjaśnił, którego z trzech), natomiast po zdarzeniu zainstalowano profesjonalne oprogramowanie - (…) oraz zaznaczył, iż dokonywał cyklicznie analizy systemów informatycznych.
Co istotne w kontekście stanowiska Administratora wobec obowiązków wynikających z art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679, Spółka wskazała również, że:
1) „(…) dostęp do dokumentacji prowadzonej w formie elektronicznej, o której mowa w rzeczonym wezwaniu, nie został utracony, a jedynie zablokowany [przyp.: co, jak wskazała w innym piśmie, polega na„utraceniu możliwości otwierania plików znajdujących się na dysku oraz zmianie rozszerzenia rzeczonych plików”]. Wobec powyższego należy uznać, iż nie ma ryzyka naruszenia praw lub wolności osób fizycznych, a zatem stosownie do art. 33 ust. 1 Ogólnego Rozporządzenia o ochronie danych nie zachodzi potrzeba zgłaszania naruszenia”;
2) Administrator dokonał analizy wpływu braku dostępności do systemu informatycznego objętego naruszeniem na prawa i wolności osób, których dane dotyczą. W wyniku rzeczonej analizy ustalono, iż nie jest prawdopodobne, by naruszenie naraziło na ryzyko prawa i wolności osób fizycznych.
Przed wszczęciem przez organ nadzorczy przedmiotowego postępowania administracyjnego doszło do sytuacji, w której wyjaśnień udzieliła niewłaściwa spółka (jak tłumaczył Administrator: w wyniku omyłki sekretariatu). Spółka czterokrotnie przesyłała też pisma nie opatrzone podpisami osób uprawnionych do jej reprezentacji. Warto przy tym zaznaczyć, że wezwany pismem z (…) października 2020 r. do wyjaśnień Administrator, zwrócił się do organu nadzorczego dwukrotnie (za każdym razem się nie podpisując) z wnioskiem o wydłużenie terminu do udzielenia informacji (najpierw pismem z datą wpływu: (…) listopada 2020 r., a następnie pismem z datą wpływu: (…) listopada 2020 r.). Następnie przesłał wyjaśnienia pismem, które wpłynęło do tutejszego Urzędu w dniu (…) listopada 2020 r. i które jedynie w nagłówku oznaczone było datą mieszczącą się w terminie, którego dochować miała Spółka zgodnie z powtórnym wnioskiem o przedłużenie terminu, który wpłynął do tutejszego Urzędu w dniu (…) listopada 2020 r.
Na tym etapie z poczynionych przez Prezesa UODO ustaleń wynikało, że doszło do naruszenia ochrony danych osobowych polegającego na przełamaniu zabezpieczeń systemu informatycznego Spółki wykorzystywanego przez nią do przetwarzania danych osobowych, a następnie zaszyfrowaniu przetwarzanych w nim danych. W konsekwencji Spółka została pozbawiona dostępu do ww. systemu oraz znajdujących się w nim danych osobowych wszystkich pracowników Spółki i osób świadczących na rzecz Spółki usługi w ramach zawartych umów cywilnoprawnych (tj. ich nazwisk, imion, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, numerów telefonów i numerów dowodów osobistych).
W związku z poczynieniem wyżej wskazanych ustaleń, organ nadzorczy w dniu (…) stycznia 2021 r. wszczął z urzędu postępowanie administracyjne wobec P. Sp. z o.o. z siedzibą w W. w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, zgodnie z art. 34 ust. 1 i 2 rozporządzenia 2016/679, a także w sprawie możliwości naruszenia przez Spółkę, jako administratora danych, obowiązków wynikających z przepisów rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych, w następującym zakresie: art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 (sygn. pisma: (…)).
Administrator po wszczęciu postępowania administracyjnego udzielał na wezwanie organu nadzorczego kolejnych wyjaśnień. Przekazywał w nich dodatkowe informacje dotyczące zaistniałego zdarzenia, a także środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, które to informacje (celem uniknięcia powtarzania ich treści oraz ich odpowiedniego usystematyzowania) zostaną w odpowiednim zakresie przywołane w dalszej części uzasadnienia niniejszej decyzji.
Spółka na tym etapie pozostała konsekwentna i podtrzymywała wcześniej przyjęte stanowisko. Oświadczyła m.in., że „(…) Spółka spełnia swój obowiązek wynikający z art. 33 ust. 5 rozporządzenia 2016/679 (dalej: "Rozporządzenie"), jednakże w dokumentacji Spółki nie odnotowano naruszenia danych osobowych, albowiem - jak wielokrotnie Spółka informowała tut. Organ - przedmiotowe zdarzenie nie stanowiło tzw. incydentu bezpieczeństwa, a więc naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 Rozporządzenia. Zgodnie z ww. przepisem naruszeniem ochrony danych osobowych są wyłącznie sytuacje prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia danych, utracenia/zmodyfikowania danych, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Tymczasem w niniejszym przypadku doszło jedynie do zablokowania dostępu do danych prowadzonych w systemie informatycznym. Mieliśmy zatem do czynienia z klasycznym przypadkiem tzw. „ransomware”. Badania przepływu danych dokonane w dniu zdarzenia jednoznacznie wskazywały, iż nie doszło do transferu danych poza system Spółki. Nie zaszła zatem żadna z przesłanek wymienionych w art. 4 pkt 12 Rozporządzenia, w szczególności nie miała miejsca sytuacja wejścia w posiadanie danych osobowych przez osobę nieuprawnioną”.
Po wszczęciu postępowania administracyjnego w przedmiotowej sprawie Spółka jeszcze dwukrotnie wysyłała do organu nadzorczego wyjaśnienia niepodpisane przez osobę uprawnioną do jej reprezentacji. Ponadto w okresie kolejnych kilkunastu miesięcy od daty udzielenia przez Spółkę ostatnich wyjaśnień (pismem, które wpłynęło do tutejszego Urzędu w dniu (…) lipca 2021 roku), organ nadzorczy kilkukrotnie podejmował próby uzyskania kolejnych wyjaśnień od Spółki. Zadawane w tych pismach pytania dotyczyły m.in. tego, czy Administrator przeprowadził analizę ryzyka dla procesu przetwarzania danych osobowych w formie elektronicznej (zarówno przed, jak i po zaistnieniu przedmiotowego naruszenia ochrony danych osobowych), czy zakończył proces odtwarzania danych osobowych przetwarzanych w formie elektronicznej, a także czy przeprowadzono audyt, o którym mowa w piśmie Spółki datowanym na (…) marca 2021 roku. Niestety, wysyłana do Spółki korespondencja (kierowana na adres ujawniony w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego) nie została podjęta przez adresata.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes UODO zważył, co następuje:
Zgodnie z art. 34 ust. 1 i 2 uodo, Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie ww. rozporządzenia, a także prowadzi postępowania w sprawie stosowania tego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.
Art. 5 rozporządzenia 2016/679 formułuje z kolei zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Art. 5 ust. 2 rozporządzenia 2016/679 przewiduje, że Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Konkretyzację tej zasady stanowią dalsze przepisy rozporządzenia. Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, zgodnie z lit. a), b), c) i d) tego artykułu, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679.
Biorąc pod uwagę zakres przetwarzanych danych osobowych przez Spółkę (obejmujących imiona, nazwiska, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków, numery telefonów, numery dowodów osobistych), a także kategorie osób, których dane są przetwarzane (pracownicy Spółki i osoby świadczące na rzecz Spółki usługi w ramach zawartych umów cywilnoprawnych), w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia, Spółka była zobowiązana do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych m.in. poprzez stosowanie odpowiednich zabezpieczeń technicznych, działania zmierzające do optymalnej konfiguracji wykorzystywanych systemów operacyjnych oraz regularne mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania w postaci testów bezpieczeństwa w zakresie infrastruktury informatycznej. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa.
Tymczasem w zgromadzonym materiale dowodowym nie znalazło się nic, co świadczyłoby o prawidłowo przeprowadzonej przez Spółkę analizie ryzyka dla procesu przetwarzania danych osobowych w formie elektronicznej (nie uzyskano odpowiedzi na przesyłane do Spółki wezwania do wyjaśnień). Nieoszacowanie poziomu ryzyka (lub błędne jego dokonanie) uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo wystąpienia naruszenia (przy czym podobne skutki może mieć niedopasowanie środków bezpieczeństwa do wniosków płynących z prawidłowej analizy ryzyka).
Niezależnie od okoliczności związanych z analizą ryzyka, należy stwierdzić, że Spółka nie zastosowała odpowiednich środków bezpieczeństwa. Brak odpowiednich zabezpieczeń technicznych stanowi podatność, a co za tym idzie stwarza wysokie zagrożenie w postaci zmniejszenia odporności systemu m.in. na działanie złośliwego oprogramowania. W rezultacie w analizowanej sprawie doszło do zmaterializowania się ryzyka: nastąpiło przełamanie zabezpieczeń systemu informatycznego Spółki wykorzystywanego przez nią do przetwarzania danych osobowych, a następnie dane znajdujące się w tym systemie zostały zaszyfrowane. Działanie złośliwego oprogramowania szyfrującego nie zostało powstrzymane przez działanie mechanizmów bezpieczeństwa systemów operacyjnych. Infekcja miała miejsce (…) maja 2020 r. (w sobotę), a jej skalę weryfikowano w trakcie okresowych badań poprawności działania serwerów i stanowisk komputerowych, przeprowadzanych przez pracowników.
Nie skupiając się na braku informacji dotyczących przeprowadzonej przez Spółkę analizy ryzyka, przy wykazywaniu zasadności niniejszej decyzji należy najpierw usystematyzować informacje o tym, jakie środki organizacyjne i techniczne zostały wdrożone przez Spółkę.
Ze względu na fakt, że informacje nie zawsze były udzielane przez Spółkę adekwatnie do zadawanych pytań (co w niektórych przypadkach jest istotne), w niniejszej decyzji wyjaśnienia Spółki przytaczane będą najczęściej wraz z treścią pytań, w odpowiedzi na które były one udzielane. Daty pism kierowanych przez Spółkę do tutejszego Urzędu będą w dalszej części niniejszego uzasadnienia konsekwentnie określane zgodnie z datą ich wpływu, jako że daty wskazane w treści przesyłanych pism tylko dwukrotnie są tożsame z datami ich wysyłki (np. w przypadku pisma z datą wpływu: (…) lipca 2021 r., data wskazana w nagłówku to (…) czerwca 2021 r., a data nadania to (…) lipca 2021 r.).
I tak na wezwanie organu nadzorczego z dnia (…) marca 2021 r. do wyjaśnień, kto, kiedy, w jaki sposób i przy użyciu jakich narzędzi dokonywał na polecenie administratora (przed wystąpieniem naruszenia ochrony danych osobowych) testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem (i jakich środków te działania dotyczyły), w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia (przy czym poproszono również o informację, czy w rezultacie tych działań Spółka dokonywała jakichkolwiek zmian w stosowanych przez siebie środkach - jeśli tak, to jakich i kiedy), Spółka udzieliła odpowiedzi pismem z dnia (…) kwietnia 2021 r., z którego wynika, że: „Spółka podejmowała szereg działań mających zapewnić bezpieczeństwo danych osobowych, w tym m.in.:
1. Środki techniczne:
a) Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zamykanymi na klucz
b) dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, przez całą dobę jest nadzorowany przez służbę ochrony
c) dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone przy użyciu niszczarek dokumentów
d) pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego lub wolnostojącej gaśnicy
e) dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, objęty jest systemem kontroli dostępu
f) pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy
2. Środki organizacyjne:
a) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych
b) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy
c) dane osobowe nie są udostępniane przez pracowników osobom postronnym w trakcie wykonywania czynności (np. pobieranie danych osobowych do faktury VAT przy innym kliencie)
d) przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego
3. Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
a) komputer służący do przetwarzania danych osobowych jest połączony z (…)
b) dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem (…) oraz (…).
4. Środki ochrony w ramach narzędzi programowych i baz danych:
a) wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych
b) dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem (…) oraz (…).
Testowanie, mierzenie i ocenianie skuteczności ww. środków odbywało się m.in. poprzez:
a) codziennie obchody pracowników ochrony wraz z weryfikacją zabezpieczeń pomieszczeń - w zakresie środków technicznych
b) przeprowadzanie szkoleń oraz sprawdzanie wiedzy pracowników, co było potwierdzane protokołami (kompletność szkoleń była dodatkowo sprawdzana przez okresowy przegląd teczek pracowniczych, dokonywany przez dział kadr) - w zakresie środków organizacyjnych
c) regularne sprawdzenie poprawności działania systemu informatycznego przez pracowników działu IT - w zakresie środków sprzętowych infrastruktury informatycznej i telekomunikacyjnej oraz środków ochrony w ramach narzędzi programowych i baz danych”.
Informacji dotyczących stosowanych przez Spółkę zabezpieczeń udzielono również w pismach z dni:
- (…) grudnia 2020 r., w którym wskazano, że Administrator przed wystąpieniem ataku ransomware utworzył m.in. kopię zapasową serwera oraz posiadał zainstalowany (…),
- (…) lutego 2021 r., w którym Spółka oświadczyła, że: „Poza środkami wymienionymi w piśmie z dnia (…).12.2020 r., Spółka korzysta z zapory sieciowej (…). Jednocześnie Spółka przygotowana jest do cyklicznej weryfikacji stanu bezpieczeństwa systemów teleinformatycznych oraz bieżącego monitorowania podatności w systemach Spółki i niezwłocznego usuwania znalezionych nieprawidłowości”.
Ostatnie z przytoczonych twierdzeń Spółki wywołuje wątpliwości nie tylko w związku z faktem, że - jak wskazała Spółka w piśmie z dnia (…) maja 2021 r.: „Regularne sprawdzanie poprawności działania systemu informatycznego Spółki polegało na cyklicznym, comiesięcznym logowaniu do serwerów i każdorazowym weryfikowaniu ich funkcjonowania” (podkreślenie własne). Deklaracje sugerujące przygotowanie Spółki do zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzanych danych osobowych w opinii Organu uznać należy za bezpodstawne również w kontekście trudności w przeprowadzeniu audytu bezpieczeństwa, o którym Spółka wspomina w wyjaśnieniach z dnia (…) lutego 2021 r.: „Spółka w najbliższej przyszłości zrealizuje audyt bezpieczeństwa z udziałem zewnętrznego, profesjonalnego podmiotu oraz wypełnieni wszystkie zalecenia poaudytowe”. Spółka zapytana o przeprowadzenie tego audytu najpierw wyjaśniła w piśmie z dnia (…) marca 2021 r., że: „(…) z uwagi na problemy z wygospodarowaniem środków finansowych, będące rezultatem przedłużającego się stanu epidemii, planujemy przeprowadzenie audytu bezpieczeństwa w drugim kwartale b.r.”, a następnie (ponownie zapytana o jego przeprowadzenie w dniu (…) czerwca 2021 r.) wskazała w piśmie z dnia (…) lipca 2021 r., że: „(…) dotąd nie przeprowadzono audytu, o którym mowa w piśmie Spółki datowanym na (…).03.2021 r. Powodem tego stanu rzeczy jest fakt, iż po zapoznaniu się jako nowy Zarząd z sytuacją finansową Spółki, a także po zaznajomieniu się z ofertami firm audytorskich, doszliśmy do wniosku, że w chwili obecnej przeprowadzenie audytu znacznie przekracza możliwości finansowe Spółki. Mogłoby to doprowadzić bowiem do zaburzenia zdolności operacyjną Spółki. Jednocześnie deklarujemy, iż po odzyskaniu przez Spółkę płynności finansowej, niezwłocznie zlecimy przeprowadzenie rzeczonego audytu”. W analizowanej sprawie audyt ten mógłby posłużyć wykryciu błędów i podatności - na podstawie uzyskanej w wyniku jego przeprowadzenia wiedzy Spółka mogłaby ustalić i wdrożyć odpowiednie środki zapewniające bezpieczeństwo przetwarzanych danych osobowych, minimalizując ryzyko ponownego wystąpienia naruszenia ochrony danych osobowych. Kolejnych wezwań do wyjaśnień dotyczących ww. audytu Spółka już nie odbierała.
W okolicznościach przedmiotowej sprawy nawet bez przeprowadzenia specjalistycznego audytu przez podmiot zewnętrzny można stwierdzić, że opisane przez Spółkę środki techniczne i organizacyjne nie były adekwatne do istniejącego ryzyka. Powinny one być dobrane z uwzględnieniem stanu wiedzy technicznej, kosztu wdrożenia, charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych - tymczasem okoliczności wystąpienia w przedmiotowej sprawie naruszenia ochrony danych osobowych, a także sposób, w jaki na nie zareagowano i przeciwdziałano jego skutkom, świadczy o ich nieadekwatności. Administrator przetwarzał dane osobowe wielu podmiotów i o szerokim zakresie, co powinno być wzięte pod uwagę jako czynnik wskazujący na konieczność zastosowania bardziej zaawansowanych zabezpieczeń niż w przedmiotowej sprawie. Nadto, proces ich odtwarzania trwał rażąco długo i organ nadzorczy wobec nieodbierania korespondencji przez Spółkę nie jest w stanie ustalić, czy zakończył się ich odzyskaniem w pełnym zakresie.
Podsumowując: wobec braku zastosowania przez Administratora innych niż wyżej wskazane środków bezpieczeństwa mających na celu zminimalizowanie ryzyka naruszenia ochrony danych osobowych, stwierdzić należy, że Spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych w czasie przetwarzania tych danych, tak aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, do czego była ona zobowiązana zgodnie z art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679. Świadczy to również o niedopełnieniu przez Spółkę obowiązków wynikających z art. 32 ust. 1 lit. b) rozporządzenia 2016/679 (nie zastosowała środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku wiążącemu się z przetwarzaniem danych osobowych poprzez zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania). Spółka nie wykazała, że została przeprowadzona prawidłowa ocena, czy ww. stopień bezpieczeństwa jest odpowiedni, przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych (której obowiązek dokonania wynika z art. 32 ust. 2 rozporządzenia 2016/679), co jest istotne również w kontekście oceny spełnienia przez Administratora obowiązku przewidzianego w art. 5 ust. 2 rozporządzenia 2016/679 (zasada rozliczalności). W tym miejscu należy podkreślić to, na co wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19: „(…) czynności o charakterze techniczno - organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych”. Wskazane przez Administratora środki techniczne i organizacyjne okazały się nieodpowiednie, co doprowadziło do sytuacji, w której systemy okazały się bardziej podatne na cyberataki, m.in. typu ransomware blokujące dostęp do danych oraz mające na celu żądanie okupu za ich odzyskanie.
Analizując wdrożone przez Spółkę środki organizacyjne i techniczne koniecznym jest również odniesienie się do wyjaśnień Spółki dotyczących kopii zapasowych.
Z oświadczeń Spółki wynika, że Administrator wprowadził procedury mające na celu zapewnienie zdolności do szybkiego przywrócenia dostępności danych osobowych w razie incydentu fizycznego lub technicznego. Postanowienia w tym zakresie zawarto m.in. w paragrafie (…) i (…) obowiązującej (…) (której treść została udostępniona organowi nadzorczemu wraz z pismem z dnia (…) lipca 2021 r.). Z postanowień tych wynika, że:
(Paragraf (…) - cyt.):
1) „W celu zapewnienia bezpieczeństwa przetwarzania danych osobowych wprowadza się obowiązek tworzenia kopii zapasowych. Proces tworzenia kopii zapasowych wykonuje Administrator.
2) Dostęp do kopii zapasowych posiadają wyłącznie Administrator lub inne upoważnione przez nich osoby.
3) Kopie zapasowe wszystkich zbiorów danych osobowych tworzy się automatycznie lub ręcznie zgodnie z ust. 4 poniżej lub według innego ustalonego harmonogramu. Do wykonania kopii zapasowej może być wykorzystywane oprogramowanie do archiwizacji.
4) Kopie zapasowe tworzone są raz na tydzień i obejmują kopie wszystkich danych oraz aplikacji”.
(Paragraf (…) - cyt.):
1. „Kopie zapasowe są przechowywane w (…), do którego dostęp posiada wyłącznie Administrator lub osoby przez nich upoważnione. Kopie zapasowe nie są przechowywane w pomieszczeniach, w których dochodzi do przechowywania zbiorów danych, które są używane w czasie bieżącej pracy.
2. Urządzenie do sporządzania kopii zapasowych przechowuje się w zamykanej szafie w pomieszczeniu, które nie jest miejscem bieżącego przetwarzania danych osobowych i zapewnia ochronę danych osobowych przed nieuprawnionym dostępem, modyfikacją, uszkodzeniem lub zniszczeniem.
3. Dane mogą być kopiowane na optyczne, magnetyczne lub inne nośniki pamięci po ich zaszyfrowaniu i przechowywane w zamkniętych na klucz pomieszczeniach lub szafach wewnątrz obszaru przetwarzania danych osobowych i nie powinny być bez uzasadnionej potrzeby wynoszone poza ten obszar. Dopuszczalne jest zlecenie przechowania tych nośników wyspecjalizowanemu podmiotowi zewnętrznemu, na podstawie odrębnej umowy. Po ustaniu przydatności tych kopii, zaprzestaniu przetwarzania znajdujących się na nich danych osobowych, dane należy trwale usunąć lub fizycznie zniszczyć nośniki, na których znajdują się dane, tak aby niemożliwym było odczytanie zapisanych danych.
4. Na czas trwania transportu nośniki, kopie i wydruki, o których mowa w ust. 1-3, umieszcza się w trwałych opakowaniach i chroni przed utratą, zniszczeniem lub uszkodzeniem. Przenosić lub przewozić mogą je tylko osoby do tego upoważnione”.
Organ nadzorczy żądając kolejnych wyjaśnień, zmierzał m.in. do ustalenia nie tylko przyjętych przez administratora procedur dotyczących kopii zapasowych, ale również tego, jakie działania faktycznie były podejmowane w tym zakresie przez Spółkę.
Z wyjaśnień udzielonych przez Spółkę pismem z dnia (…) grudnia 2020 r. wynika, że: „Przed datą zainfekowania utworzono m.in. kopię zapasową serwera (…)”, oraz że: „Administrator posiada kopie wszystkich danych (w formie papierowej)”. Nadto w piśmie z dnia (…) lutego 2021 r. Spółka wskazała, że: „Spółka posiada wszystkie dane, do których utracono dostęp w wyniku działania złośliwego oprogramowania. Ponadto Spółka posiada znaczną część danych w formie elektronicznej, które są generowane dzięki pomocy urzędów - stosownie do pkt 2” oraz (w pkt 2) że: „Stan ograniczenia dostępności do danych utrzymuje się od dnia (…).05.2020 r. Jednakże Spółka na bieżąco odzyskuje ww. dane, zwracając się o pomoc do urzędów, m.in. urzędu skarbowego”.
Uzyskawszy te informacje, organ nadzorczy zwrócił się do Spółki w dniu (…) kwietnia 2021 r. o udzielenie wyjaśnień w następującym zakresie:
- w jaki sposób prowadzona była przez administratora dokumentacja, której wersja elektroniczna została zaszyfrowana w wyniku działania złośliwego oprogramowania, przy czym poproszono o wyjaśnienie między innymi:
a) czy administrator tworzył na bieżąco zarówno wersję elektroniczną jak i papierową wytwarzanej dokumentacji; a jeśli tak, to w jaki sposób dokonywano weryfikacji zgodności ich treści,
b) czy tworzono również kopie elektroniczne wersji elektronicznej - a jeśli tak, to w jaki sposób administrator regularnie testował jej poprawność;
- kiedy administrator utworzył „kopię zapasową serwera” (o której mowa w piśmie Spółki, które wpłynęło do tutejszego Urzędu w dniu (…) grudnia 2020 roku), co ta kopia zawierała i czy nie mogła ona posłużyć administratorowi do odtworzenia wersji elektronicznej dokumentacji, do której utracono dostęp w wyniku działania złośliwego oprogramowania.
Spółka udzieliła wyjaśnień w piśmie z dnia (…) maja 2021 r. - wynika z niego, że: „Dokumentacja była prowadzona w następujący sposób:
a) tworzona była wersja papierowa dokumentacji, a następnie na jej podstawie wersja elektroniczna
b) tworzono również elektroniczne kopie wersji elektronicznej dokumentów - możliwe było na jej podstawie odtworzenie danych, lecz wiązało się to ze znacznymi wydatkami, których Spółka nie była w stanie udźwignąć ze względu na pogarszającą się sytuację finansową Spółki, co było wynikiem wprowadzonych obostrzeń, związanych z wprowadzeniem stanu zagrożenia epidemicznego, a następnie stanu epidemii” oraz że: „Kopia zawierała ustawienia konfiguracyjne serwera. Nie jesteśmy w stanie ustalić, kiedy została ona utworzona. Nie mogła posłużyć do odtworzenia wersji elektronicznej dokumentacji, ponieważ nie była pełna, a ponadto także uległa zainfekowaniu”.
Ze zgromadzonych przez Prezesa UODO informacji wynika więc, że Spółka nie podejmowała rzeczywistych działań, które zapewniły możliwość szybkiego przywrócenia dostępności danych osobowych przetwarzanych w formie elektronicznej w sytuacji wystąpienia incydentu technicznego. Oznacza to, że Spółka w tym zakresie działała nie tylko z naruszeniem przepisów m.in. art. 32 ust. 1 lit. c) rozporządzenia 2016/679, ale też wbrew procedurom, o których mowa w obowiązującej w Spółce (…). Dlatego też nie dziwi, że (jak wskazała Spółka w wyjaśnieniach z dnia (…) listopada 2020 r.): „Dostęp do utraconych danych nie został odzyskany (…)”. Niepokoi jednak bierność wykazywana przez Spółkę w obliczu zaistniałego naruszenia - Spółka zapytana przez organ nadzorczy w dniu (…) listopada 2020 r. o to, jakie działania zostały przez nią podjęte w celu odzyskania wszystkich zaszyfrowanych na skutek działania złośliwego oprogramowania danych, udzieliła w dniu (…) grudnia 2020 r. odpowiedzi, iż: „Administrator zweryfikował problem, ustalił brak możliwość rozszyfrowania i fakt, iż najkorzystniejsze będzie wstrzymanie się od ingerowania w system”.
Podsumowując, należy zatem stwierdzić, że przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych obowiązujące u Administratora zasady tworzenia kopii zapasowych nie zapewniały realizacji obowiązków wynikających z art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679, tj. zdolności do ciągłego zapewnienia dostępności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
Kontynuując rozważania dotyczące środków bezpieczeństwa, należy pamiętać, że rola administratora nie ogranicza się tylko do jednorazowego opracowania i wdrożenia środków organizacyjnych i technicznych mających zapewnić przetwarzanie danych osobowych zgodne z zasadami wyrażonymi w rozporządzeniu 2016/679. Konieczność bieżącej weryfikacji adekwatności tych środków jest szczególnie ważna w przypadku przetwarzania danych osobowych w formie elektronicznej. W przypadku zdarzenia takiego, jak to zaistniałe w przedmiotowej sprawie (atak ransomware), bardzo istotne jest przeanalizowanie prawidłowości przestrzegania przez Administratora jego obowiązku wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, tj. regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Organ nadzorczy wezwał więc w dniu (…) listopada 2020 r. Administratora do udzielenia wyjaśnień m.in. czy, a jeśli tak, to w jaki sposób dokonywał on regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia. Spółka w piśmie z dnia (…) grudnia 2020 r. wskazała jedynie, że: „Administrator cyklicznie dokonywał analizy systemów informatycznych”. Ze względu na lakoniczność udzielonej w tym zakresie odpowiedzi, Prezes UODO w piśmie z dnia (…) stycznia 2021 r. zwrócił się do Spółki o przedstawienie dowodów na dokonywanie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, zarówno przed jak i po wystąpieniu naruszenia. Administrator udzielił wyjaśnień w piśmie z dnia (…) lutego 2021 r. - wskazał w nim jednak jedynie, że: „Spółka w najbliższej przyszłości zrealizuje audyt bezpieczeństwa z udziałem zewnętrznego, profesjonalnego podmiotu oraz wypełnieni wszystkie zalecenia poaudytowe”. Jako, że odpowiedź zawarta w tym piśmie pozostała nieadekwatna do zadawanego pytania, Prezes UODO ponownie zwrócił się o wyjaśnienia w tym zakresie w wezwaniu z dnia (…) marca 2021 r. i pismem z dnia (…) marca 2021 r. uzyskał odpowiedź (cyt.): „(…) Spółka dokonywała regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, jednakże nie zostały sporządzone raporty z tych czynności”.
Jak już wcześniej wskazano, Prezes UODO podjął działania celem uzyskania od Spółki jakiegokolwiek potwierdzenia w tym zakresie - zwrócił się w dniu (…) marca 2021 r. do Spółki o udzielenie wyjaśnień: kto, kiedy, w jaki sposób i przy użyciu jakich narzędzi dokonywał na polecenie administratora (przed wystąpieniem naruszenia) testowania, mierzenia i oceniania skuteczności ww. środków technicznych i organizacyjnych (i jakich środków te działania dotyczyły), a także zwrócił się o udzielenie informacji, czy w rezultacie tych działań Spółka dokonywała jakichkolwiek zmian w stosowanych przez siebie środkach - jeśli tak, to jakich i kiedy. W odpowiedzi udzielonej pismem z dnia (…) kwietnia 2021 r. wskazano jedynie na podejmowane przez Spółkę działania mające zapewnić bezpieczeństwo danych osobowych, które również zostały wcześniej przywołane i które nie pozostawały w związku z zadanym przez organ nadzorczy pytaniem (i które notabene zostały następnie w piśmie z dnia (…) lipca 2021 r. podane jako środki bezpieczeństwa zastosowane przez administratora w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia).
To, w jaki sposób Spółka udziela wyjaśnień dotyczących podejmowania przez siebie działań mających na celu regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem i to, że nie przedstawia (mimo wezwania organu nadzorczego) żadnych dowodów na ich podejmowanie, należy wziąć pod uwagę również przy ocenie przestrzegania przez Spółkę obowiązków wynikających z art. 5 ust. 2 rozporządzenia 2016/679. Pomimo braku konkretnych odpowiedzi na pytania zadawane Spółce, informacje uzyskane od Administratora pozwalają na stwierdzenie, że działania podejmowane przez niego były nieadekwatne. Zdarzenie w postaci zaszyfrowania danych nastąpiło (…) maja 2020 r., a jego skala nie była określana w ramach działań doraźnych, lecz - jak wskazano w piśmie z dnia (…) lutego 2021 r. - cyt.: „Ustalenia faktu zainfekowania trzech serwerów (przy jednoczesnym braku zainfekowania stanowisk komputerowych) dokonano na skutek okresowych badań poprawności działania serwerów i stanowisk komputerowych, przeprowadzanych przez pracowników”. Logicznym wydaje się, że weryfikacjitak istotnej informacji, jak to, jakie dane i gdzie się znajdujące zostały zaszyfrowane w wyniku ataku ransomware, powinno się dokonywać w ramach działań podejmowanych przez Administratora ad hoc - najszybciej, jak to możliwe. Stwierdzenia takie niepokoją również w kontekście odpowiedzi, której Spółka udzieliła na wezwanie organu nadzorczego z dnia (…) kwietnia 2021 r. do wyjaśnień, na czym polegało „regularne sprawdzenie poprawności działania systemu informatycznego przez pracowników działu IT - w zakresie środków sprzętowych infrastruktury informatycznej i telekomunikacyjnej oraz środków ochrony w ramach narzędzi programowych i baz danych” (wskazane w piśmie spółki z dnia (…) kwietnia 2021 roku), w ramach którego poproszono również o opisanie procedury podejmowania ww. czynności wraz z informacją o częstotliwości powtarzania tych działań. Spółka wyjaśniła bowiem w piśmie z dnia (…) maja 2021 r., że: „Regularne sprawdzanie poprawności działania systemu informatycznego Spółki polegało na cyklicznym, comiesięcznym logowaniu do serwerów i każdorazowym weryfikowaniu ich funkcjonowania” (podkreślenie własne).
Działania Spółki, które przeanalizowano powyżej, nie wyczerpują w pełni obowiązku administratora określonego w art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Biorąc pod uwagę wyjaśnienia Spółki oraz efekty działań, o których w tych wyjaśnieniach mowa, należy stwierdzić, że testom nie były poddawane w pełnym zakresie zabezpieczenia techniczne oraz organizacyjne w odniesieniu do systemów informatycznych wykorzystywanych do przetwarzania danych osobowych. W związku z powyższym Administrator nie był w stanie wykazać, ani stwierdzić, że zastosowane środki bezpieczeństwa posiadają znamiona wystarczalności. Wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych. Takich działań Spółka jednak nie podejmowała, co przesądza o naruszeniu tego przepisu rozporządzenia 2016/679.
Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Natomiast w przedmiotowym stanie faktycznym nie sposób uznać, że Spółka wywiązywała się z tego obowiązku, weryfikując i modyfikując poziom skuteczności wdrożonych zabezpieczeń. Działanie administratora polegające na comiesięcznym logowaniu do serwerów i weryfikacji ich działania w sposób nieprzybliżony nawet organowi nadzorczemu, nie może zostać jednak uznane za realizację obowiązku określonego powołanym przepisem rozporządzenia 2016/679. Jak wspomniano wyżej, Spółka nie wykazała bowiem (wbrew obowiązkowi przewidzianemu w art. 5 ust. 2 rozporządzenia 2016/679) ani faktu ani sposobu przeprowadzania w sposób regularny testów dotyczących weryfikacji zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych, objętych przedmiotowym naruszeniem ochrony danych osobowych.
Zastrzeżenia może budzić również skuteczność tych testów, które, jak wynika z wyjaśnień Spółki, były przeprowadzane. Ich rezultatem nie było bowiem wprowadzenie lub modyfikacja już istniejących zabezpieczeń systemów informatycznych zapewniających odpowiedni poziom bezpieczeństwa przetwarzanych przez Spółkę danych. Nie mogły więc skutecznie posłużyć celowi takiego testowania, jakim jest identyfikacja i adekwatna reakcja Administratora na stale pojawiające się nowe zagrożenia.
Dokonane ustalenia nie dają podstawy do stwierdzenia, że środki techniczne i organizacyjne stosowane przez Spółkę w celu zapewnienia bezpieczeństwa danych osobowych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania; środki te w ocenie Prezesa UODO nie były w odpowiedni sposób poddawane przeglądom i uaktualniane, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych.
Należy zauważyć, że rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty, które przetwarzają dane osobowe, zobligowane są nie tylko do zapewnienia zgodności tego przetwarzania z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Z analizy zaistniałego naruszenia wynika, że przyjęta przez Spółkę metodyka wewnętrznych testów nie była w stanie wykazać rzetelnej oceny stanu bezpieczeństwa systemów informatycznych wskazującej wszystkie podatności oraz odporności na próby przełamania zabezpieczeń na skutek nieuprawnionego działania osoby trzeciej oraz złośliwego oprogramowania. Wobec powyższego ocena stanu bezpieczeństwa okazała się niewystarczająca w zakresie zastosowania odpowiednich zabezpieczeń technicznych i organizacyjnych.
Jak już zasygnalizowano wcześniej, wyjaśnienia udzielane przez Spółkę, które dotyczą m.in. wykonywania przez nią obowiązku przewidzianego w art. 32 ust. 1 lit. d) rozporządzenia 2016/679, również wskazują na nieprzestrzeganie przez Administratora zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. Ponadto pozwalają one odpowiednio zobrazować przebieg współpracy Administratora z organem nadzorczym. Analiza treści przesyłanych przez Spółkę pism pozwala stwierdzić, że udzielane przez nią wyjaśnienia są często lakoniczne, a ponadto bywają niespójne lub niepoparte żądanymi przez organ nadzorczy dowodami. Administrator wydaje się unikać odpowiedzi na niektóre pytania, a za przejaw nieodpowiedniej postawy Administratora należy uznać fakt przesłania aż sześciokrotnie wyjaśnień nieopatrzonych podpisem osoby uprawnionej do reprezentowania Spółki (które w pięciu przypadkach dopiero na żądanie organu były „potwierdzane” przez Spółkę), a także przesłania wyjaśnień udzielonych w imieniu zupełnie innej spółki. Zgromadzony w przedmiotowej sprawie materiał dowodowy świadczący (w najlepszym przypadku) o biernej postawie Administratora wobec zaistniałego naruszenia oraz prowadzonego przez organ nadzorczy postępowania, uzasadnia również negatywną ocenę realizacji przez niego obowiązków przewidzianych w rozporządzeniu 2016/679.
Niespójność niektórych z wyjaśnień udzielanych przez Administratora dobrze obrazują odpowiedzi udzielane przez niego na pytania organu nadzorczego dotyczące tego, czyich danych osobowych (i ilu osób fizycznych) dotyczyło naruszenie.
I tak, Spółka (do której zwrócono się w dniu (…) listopada 2020 r. o wskazanie przybliżonej liczby osób, których mogło dotyczyć naruszenie - łącznie z osobami, które są lub były stronami umów na usługę ochrony zawartych przez Spółkę), udzieliła odpowiedzi w piśmie z dnia (…) grudnia 2020 r. (cyt.): „Naruszenie mogło dotyczyć ok. tysiąca osób”.Następnie Prezes UODO zwrócił się do Administratora w dniu (…) stycznia 2021 r. o wyjaśnienie, w jaki sposób Spółka dokonała ustalenia i ewentualnej weryfikacji przybliżonej liczby osób, których mogło dotyczyć naruszenie. Spółka w dniu (…) lutego 2021 r. wyjaśniła, że: „Przybliżona liczba osób odpowiada ilości pracowników administracyjnych (około 30 osób). W tym miejscu wskazuję, iż w piśmie z dnia (…).12.2020 r. w wyniku oczywistej omyłki pisarskiej wskazano inną liczbę osób” (podkreślenie własne). Jako że informacja dotycząca tego, czyje dane osobowe zostały zaszyfrowane była sprzeczna z wcześniej udzieloną w tym zakresie informacją (pismem z dnia (…) listopada 2020 r.), Prezes UODO zwrócił się do Administratora w dniu (…) kwietnia 2021 r. o wyjaśnienie, czy zaszyfrowane dane dotyczyły „wszystkich pracowników Spółki i osób świadczących na rzecz Spółki usługi w ramach zawartych umów cywilnoprawnych” (jak wskazano w piśmie Spółki, które wpłynęło do tutejszego Urzędu w dniu (…) listopada 2020 roku), czy jednak: „pracowników administracyjnych” (jak wyjaśnił administrator w piśmie z dnia (…) lutego 2021 roku). Spółka w piśmie z dnia (…) maja 2021 r. wyjaśniła, że: „Atak dotyczył pracowników Spółki i osób świadczących na rzecz Spółki usługi w ramach zawartych umów cywilnoprawnych”.
Podobnie niesatysfakcjonujące wydają się być wyjaśnienia udzielone przez Spółkę wezwaną w dniu (…) listopada 2020 r. o udostępnienie kopii raportu z przeprowadzonego przez Spółkę audytu systemu informatycznego pod kątem możliwości uzyskania dostępu do danych w nim przetwarzanych, o którym to audycie Spółka pisała w wyjaśnieniach z dnia (…) października 2020 roku. Administrator udzielił w tym zakresie wyjaśnień w dniu (…) grudnia 2020 r. - wskazał w nich, że: „Nie posiadamy kopii raportu przeprowadzonego audytu uwagi na fakt, iż był to audyt przeprowadzony przez pracowników Spółki i nie sporządzono z niego raportu” (podkreślenie własne). Odpowiedź ta była lakoniczna, ale pozostawiała nadzieję, że organ nadzorczy będzie mógł uzyskać od Spółki jakiekolwiek dodatkowe informacje w tym zakresie - choćby pochodzące z notatek sporządzonych z rozmów przeprowadzonych przez Administratora z ww. pracownikami. Dlatego w dniu (…) stycznia 2021 r. Prezes UODO zwrócił się do Spółki o udzielenie wyjaśnień, czy osoby przeprowadzające audyt systemu informatycznego pod kątem możliwości uzyskania dostępu do danych w nim przetwarzanych, o którym to audycie Spółka pisze w wyjaśnieniach z dnia (…) października 2020 roku, posiadały kwalifikacje do jego przeprowadzenia i w jaki sposób przedstawiły jego wyniki zarządowi Spółki, a ponadto jeśli wyniki te zostały przekazane zarządowi ustnie, zwrócił się o przedstawienie przez Spółkę oświadczeń osób sporządzających raport o jego treści. Niestety, Spółka udzieliła w dniu (…) lutego 2021 r. wyjaśnień, z których wynikało, że: „Wyniki audytu zostały przekazane ustnie z uwagi na fakt, iż dla spółki priorytetowe było przywrócenie możliwości niezakłóconego funkcjonowania. Nie został sporządzony żaden szczegółowy raport. Logi systemowe (…) były analizowane ręcznie za pomocą wbudowanej aplikacji (…) (…). Podmiot dokujący ustaleń nie współpracuje już ze Spółką, zatem Spółka nie ma możliwości uzyskania oświadczeń” (podkreślenie własne).
Niestety, jak wyżej wskazano, otrzymywanie niespójnych czy lakonicznych wyjaśnień nie stanowiło jedynej trudności w ustalaniu stanu faktycznego w przedmiotowej sprawie. Również uzyskanie przez organ nadzorczy od Administratora jakichkolwiek dokumentów stanowiło trudny do wyjaśnienia z punktu widzenia tego organu problem, który dotyczył nawet dokumentów finansowych Spółki, o których przedstawienie w terminie 30 dni od dnia otrzymania żądania Prezes UODO zwrócił się do Spółki w dniu (…) stycznia 2021 r. na podstawie art. 101a ust. 1 uodo. Na podstawie tego przepisu Prezes UODO zwrócił się konkretnie o przesłanie w terminie 30 dni od dnia otrzymania żądania, rocznego sprawozdania finansowego Spółki za rok 2020 (a w razie jego braku oświadczenia dotyczącego całkowitego rocznego obrotu za rok 2020 oraz rocznego sprawozdania finansowego za rok 2019). Brak reakcji Spółki na wezwanie Prezesa UODO w tym zakresie zmusił organ nadzorczy do wezwania Administratora w dniu (…) kwietnia 2021 r. do wyjaśnień, z jakich przyczyn Spółka nie przedstawiła tych dokumentów w przewidzianym ww. ustawą terminie oraz do ponownego zwrócenia się o przekazanie tutejszemu Urzędowi brakujących dokumentów. Prezes UODO w tym samym piśmie zwrócił Spółce uwagę, że brak złożenia wyjaśnień w ww. zakresie może skutkować nałożeniem administracyjnej kary pieniężnej zgodnie z art. 83 ust. 5 lit. e) rozporządzenia 2016/679 oraz pouczył o treści art. 108 ust. 2 w zw. z art. 108 ust. 1 uodo, z którego wynika, że ten, kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Po upływie prawie czterech miesięcy od pierwotnego wezwania, Spółka w piśmie z dnia (…) maja 2021 r. wskazała, że: „Spółka nie przedstawiła rocznego sprawozdania finansowego za 2020 ze względu na fakt, iż Spółka ma przesunięty rok obrotowy i nie pokrywa się on z rokiem kalendarzowym. Rok obrotowy w Spółce zakończył się w dniu (…) marca 2021 r. W związku z powyższym sprawozdanie finansowe za okres od (…).04.2020 r. do (…).03.2021 r. nie zostało jeszcze sporządzone”. Wraz z tym pismem Spółka przesłała też sprawozdanie finansowe za okres od (…).04.2019 r. do (…).03.2020 r., które musiało być sporządzone znacznie wcześniej.
Fakt nieprzedstawiania w terminie ww. dokumentów na żądanie Prezesa UODO należy oceniać negatywnie - zwłaszcza biorąc pod uwagę to, że ich niedostarczenie może się wiązać z odpowiedzialnością karną. Nawet jeśli działanie to było jednorazowe. Działaniem wielokrotnym tymczasem (mającym znamiona nagminnego) i szczególnie niepokojącym było przesyłanie przez Spółkę organowi nadzorczemu pism niepodpisanych przez osoby uprawnione do jej reprezentowania. Ze względu na nieuzupełnianie tych braków przez Spółkę z własnej inicjatywy, organ nadzorczy zwracał się do niej o potwierdzanie oświadczeń zawartych w pismach Spółki, które wpłynęły do tutejszego Urzędu nieopatrzone podpisami w dniach: (…) października 2020 r., (…) listopada 2020 r., (…) listopada 2020 r., (…) grudnia 2020 r., a także (…) marca 2021 r. (pismo z dnia (…) kwietnia 2021 r. zostało bowiem potwierdzone przez niewzywaną do tego Spółkę). Trudno to uznać za coś innego niż wyraz lekceważenia Spółki wobec organu nadzorczego. Podobnie niepokojący był fakt, że wyjaśnienia z dnia (…) sierpnia 2020 r. zostały podpisane przez osoby reprezentujące zupełnie inną spółkę, co było następnie tłumaczone przez Administratora „omyłką sekretariatu”.
Co prawda, lakoniczność udzielanych przez Spółkę odpowiedzi już wyżej wykazano, lecz warto ją dodatkowo zobrazować, przytaczając odpowiedzi udzielane przez Spółkę na niektóre pytania, które zadawano Administratorowi usiłując ustalić, na jakiej podstawie zaniechał on wykonania obowiązków przewidzianych w art. 33 ust. 1 i 34 ust. 1 i 2 rozporządzenia 2016/679.
Prezes UODO wezwał Spółkę w dniu (…) października 2020 r. do wyjaśnień: „Czy administrator dokonał analizy wpływu braku dostępności do systemów informatycznych objętych naruszeniem na prawa oraz wolności osób, których dane dotyczą”,a także:»W jaki sposób administrator dokonał ustalenia, że „nie doszło do transferu danych poza firmowy system” - proszę o wskazanie czynności podjętych w tym zakresie oraz metod weryfikacji poczynionych ustaleń«. Spółka w wyjaśnieniach udzielonych pismem z dnia (…) listopada 2020 r. poinformowała, że: „Administrator dokonał analizy wpływu braku dostępności do systemu informatycznego objętego naruszeniem na prawa i wolności osób, których dane dotyczą. W wyniku rzeczonej analizy ustalono, iż nie jest prawdopodobne, by naruszenie naraziło na ryzyko prawa i wolności osób fizycznych”, a także że: »Administrator na podstawie badania przepływu danych wychodzących ustalił, iż nie doszło do transferu danych poza firmowy serwer. Naruszenie stanowiło typowy przypadek tzw. „ransomware” - dane nie zostały pobrane przez osobę nieupoważnioną, a jedynie zaszyfrowane w sposób uniemożliwiający uzyskanie do nich dostępu«. Sposób udzielenia ostatniej z przywołanych odpowiedzi spowodował konieczność ponownego zwrócenia się w dniu (…) listopada 2020 r. przez organ nadzorczy o wyjaśnienia w tym zakresie. Spółka w piśmie z dnia (…) grudnia 2020 r. udzieliła jedynie informacji, że: „(…) jest zainstalowany na styku z dostępem do Internetu i w 100% blokuje ruch wychodzący z wewnątrz sieci korporacyjnej. W procesie analizy (…) logów z urządzeń sieciowych oraz zdarzeń systemowych nie zaobserwowano żadnych śladów eksfiltracji danych”. Ze względu na lakoniczność przekazanych informacji organ nadzorczy w dniu (…) stycznia 2021 r. zwrócił się do Spółki o m.in. przekazanie wyników analizy (…) logów z urządzeń sieciowych oraz zdarzeń systemowych oraz o przekazanie dowodów wskazujących na to, że nie doszło do utraty poufności i integralności danych. Żądanie przekazania dowodów nie zostało jednak przez Spółkę nigdy spełnione.
Jak już wcześniej zasygnalizowano, Spółka wydaje się w pewnych kwestiach unikać udzielania wyjaśnień żądanych przez organ nadzorczy. Przykład takiego postępowania Administratora mogą stanowić udzielane przez niego wyjaśnienia w związku z wezwaniem go (pismem z dnia (…) listopada 2020 r.) do wskazania, czy przeprowadził wewnętrzne postępowanie wyjaśniające, które umożliwiło ustalenie, w jaki sposób doszło do zaszyfrowania danych przez złośliwe oprogramowanie; jakie były okoliczności, źródło oraz przyczyny powstania naruszenia (a jeśli tak - poproszono również o wskazanie poczynionych w tym zakresie ustaleń). Spółka w piśmie z dnia (…) grudnia 2020 r. wskazała jedynie, że „Szczegóły dotyczące postępowania wyjaśniającego ujawniono w trakcie postępowania prowadzonego przez Policję na skutek złożonego zawiadomienia o popełnieniu przestępstwa. Informacje takie znajdują się zatem w aktach sprawy”. W związku z tak sformułowaną odpowiedzią, organ nadzorczy ponownie wezwał Spółkę w dniu (…) stycznia 2021 r. do wyjaśnień w tym zakresie (wskazując jednocześnie, że okoliczność przedstawiona przez Administratora w piśmie, które wpłynęło do tutejszego Urzędu w dniu (…) grudnia 2020 roku, nie uzasadnia nie przekazania tych informacji Prezesowi UODO). Administrator w piśmie z dnia (…) lutego 2021 r., wyjaśnił, że: „Na podstawie wstępnego postępowania wyjaśniającego ustalono, iż Spółka nie posiada narzędzi ani środków, dzięki którym możliwe byłoby ustalenie przyczyn i dokładnych okoliczności zdarzenia. W związku z powyższym zdecydowano się przekazać sprawę organom ścigania”. Prezes UODO wezwał więc Spółkę w dniu (…) marca 2021 r. do wskazania dotychczasowych rezultatów postępowań prowadzonych przez organy ścigania dotyczących przedmiotowego naruszenia, a po uzyskaniu w dniu (…) marca 2021 r. odpowiedzi, z której wynikało, że Spółka zwróciła się już do organów ścigania o przedstawienie informacji w tym zakresie i oczekuje na odpowiedź, zwrócił się dodatkowo (w dniu (…) marca 2021 r.) o wskazanie terminu, w jakim mają zostać Spółce przekazane informacje przez te organy. W odpowiedzi na ostatnie z tych wezwań, Spółka wskazała jedynie w piśmie z dnia (…) kwietnia 2021 r., że oczekuje na odpowiedź tych organów. Żadne dodatkowe informacje w tym zakresie nie zostały przez Spółkę udzielone Prezesowi UODO do dnia wydania niniejszej decyzji.
Prezes UODO podejmował próby wyjaśnienia Spółce poczynionych przez nią błędnych założeń - za przykład może posłużyć to, w jaki sposób zwracano się o wyjaśnienia niezbędne do ustalenia, czy doszło do naruszenia obowiązku z art. 33 ust. 1 rozporządzenia 2016/679.
Jak już wcześniej nadmieniono, organ nadzorczy zwrócił się do Administratora w dniu (…) lipca 2020 r. z prośbą o udzielenie informacji, czy w związku z zaistniałą sytuacją dokonana została analiza incydentu pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie.
W odpowiedzi na powyższe, w dniu (…) sierpnia 2020 r. do tutejszego Urzędu wpłynęło pismo, w którym dwaj członkowie zarządu innej spółki udzielili następującej informacji: „Działając w imieniu P. S.A., w odpowiedzi na wezwanie do złożenia wyjaśnień z dnia (…).07.2020 r., niniejszym informujemy, iż dostęp do dokumentacji prowadzonej w formie elektronicznej, o której mowa w rzeczonym wezwaniu, nie został utracony, a jedynie zablokowany. Wobec powyższego należy uznać, iż nie ma ryzyka naruszenia praw lub wolności osób fizycznych, a zatem stosownie do art. 33 ust. 1 Ogólnego Rozporządzenia o ochronie danych nie zachodzi potrzeba zgłaszania naruszenia” (podkreślenie własne).
W piśmie z dnia (…) września 2020 r. skierowanym do Administratora organ nadzorczy wezwał go więc do wyjaśnień, z jakich przyczyn na wezwanie do złożenia wyjaśnień skierowane do P. Sp. z o.o. z siedzibą w W. odpowiedzi udzielił zarząd innej spółki. Prezes UODO zasygnalizował jednocześnie Spółce, co powinna wziąć pod uwagę dokonując ww. analizy: zaznaczając, że kierując do Spółki kolejne wezwanie nie odnosi się do zasadności przedstawionego w piśmie z (…) sierpnia 2020 r. tłumaczenia chociażby w kontekście Wytycznych Grupy Roboczej Art. 29 dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP250rev.01), zwanych dalej „Wytycznymi” [1].
Niestety przedstawiciel Spółki nie odniósł się do tej sugestii i w odpowiedzi z dnia (…) września 2020 r. wyjaśnił, że pismo z dnia (…) sierpnia 2020 r.: „(…) w wyniku omyłki sekretariatu spółki zostało sygnowane złą firmą, co z kolei spowodowało złożenie podpisów przez zarząd innej spółki”, a także oświadczył, że: „(…) w pełni podtrzymuję stanowisko zawarte w piśmie z dnia (…).08.2020 r. i jest ono stanowiskiem spółki (…) Sp. z o.o.”.
Prezes UODO pismem z dnia (…) września 2020 r. poinformował więc Spółkę, że: »(…) zgodnie z art. 4 pkt 12 ogólnego rozporządzenia o ochronie danych „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Zablokowanie dostępu do danych jest jednoznaczne z utratą dostępu do nich przez administratora - warto przy tym zwrócić uwagę na Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP250rev.01)(…) Grupy Roboczej Art. 29, z których wynika między innymi, że „Jeżeli chodzi o pojęcie „utraty” danych osobowych, należy interpretować je jako odnoszące się do sytuacji, w której dane mogą nadal istnieć, ale administrator utracił nad nimi kontrolę, nie posiada już do nich dostępu lub nie znajduje się już w ich posiadaniu”«. W tym samym piśmie organ nadzorczy zwrócił się też do Administratora o udzielenie wyjaśnień: na czym polega w przypadku Spółki zablokowanie dostępu do dokumentacji prowadzonej w formie elektronicznej, a ponadto ponownie zwrócił się o udzielenie informacji, czy w związku z zaistniałą sytuacją dokonana została analiza incydentu pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie.
Spółka w dniu (…) października 2020 r. wyjaśniła, że: „(…) w przypadku Spółki zablokowanie dostępu do dokumentacji prowadzonej w formie elektronicznej polega na utraceniu możliwości otwierania plików znajdujących się na dysku oraz zmianie rozszerzenia rzeczonych plików” oraz że: „(…) Spółka dokonała audytu systemu informatycznego pod kątem możliwości uzyskania dostępu do danych w nim przetwarzanych. Wynik audytu wskazuje, że nie doszło do uzyskania dostępu do informacji. Zostały one jedynie zaszyfrowane przez złośliwe oprogramowanie na nośnikach, na których były przechowywane - w celu osiągnięcia korzyści majątkowej. Nie doszło do transferu danych poza firmowy system”. Ten sam argument Administrator przywołał w pismach, które wpłynęły do tutejszego Urzędu w dniach:
- (…) lutego 2021 r., w którym oświadczył, że: „Spółka ponownie podkreśla, iż nie doszło do naruszenia danych osobowych, a jedynie zablokowania dostępu do danych”.
- (…) lipca 2021 r., w którym oświadczył, że: »(…) w dokumentacji Spółki nie odnotowano naruszenia danych osobowych, albowiem - jak wielokrotnie Spółka informowała tut. Organ - przedmiotowe zdarzenie nie stanowiło tzw. incydentu bezpieczeństwa, a więc naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 Rozporządzenia. Zgodnie z ww. przepisem naruszeniem ochrony danych osobowych są wyłącznie sytuacje prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia danych, utracenia/zmodyfikowania danych, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Tymczasem w niniejszym przypadku doszło jedynie do zablokowania dostępu do danych prowadzonych w systemie informatycznym. Mieliśmy zatem do czynienia z klasycznym przypadkiem tzw. „ransomware”. Badania przepływu danych dokonane w dniu zdarzenia jednoznacznie wskazywały, iż nie doszło do transferu danych poza system Spółki. Nie zaszła zatem żadna z przesłanek wymienionych w art. 4 pkt 12 Rozporządzenia, w szczególności nie miała miejsca sytuacja wejścia w posiadanie danych osobowych przez osobę nieuprawnioną«.
Spółka, mimo wielokrotnych prób sprowokowania jej przez organ nadzorczy do pogłębionej analizy zaistniałego zdarzenia, w wyniku którego doszło do zaszyfrowania przetwarzanych przez nią w formie elektronicznej danych, nie dostrzega w nim naruszenia ochrony danych osobowych, ani wiążącego się z nim ryzyka naruszenia praw lub wolności osób fizycznych, których te dane dotyczą. Wyjaśnienia udzielone przez Spółkę dotyczącego tego, czy w wyniku tego zdarzenia doszło również do naruszenia poufności danych osobowych, które zostały zaszyfrowane, są niezadowalające. Poza wyżej wskazanymi, Spółka udzieliła pewnych informacji w tym zakresie w piśmie z dnia (…) grudnia 2020 r., z których wynika że: „(…) jest zainstalowany na styku z dostępem do Internetu i w 100% blokuje ruch wychodzący z wewnątrz sieci korporacyjnej. W procesie analizy (…) logów z urządzeń sieciowych oraz zdarzeń systemowych nie zaobserwowano żadnych śladów eksfiltracji danych”. Jak już wspomniano Prezes UODO wezwał Spółkę w dniu (…) stycznia 2021 r. do przekazania wyników przeprowadzonej analizy (…) logów z urządzeń sieciowych oraz zdarzeń systemowych, a także o wskazanie narzędzi użytych do jej przeprowadzenia, a ponadto poprosił o przekazanie dowodów wskazujących na to, że nie doszło do utraty poufności i integralności danych, jednak z odpowiedzi udzielonej przez Spółkę pismem z dnia (…) lutego 2021 r., wynika jedynie, że: „Logi systemowe (…) były analizowane ręcznie za pomocą wbudowanej aplikacji (…) (…) - vide pkt 1. Wykryto tam zdarzenia potwierdzające infekcję ransomware z rodziny (…) (…). Zidentyfikowane stacje były jedynymi, których dotknęła infekcja. Logi z przepływów sieciowych zidentyfikowane w czasie zaistnienia incydentu potwierdziły wielokrotne próby logowania do wystawionej do internetu stacji, nie znaleziono natomiast żadnych logów dotyczących prób komunikacji zewnętrznej”. Nie przekazano dowodów we wnioskowanym przez organ nadzorczy zakresie.
Prezes UODO zwrócił się ponadto do Spółki w wezwaniu z dnia (…) marca 2021 r. o opis przebiegu analizy wpływu naruszenia (polegającego na utracie dostępu do danych osobowych przetwarzanych w formie elektronicznej) na prawa lub wolności osób fizycznych nim dotkniętych - wraz z uzasadnieniem dokonanej przez administratora w tym zakresie oceny ryzyka. W wyjaśnieniach udzielonych przez Administratora pismem z dnia (…) marca 2021 r., w ogóle nie odniesiono się do tego pytania, dlatego organ nadzorczy ponownie wezwał Spółkę w dniu (…) marca 2021 r. do wyjaśnień w tym zakresie.
Administrator pismem z dnia (…) kwietnia 2021 r. wskazał jedynie, że: »(…) ze względu na fakt, iż ustalono, że osoby trzecie nie miały dostępu do danych, które zostały zablokowane, nie istniało żadne ryzyko naruszenia praw lub wolności osób fizycznych. Przedmiotowe zdarzenie było przypadkiem tzw. „ransomware” i polegało wyłącznie na uniemożliwieniu otwierania plików. Jak wskazywaliśmy wcześniej, nie doszło do jakiegokolwiek transferu danych poza system Spółki«.
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679 „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowią, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie zart. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Z treści przywołanych wyżej przepisów rozporządzenia 2016/679 wynika, że w przypadku wystąpienia naruszenia ochrony danych osobowych po stronie administratora danych powstaje obowiązek zgłoszenia go Prezesowi UODO, jeśli z danym naruszeniem wiąże się ryzyko naruszenia praw lub wolności osób fizycznych - niezależnie od poziomu tego ryzyka.
W przedmiotowej sprawie, co jednoznacznie wynika z dokonanych ustaleń, doszło do zaszyfrowania danych osobowych (tj. utraty dostępności danych przetwarzanych w formie elektronicznej) w dniu (…) maja 2020 r. około trzydziestu osób: pracowników Spółki oraz osób świadczących na jej rzecz usługi na podstawie zawartych z nią umów cywilnoprawnych, w postaci: nazwisk, imion, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, numerów telefonów oraz numerów ich dowodów osobistych. Spółka wyjaśniała, że utworzona przez nią kopia zapasowa tych danych nie może posłużyć do ich odzyskania (nie była pełna, a ponadto również została zaszyfrowana) oraz że część danych w formie elektronicznej jest odzyskiwana stopniowo z pomocą urzędów (co oznacza, że dostępność części utraconych w wyniku ataku ransomware danych osobowych nie może zostać przywrócona w oparciu o dane zgromadzone w dokumentacji papierowej). Należy w tym miejscu również podkreślić, że Spółce wskazywano na treść art. 4 pkt 12 rozporządzenia 2016/679 oraz na to, iż zablokowanie dostępu do danych jest jednoznaczne z utratą dostępu do nich przez administratora. Ponadto zwracano Administratorowi uwagę na treść Wytycznych, z których wynika m.in., że »Jeżeli chodzi o pojęcie „utraty” danych osobowych, należy interpretować je jako odnoszące się do sytuacji, w której dane mogą nadal istnieć, ale administrator utracił nad nimi kontrolę, nie posiada już do nich dostępu lub nie znajduje się już w ich posiadaniu«. W analizowanej sprawie doszło do naruszenia bezpieczeństwa prowadzącego co najmniej do utraty dostępności danych tych osób, co przesądza, że wystąpiło naruszenie ochrony danych osobowych. „Co najmniej” bowiem - w świetle braku dowodów - nie ma pewności, że nie nastąpiła także utrata poufności tych danych. Warto w tym miejscu także wskazać na Wytyczne Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętych w dniu 14 grudnia 2021 r., wersja 2.0, w których podniesiono m.in., że „Administrator musi pamiętać, że jeśli atak jest bardziej zaawansowany, złośliwe oprogramowanie może edytować pliki dziennika i usuwać ślady. Zatem - biorąc pod uwagę, że dzienniki nie są przekazywane ani replikowane do centralnego serwera dzienników - nawet po przeprowadzeniu dokładnego dochodzenia, w trakcie którego wykazano, że dane osobowe nie zostały eksfiltrowane przez sprawcę ataku administrator danych nie może stwierdzić, że brak wpisu w dzienniku dowodzi braku eksfiltracji, a zatem nie można całkowicie odrzucić prawdopodobieństwa naruszenia dotyczącego poufności”.
Naruszenie ochrony danych osobowych, jakie wystąpiło w niniejszej sprawie, wbrew twierdzeniom Spółki zawartym w korespondencji kierowanej do Prezesa UODO, skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. Jak wskazuje Grupa Robocza Art. 29 w Wytycznych: „Oceniając ryzyko dla osób fizycznych będące wynikiem naruszenia, administrator powinien uwzględnić zatem konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia”. Grupa Robocza Art. 29 w Wytycznych tych zaleca zatem, aby w trakcie oceny brano pod uwagę m.in. następujące kryteria: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, łatwość identyfikacji osób fizycznych, wagę konsekwencji dla osób fizycznych, cechy szczególne danej osoby fizycznej oraz administratora danych, a także liczbę osób fizycznych, na które naruszenie wywiera wpływ. Administrator prowadzi działalność gospodarczą w zakresie ochrony osób i mienia i jako taki zobowiązany jest na podstawie art. 19 ust. 1 pkt 2 lit. a) ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2021 r., poz. 1995) do prowadzenia i przechowywania dokumentacji dotyczącej pracowników ochrony, w tym umów o pracę i umów cywilnoprawnych, przy czym zgodnie z § 5 pkt 1 - 3 rozporządzenia Ministra Spraw Wewnętrznych z dnia 16 grudnia 2013 r.w sprawie dokumentowania działalności gospodarczej w zakresie usług ochrony osób i mienia (Dz. U. z 2013 r., poz. 1739) dokumentacja ta jest prowadzona z uwzględnieniem konieczności: zabezpieczenia przed uszkodzeniem, utratą lub nieuprawnioną zmianą danych, zachowania integralności i wiarygodności oraz możliwości weryfikacji na podstawie dokumentów źródłowych przechowywanych w siedzibie przedsiębiorcy albo w miejscu wykonywania działalności oraz zapewnienia dostępu do dokumentacji osobom uprawnionym oraz zabezpieczenia przed dostępem osób nieuprawnionych. W przedmiotowej sprawie nie powinno umknąć uwadze również to, że naruszenie ochrony danych osobowych dotyczyło - poza imionami i nazwiskami - również m.in. numerów ewidencyjnych PESEL oraz danych dotyczących zarobków. Jak wskazano w Wytycznych: „Kluczowym czynnikiem podczas oceniania ryzyka jest oczywiście rodzaj i wrażliwość danych osobowych, które zostały ujawnione w wyniku naruszenia. Zazwyczaj ryzyko powstania szkody dla osób, których dotyczy naruszenie, wzrasta wraz z wrażliwością danych (…)”.
W zaistniałej sytuacji nie powinno się też zapominać, że utrata przez administratora dostępu do danych oznacza również utratę dostępu do danych osoby, której dane zaszyfrowano, a to narusza jej „prawo dostępu”, o którym mowa w art. 15 rozporządzenia 2016/679.
Biorąc pod uwagę całokształt poczynionych w sprawie ustaleń, a także niemożność weryfikacji w oparciu o wskazane przez Spółkę środki techniczne, czy do danych, których dotyczyło naruszenie, nie uzyskała dostępu osoba nieuprawniona, uznać należy, że w tym przypadku występuje ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Spółki, jako administratora tych danych, obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679. Warto w tym miejscu podkreślić, że w Wytycznych wskazano, iż: „(…) podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.
Warte szczególnego podkreślenia jest to, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować - w treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Słuszność takiego podejścia potwierdzona została wielokrotnie w uzasadnieniach wydawanych przez Wojewódzki Sąd Administracyjny w Warszawie wyroków(vide: wyrok z dnia 22 września 2021 r. wydany w sprawie o sygn. II SA/Wa 791/21, wyrok z dnia 1 lipca 2022 r. wydany w sprawie o sygn. II SA/Wa 4143/21, czy wyrok z dnia 21 stycznia 2022 r. wydany w sprawie o sygn. II SA/Wa 1353/21).
Podkreślić jednocześnie należy, że Spółka przetwarzając dane osobowe w formie elektronicznej powinna mieć świadomość ryzyk związanych np. z atakiem ransomware. Istnienie tych ryzyk, w sytuacji braku działań administratora danych mających na celu ich minimalizację poprzez wdrożenie odpowiednich środków organizacyjnych i technicznych, prowadzi wprost do powstania ryzyka naruszenia praw lub wolności osób fizycznych, których dane są w taki sposób przetwarzane. Dlatego w przedmiotowej sprawie niepokojące jest również to, że Spółka pomimo wystąpienia naruszenia ochrony danych osobowych nie wprowadziła zmian w podejmowanych przez siebie działaniach mających zapewnić bezpieczeństwo danych osobowych wskazanych w wyjaśnieniach z dnia (…) kwietnia 2021 r. Świadczy o tym fakt, że te same środki Administrator przywołał udzielając odpowiedzi na pytanie zadane w piśmie skierowanym do Spółki w dniu (…) czerwca 2021 r., w którym organ nadzorczy wezwał Administratora do udzielenia wyjaśnień, jakie środki bezpieczeństwa zastosował administrator w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia. Ponadto Spółka w tym samym piśmie wyjaśniła, że nie wprowadzono zmian do obowiązującej u Administratora (…) oraz (…). Na zmiany wskazano jedynie w wyjaśnieniach, które wpłynęły do tutejszego Urzędu w dniu (…) grudnia 2020 r., z których wynika, że: „(…) po zdarzeniu zainstalowano profesjonalne oprogramowanie - (…)”.
W sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.
W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.
W konsekwencji należy stwierdzić, że Spółka nie dokonała zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie określonym w art. 33 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Spółkę tego przepisu.
Stosownie do art. 34 ust. 1 i 2 rozporządzenia 2016/679, w sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest bez zbędnej zwłoki zawiadomić osoby, których dane dotyczą, o takim naruszeniu. Zawiadomienie powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych (np. przedstawiać okoliczności wystąpienia naruszenia wraz z opisem kategorii danych, które uległy naruszeniu) oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679. Administrator zawiadamia indywidualnie osoby o naruszeniu ich danych, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą (art. 34 ust. 3 lit. c) rozporządzenia 2016/679).
Jak wyżej już wskazano, Administrator przyjął, że w wyniku ataku ransomware nie doszło do naruszenia ochrony danych osobowych. Wychodząc z takiego - błędnego w ocenie organu nadzorczego - założenia, nie oceniano, czy w przedmiotowej sytuacji wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z którym należałoby zawiadomić o naruszeniu ochrony danych osobowych osoby, których te dane dotyczą.
Fakt, że część z zaszyfrowanych danych była następnie odzyskiwana z pomocą urzędów świadczy o utracie co najmniej na kilka miesięcy ich dostępności. Zwracanie się o pomoc do urzędów w odtworzeniu utraconych danych poddaje w wątpliwość prawdziwość wyjaśnień Spółki dotyczących posiadania wszystkich utraconych danych w wersji papierowej.
W wyjaśnieniach udzielonych przez Spółkę trudno też znaleźć uzasadnienie dla stwierdzenia, że w wyniku zaistniałego zdarzenia nie doszło do naruszenia poufności danych osobowych (obejmujących m.in. imiona, nazwiska i numery ewidencyjne PESEL) znajdujących się w systemach będących przedmiotem ataku ransomware. Biorąc pod uwagę powyższe, a także zakres naruszonych danych osobowych i okres utrzymywania się braku ich dostępności w związku z zaszyfrowaniem kopii zapasowych oraz brakiem możliwości szybkiego odtworzenia zaszyfrowanych danych, uznać należy, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W konsekwencji Spółka zobowiązana była do zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, przekazując im informacje określone w art. 34 ust. 2 rozporządzenia 2016/679.
W świetle powyższego należy uznać, że Administrator w sposób nieprawidłowy stwierdził, że nie wystąpiło naruszenie ochrony danych osobowych, a w konsekwencji nie uznał, że z tym zdarzeniem wiąże się wysokie ryzyko naruszenia praw lub wolności osób fizycznych (stąd nie doszło do zawiadomienia o naruszeniu osób, których dane dotyczą). Dlatego uznać należy, że administrator naruszył art. 34 ust. 1 i 2 rozporządzenia 2016/679.
W związku powyższymi ustaleniami dokonanymi w sprawie należy więc stwierdzić nie tylko, że Spółka (nie stosując środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, rezultatem czego było naruszenie ochrony danych osobowych) naruszyła art. 5 ust. 1 lit. f) rozporządzenia 2016/679, odzwierciedlony w postaci obowiązków określonych w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 oraz art. 32 ust. 2 rozporządzenia 2016/679, lecz także nie dopełniła obowiązków wynikających z art. 5 ust. 2 tego rozporządzenia. Faktu naruszenia przez Administratora zasady rozliczalności dowodzą również jego lakoniczne i niespójne wyjaśnienia oraz konsekwentne nieprzedstawianie dowodów na ich prawdziwość. Powyższe potwierdza orzeczenie WSA w Warszawie z dnia 10 lutego 2021 r., sygn. II SA/Wa 2378/20: „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych.” Podobnie kwestię zasady rozliczalności interpretuje w wyroku z dnia 26 sierpnia 2020 r. WSA w Warszawie sygn. II SA/Wa 2826/19: „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679.” Ponadto uznać należy, że nie istniały uzasadnione podstawy do przyjęcia przez Spółkę braku konieczności spełnienia obowiązków wynikających z art. 33 ust. 1 i 34 ust. 1 i 2 rozporządzenia 2016/679.
Mając na uwadze powyższe ustalenia, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu, stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 -39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
W niniejszej sprawie administracyjna kara pieniężna wobec Spółki nałożona została za naruszenie art. 25 ust. 1, art. 32 ust. 1 i 2, art. 33 ust. 1 i art. 34 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 - na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie kara w wysokości stanowiącej równowartość 10.000,- EUR nałożona na Spółkę łącznie za naruszenie wszystkich powyższych przepisów - stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 - nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:
1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu kary istotne znaczenie miała okoliczność, że naruszenie przepisów rozporządzenia 2016/679, nakładających na administratora obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie przede wszystkim dostępności danych szczególnej kategorii podmiotów danych. Naruszenie to godzi pośrednio w interesy pracowników, których dane Spółka powinna chronić, a ponadto może wiązać się z negatywnymi konsekwencjami w świetle przepisów innych dziedzin prawa (prawa pracy, ubezpieczeń społecznych, czy przepisów dotyczących rachunkowości). Rozważając aspekt celu przetwarzania, należy zaznaczyć, że przetwarzanie danych osobowych pracowników wymaga szczególnej staranności, przy czym występuje tu nierównowaga pomiędzy Spółką (pracodawcą lub zleceniodawcą) a podmiotami danych (pracownikami czy zleceniobiorcami). Stwierdzone w niniejszej sprawie naruszenie ww. przepisów ma znaczną wagę i poważny charakter również dlatego, iż może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwa ich wystąpienia nie można wykluczyć. Ponadto należy wziąć pod uwagę ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem. Podkreślić należy, że nie wiadomo, czy poza naruszeniem dostępności danych (choćby tymczasowym, lecz powodującym, że osoby, których dane dotyczą, mogą doznać szkody majątkowej) nie doszło do naruszenia poufności tych danych, co stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Istotne w tym kontekście jest również to, że osoby, których danych dotyczyło zaistniałe naruszenie, nie zostały o nim prawidłowo poinformowane (tj. o jego okolicznościach, skutkach lub ryzykach z nim się wiążących), dlatego nie mogą przeciwdziałać ewentualnym szkodom.
Należy przyjąć, że naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz 32 ust. 1 i 2 rozpoczęło się jeszcze przed zaistnieniem naruszenia ochrony danych osobowych (tj. przed dniem (…) maja 2020 r.). Natomiast naruszenie obowiązków wynikających z art. 33 ust. 1 i art. 34 ust. 1 i 2 rozporządzenia 2016/679 trwa od chwili, do której Administrator winien był wykonać swoje obowiązki informacyjne wynikające z tych przepisów. Rozważając tę przesłankę, należy również zaznaczyć, że naruszenie ochrony danych osobowych dotyczyło danych około 30 osób.
2. Umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r., zatwierdzonymi przez EROD w dniu 25 maja 2018 r.), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Spółka podjęła świadomą decyzję, m.in. by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osób, których dane dotyczą. Nie ulega wątpliwości, że Spółka, przetwarzając dane osobowe osób wykonujących na jej rzecz pracę lub zlecenia, musi mieć wiedzę w zakresie ochrony danych osobowych, obejmującą wiedzę o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Będąc tego świadomym, Administrator podjął jednak decyzję m.in. o rezygnacji z dokonania zgłoszenia naruszenia Prezesowi UODO i powiadomienia osób, których dane dotyczą, pomimo faktu, że Prezes UODO w pierwszej kolejności informował Spółkę o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych. W końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie m. in. obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osób, których dane dotyczą, powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska. Organ nadzorczy nie stwierdził jednak, by naruszenie pozostałych przepisów (tj. w szczególności art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679) miało w przedmiotowej sprawie charakter umyślny - wynikało raczej z niedbalstwa po stronie Spółki, co nie zmienia faktu, że przesłankę z art. 83 ust. 2 lit. b rozporządzenia 2016/2016 należy w tym przypadku brać pod uwagę przy wymiarze administracyjnej kary pieniężnej jako ogólnie obciążającą.
3. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
Ze zgromadzonego w niniejszej sprawie materiału dowodowego nie wynika nic, co świadczyłoby o faktycznym zaangażowaniu Spółki w działania naprawcze mające na celu usunięcie naruszenia oraz złagodzenie jego ewentualnych negatywnych skutków, poza deklarowanymi próbami odzyskania dostępności danych z pomocą właściwych urzędów (przy czym nie wiadomo, czy działania te były w pełni skuteczne). W toku postępowania (w ramach współpracy z organem) Spółka nie podjęła praktycznie żadnych działań mających na celu wdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych, nowych procedur regularnego testowania i badania wdrożonych już środków, itp. Z ww. materiału dowodowego nie wynika również by Administrator dokonał analizy wpływu naruszenia ochrony danych osobowych na prawa lub wolności osób nim dotkniętych, czy wykonał audyt, którego przeprowadzenie deklarował po naruszeniu. Natomiast próby odzyskania dostępności danych z pomocą właściwych urzędów to w tym przypadku jedynie próba wypełnienia „zwykłego” obowiązku ciążącego na Administratorze.
4. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe, do których Spółka utraciła (choćby tymczasowo) dostęp (a do których mogły potencjalnie uzyskać dostęp nieznane i nieuprawnione osoby trzecie), nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679. Jednak ich szeroki zakres (tj. imiona, nazwiska, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków, numery telefonów, numery dowodów osobistych) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, że w szczególności fakt, iż naruszeniem objęty był numer ewidencyjny PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.
5. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
O naruszeniu przepisów dotyczących ochrony danych osobowych stanowiących przedmiot niniejszego postępowania Prezes UODO dowiedział się od podmiotu trzeciego. W niniejszej sprawie szczególnie należy podkreślić, że organ nadzorczy nie został poinformowany o zaistniałym naruszeniu ochrony danych osobowych zgodnie z przewidzianą dla takich właśnie sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679.
6. Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) rozporządzenia 2016/679).
W ramach rozpatrywania tej przesłanki Prezes UODO uznał za stosowne wzięcie pod uwagę, iż Spółka nie udzielała wyczerpujących wyjaśnień na wezwania organu nadzorczego - odpowiedzi na zadawane pytania często były lakoniczne lub niespójne. Terminowość oraz sposób ich udzielania (np. wielokrotne przesyłanie dokumentów niepodpisanych przez osoby upoważnione do reprezentacji Spółki) świadczą na niekorzyść Administratora przy ocenie jego współpracy z Prezesem UODO.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a - j rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne. Również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) nie znaleziono żadnych okoliczności łagodzących, a jedynie neutralne (co zostało odnotowane poniżej w pkt 6 dotyczącym osiągniętych bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowych lub unikniętych strat) oraz obciążające (wskazane w pkt 6 powyżej).
Na fakt zastosowania wobec Spółki w niniejszej sprawie przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:
1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
W niniejszej decyzji jako okoliczność obciążającą wskazano, że osoby, których dane dotyczą, mogą w dalszym ciągu doznać szkody majątkowej, a wystąpienie naruszenia danych może prowadzić do szkody niemajątkowej (krzywdy). W zgromadzonym materiale dowodowym brak jest jednak informacji o zaistnieniu szkód materialnych. Rozpatrując tę przesłankę należy na marginesie zaznaczyć, że Spółka nie podjęła stosownych działań w celu zminimalizowania szkód niematerialnych poniesionych przez osoby, których te dane dotyczą.
2. Stopień odpowiedzialności administratora z uwzględnieniem wdrożonych środków technicznych i organizacyjnych (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Przyjęte w dniu 3 października 2017 r. Wytyczne Grupy Roboczej ds. Ochrony Danych Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 wskazują, iż rozpatrując tę przesłankę „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator «zrobił wszystko, czego można by było oczekiwać», zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.
Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Spółkę przepisów art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie „zrobił wszystkiego, czego można by było od niego oczekiwać”; nie wywiązał się tym samym z nałożonych na niego przepisami art. 25 i 32 rozporządzenia 2016/679 obowiązków.
W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia; nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Administratora administracyjnej kary pieniężnej.
3. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził stosownych wcześniejszych naruszeń rozporządzenia 2016/679 przez Spółkę, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej, jednakże do obowiązków każdego administratora należy przestrzeganie przepisów prawa (w tym przepisów dotyczących ochrony danych osobowych), w związku z czym brak wcześniejszych naruszeń przepisów ww. aktu prawnego nie może zostać uznany za okoliczność łagodzącą przy wymierzaniu sankcji.
4. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Spółki w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
5. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Spółka nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
6. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej, które powinny zostać ujęte w ramach rozpatrywania przesłanki z art. 83 ust. 2 lit. k) rozporządzenia 2016/679.
W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka, która zobowiązana jest do przetwarzania danych osobowych zgodnie z wymogami nie tylko wynikającymi z rozporządzenia 2016/679, ale też innych przepisów (o których była mowa w niniejszym uzasadnieniu), w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółce jak i innym administratorom danych na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.
Stosownie do treści art. 103 uodo, równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
W ocenie Prezesa UODO zastosowana kara pieniężna w wysokości 47.160,- PLN (czterdzieści siedem tysięcy sto sześćdziesiąt złotych), co stanowi równowartość 10.000,- euro (średni kurs euro z 30 stycznia 2023 r. - 4,7160 zł), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.
W zgromadzonym materiale dowodowym brak danych dotyczących całkowitego rocznego światowego obrotu Spółki z poprzedniego roku obrotowego. Spółka przekazała jednak informacje dotyczące przychodów netto Spółki ze sprzedaży i zrównanych z nimi w okresie od (…) kwietnia 2019 r. do (…) marca 2020 r. (które wynosiły 6.948.467,84 PLN) oraz w poprzedzającym ten rok obrotowy okresie (8.827.593,26 PLN). Dane te wskazują na stosunkowo duże obroty w badanym okresie oraz na fakt ich obniżenia - mogły one m.in. posłużyć do szacunkowego ustalenia podstaw wymiaru administracyjnej kary pieniężnej zgodnie z treścią art. 101a ust. 2 rozporządzenia 2016/679.
Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej, Prezes UODO uznał, iż jest ona proporcjonalna do zaistniałych naruszeń - warto podkreślić, że kwota nałożonej kary 47.160,- PLN to jedynie:
- 0,1 % maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenia - stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10.000.000,- euro)
- 0,05 % maksymalnej wysokości kary, którą Prezes UODO mógł nałożyć na Spółkę - stosując zgodnie z art. 83 ust. 5 rozporządzenia 2016/679 statyczne maksimum kary (tj. 20.000.000,- euro).
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
[1] Należy zaznaczyć, że zasady określone w tych Wytycznych zostały doprecyzowane i rozwinięte w przyjętych w dniu 28 marca 2023 r. Wytycznych Europejskiej Rady Ochrony Danych 9/2022 w sprawie zgłaszania naruszeń ochrony danych zgodnie z RODO (wersja 2.0)
Jan Nowak
2023-05-31
Wioletta Golańska
2023-07-11 13:35:06
Edyta Madziar
2023-07-19 12:22:42