DKN.5131.56.2021

Na podstawie art. 104 §  ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 poz. 735 z późn. zm.), w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 it. a) i h) oraz art. 58 ust. 2 it. b) i d) w związku z art. 5 ust. 1 it. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE  119 z 04.05.2016, str. 1 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Panią K.Z. prowadzącą działalność gospodarczą pod nazwą K.Z. C ul. w W. (adres do doręczeń: W.), Prezes Urzędu Ochrony Danych Osobowych

stwierdzając naruszenie przez Panią K.Z. prowadzącą działalność gospodarczą pod nazwą K.Z. C. przepisów art. 5 ust. 1 it. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE  119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej „rozporządzeniem 2016/679”, polegające na doborze nieskutecznych zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych oraz braku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz możliwych skutków dla tych systemów:
1. Udziela Pani K.Z. prowadzącej działalność gospodarczą pod nazwą K.Z. C.  upomnienia.
2. Nakazuje Pani K.Z. prowadzącej działalność gospodarczą pod nazwą K.Z. C. dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez:
a. przeprowadzenie analizy ryzyka w celu oszacowania właściwego poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego ub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia ub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych ub w inny sposób przetwarzanych, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw ub wolności osób fizycznych, w tym zagrożenia związane z zainstalowaniem złośliwego oprogramowania ingerującego w dostępność danych oraz zagrożenia w postaci braku możliwości skutecznego odtworzenia danych z kopii zapasowej,
b. wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego ub technicznego,
c. wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,

w terminie 30 dni od dnia doręczenia niniejszej decyzji.

Uzasadnienie

Pani K.Z. prowadzącą działalność gospodarczą pod nazwą K.Z. C., zwana dalej również C. ub Administratorem, […] marca 2021 r. dokonała zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej także „Prezesem UODO”) naruszenia ochrony danych osobowych pracowników oraz pacjentów C., polegającego na zaszyfrowaniu ich danych osobowych za pomocą złośliwego oprogramowania. Zgodnie ze wstępnym zgłoszeniem naruszenia, w wyniku ww. działania zostały zaszyfrowane dane osobowe 6000 osób. Następnie, w dniu […] marca 2021 r. Pani K.Z. przekazała zgłoszenie uzupełniające, w którym wskazała, że naruszenie dotyczy 7000 osób. Dane objęte naruszeniem to: „HR - zawieranie umów z pracownikami, realizacja wynagrodzenia, umowy z pracownikami, oświadczenia - imię, nazwisko, PESEL, adres, dane przedsiębiorstwa: nazwa, adres, REGON, NIP, numer konta bankowego (kartoteki, segregatory, dokumenty w formie papierowej); KSIĘGOWOŚĆ - realizacja umów, zakupy, płatność faktury VAT, kontrahenci, faktury, umowy - Dane przedsiębiorstwa: Nazwa, REGON, NIP, numer konta bankowego, adres, nr telefonu, adres e-mail, (kartoteki, segregatory, dokumenty w formie papierowej i elektronicznej; Świadczenie usług medycznych - pacjenci, karty pacjentów, deklaracje, oświadczenia - imię, nazwisko, PESEL, adres, NIP płatnika składek ZUS, adres e-mail, nr telefonu, historia choroby, wyniki badań (kartoteki, segregator na dokumenty w formie papierowej i elektronicznej, skany wyników badań, poczta elektroniczna)”. Naruszenie zostało zarejestrowane pod sygn. […].

W związku z powyższym, pismami z dnia […] marca 2021 r., a następnie […] maja 2021 r. organ nadzorczy zwrócił się do C. o złożenie wyjaśnień, w tym m.in. o:

  • Wskazanie, czy przeprowadzono postępowanie wyjaśniające, w wyniku którego ustalono okoliczności naruszenia, w tym, czy doszło do przełamania zabezpieczeń, a jeśli tak, to jaka podatność została wykorzystana.
  • Wskazanie, w jaki sposób zweryfikowano, że nie doszło do naruszenia poufności danych osobowych.
  • Opisanie dotychczas stosowanych zabezpieczeń w celu uniknięcia naruszenia ochrony danych osobowych.
  • Wskazanie, jakie środki techniczne oraz organizacyjne administrator zastosował w celu zminimalizowania ryzyka ponownego wystąpienia tego typu naruszeń w przyszłości, w tym, czy wykonano czynności opisane w punkcie 9B formularza zgłoszenia naruszenia ochrony danych osobowych, dotyczące zastosowanych środków bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.
  • Wskazanie, czy odzyskano dostępność danych osobowych utraconych w wyniku ataku ransomware, a jeżeli tak, to kiedy, w jaki sposób, jak długo trwał brak dostępności danych osobowych i czy wszystkie dane zostały odzyskane ub odtworzone.
  • Wskazanie, czy, a jeśli tak, to w jaki sposób administrator dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych (przed wystąpieniem incydentu) mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia.
  • Czy administrator danych opracował i wdrożył jakiekolwiek procedury bezpieczeństwa, a jeśli tak, to w jaki sposób następuje weryfikacja ich przestrzegania.
  • Wskazanie, czy administrator opracował i wdrożył procedurę regulującą zasady i sposób wykonywania kopii zapasowych oraz ich przechowywania, a także ich testowania.

Pismem z dnia […] maja 2021 r. administrator wyjaśnił, co następuje:

  • Firma informatyczna poinformowała, że dane zostały zakryptowane, ale nie wyprowadzone z serwera. Jedynie zablokowano do nich dostęp.
  • Stosowane zabezpieczenia danych osobowych obejmowały: programy antywirusowe, dostęp zabezpieczony hasłami, dostęp tylko dla osób upoważnionych.
  • Przeprowadzono audyt zabezpieczeń przez firmę informatyczną, firma zidentyfikowała słabsze punkty zabezpieczeń, zainstalowała nowe zabezpieczenia sieci, przeprowadzono rozmowy z pracownikami na temat użytkowania sprzętu z dostępem do sieci i o tym jak unikać możliwych niebezpieczeństw.
  • Dane nie zostały w całości odzyskane z zaatakowanego serwera. Został on odłączony od sieci i zasilania (czeka aż pojawi się odpowiedni program dekryptujący). Dane utracone na serwerze administrator posiada w wersji papierowej, posiada także kopie baz danych oraz otrzymał kopię niektórych plików od NFZ. Dostęp do danych papierowych uzyskał natychmiast, przywrócenie bazy danych na nowym serwerze trwało ok. miesiąca.
  • Zastosowane środki techniczne oraz organizacyjne w celu zminimalizowania ryzyka ponownego wystąpienia tego typu naruszeń w przyszłości obejmowały aktualizowanie programów antywirusowych, informowanie pracowników o możliwych niebezpieczeństwach w sieci, współpracę z informatykiem oraz okresową zmianę haseł.
  • Została opracowana polityka bezpieczeństwa placówki.
  • Procedura wykonywania kopii zapasowej została opracowana przez informatyka. Zgodnie z tą procedurą, kopia zapasowa bazy danych jest wysyłana na zewnętrzny dysk raz w tygodniu (proces automatyczny). Administrator również raz w tygodniu zgrywa kopię bazy danych na oddzielny dysk zewnętrzny manualnie.

Następnie, w dniu […] ipca 2021 r. organ nadzorczy zwrócił się do Administratora o udzielenie dalszych wyjaśnień, tj. o:

  1. Opisanie dotychczas stosowanych zabezpieczeń w celu uniknięcia naruszenia ochrony danych osobowych, jakie były stosowane programy antywirusowe, w jaki sposób dostęp był zabezpieczony hasłami.
  2. Ponowne wskazanie, jakie środki techniczne oraz organizacyjne Administrator zastosował w celu zminimalizowania ryzyka ponownego wystąpienia tego typu naruszeń w przyszłości, tj. jakie zostały zainstalowane „nowe zabezpieczenia sieci”.
  3. Ponowne wskazanie, czy, a jeśli tak, to w jaki sposób administrator dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych (przed wystąpieniem incydentu) mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, gdyż opisana współpraca z informatykiem nie jest formą regularnego testowania.
  4. Wskazanie, czy administrator opracował i wdrożył procedurę regulującą zasady i sposób wykonywania kopii zapasowych oraz ich przechowywania, a także ich testowania.
  5. Przekazanie wyników audytu zabezpieczeń przeprowadzonego przez firmę informatyczną, zawierającego informację, jakie wykryto uki i podatności oraz w jaki sposób je usunięto.

Pismem z dnia […] października 2021 r. Administrator przekazał wiadomością elektroniczną firmy informatycznej, z której wynika, że „Atak na serwer został przeprowadzony za pomocą ransomwareu […]. Wg specyfikacji tego ataku dane są szyfrowane okalnie i nie są nigdzie przesyłane (…). Do zainfekowania serwera doszło za pomocą […], router miał ustawione przekierowanie portu natywnego [...]. (…) W ramach odtworzenia środowiska przychodnia kupiła nowy serwer i zainstalowała od nowa program medyczny. Producent oprogramowania pomógł odtworzyć bazę danych importem z wysłanych z NFZ deklaracji”.

Do ww. pisma administrator załączył sprawozdanie ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych z dnia […] marca 2021 r. oraz „Politykę bezpieczeństwa ochrony danych osobowych C. K.Z.” z dnia […] maja 2018 r.

W związku z udzielonymi wyjaśnieniami, w dniu […] października 2021 r. organ nadzorczy zwrócił się do Administratora o udzielenie dalszych wyjaśnień, tj. o:

  • Opisanie dotychczas stosowanych zabezpieczeń w celu uniknięcia naruszenia ochrony danych osobowych, w tym w szczególności wskazanie, jakie były stosowane programy antywirusowe oraz czy dostęp do danych był zabezpieczony hasłami.
  • Ponowne wskazanie, jakie środki techniczne oraz organizacyjne poza opisanymi w punkcie 5 pisma z dnia […] maja 2021 r. administrator zastosował w celu zminimalizowania ryzyka ponownego wystąpienia tego typu naruszeń w przyszłości, a także jakie rozwiązania zostały wdrożone jako „nowe zabezpieczenia sieci”, o czym jest mowa w ww. piśmie.
  • Ponowne wskazanie, czy, a jeśli tak, to w jaki sposób administrator dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych (przed wystąpieniem incydentu) mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, gdyż opisana współpraca z informatykiem nie jest formą regularnego testowania.
  • Przekazanie kserokopii analizy ryzyka wykonanej przed i po wystąpieniu naruszenia ochrony danych osobowych.
  • Przekazanie informacji, czy odzyskano wszystkie dane osobowe objęte naruszeniem oraz po jakim okresie została odzyskana ich dostępność.

Pismem datowanym na dzień […] grudnia 2021 r. C. wyjaśnił, że:

  • Przed atakiem stosowano zabezpieczenia sieci w formie haseł dostępu do serwera, routera, sieci oraz każdego stanowiska w sieci (indywidualnych dla każdego użytkownika, zmieniane okresowo), oprogramowania antywirusowego aktualizowanego na bieżąco (avast antywirus wersja icencyjna), usług specjalisty IT.
  • Po ataku wykonano audyt zabezpieczeń i zastosowano: nowy serwer z najnowszym oprogramowaniem ([…] 2019) oraz zakupiono urządzenie: […] wraz z icencją - System bezpieczeństwa, dostarczający wielu funkcji: firewall, IPS (ochrona przed atakami), filtrowanie treści www, kontrola aplikacji, optymalizacja pasma, antywirus, VPN, czy ochrona przed spamem. Inne opcje to DLP chroniący przed wyciekiem poufnych danych, a także kontroler sieci bezprzewodowych do FortiAP.
  • Przed atakiem Administrator polecał sprawdzanie zabezpieczeń oraz opiekę nad siecią specjaliście IT, z jego pomocą przeprowadzał audyty. Po ataku zatrudniono nową firmę IT, która na bieżąco monitoruje stan sieci oraz wprowadziła dodatkowe zabezpieczenia.
  • Wszystkie dane zostały odzyskane z pomocą kopii raportów wysyłanych do NFZ oraz kopii zapasowych znajdujących się na dyskach zewnętrznych, zajęło to ok. 2 miesiące.

Ponadto, w załączeniu do ww. pisma Administrator przekazał analizę ryzyka wykonaną […] grudnia 2020 r. oraz analizę ryzyka wykonaną […] maja 2021 r.

W związku ze zgłoszonym naruszeniem ochrony danych osobowych oraz wyjaśnieniami złożonymi przez Administratora ww. pismami, Prezes UODO w dniu […] grudnia 2021 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Panią K.Z. prowadzącą działalność gospodarczą pod nazwą K.Z. C. , jako administratora danych, obowiązków wynikających z przepisów rozporządzenia 2016/679, tj. art. 5 ust. 1 it. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych pacjentów przychodni oraz pracowników C. (sygn. pisma […]). Jednocześnie Administrator został wezwany do złożenia dalszych wyjaśnień w następującym zakresie:

  • Wskazanie faktycznej iczby osób objętych naruszeniem (we wstępnym zgłoszeniu naruszenia ochrony danych osobowych wskazano iczbę 6000 osób, a w zgłoszeniu uzupełniającym 7000 osób).
  • Jednoznaczne wskazanie przyczyny naruszenia ochrony danych osobowych, tj. czy naruszenie zostało spowodowane otworzeniem niebezpiecznego inku (w przekazanych wyjaśnieniach z dnia […] maja 2021 r. wskazano, że: „Ustalono naruszenie zabezpieczeń typu ransomware (podatność udzka, otworzenie niebezpiecznego inku)”), czy też przełamaniem zabezpieczeń serwera (w wyjaśnieniach z dnia […] października 2021 r. wskazano, że: „audyt firmy informatycznej wykazał błąd w zabezpieczeniu serwera”).
  • Udzielenie wyjaśnień, w jaki sposób i z jaką częstotliwością następowało „informowanie pracowników o możliwych niebezpieczeństwach w sieci”, a w szczególności, czy Administrator przeprowadzał szkolenia dla swoich pracowników w tym zakresie, w tym z zakresu cyberbezpieczeństwa, jeżeli tak, to kiedy i czy wszyscy pracownicy uczestniczyli w takich szkoleniach.
  • Udzielenie informacji, jakie oprogramowanie serwera było stosowane przez Administratora przed wystąpieniem naruszenia ochrony danych osobowych.

Pismem z dnia […] lutego 2022 r. Administrator ustosunkował się do zawiadomienia o wszczęciu postępowania administracyjnego stwierdzając, że:

  • Faktyczna iczba osób objętych naruszeniem to 6591.
  • Pierwsza informacja została podana błędnie (błędne zrozumienie informacji od informatyka), przyczyną było przełamanie zabezpieczeń serwera.
  • Pracownicy są na bieżąco informowani o możliwościach niebezpieczeństw w sieci (jest to mała placówka z niewielką ilością osób zatrudnionych), udostępniane są im także szkolenia w formie online.
  • Oprogramowanie serwera stosowane przez Administratora przed wystąpieniem naruszenia ochrony danych osobowych to Windows Server 2012.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 it. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia; prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego ub innego organu publicznego.

Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie ub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 it. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym ub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem ub uszkodzeniem, za pomocą odpowiednich środków technicznych ub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 it. f) rozporządzenia 2016/679, stanowią dalsze przepisy tego aktu prawnego. Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw ub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw ub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw ub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.

Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego ub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego ub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia ub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych ub w inny sposób przetwarzanych.

Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw ub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Wskazane przepisy uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 it. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.

Biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez Administratora, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, a także działań zmierzających do optymalnej konfiguracji wykorzystywanych systemów operacyjnych przez regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych w postaci testów bezpieczeństwa w zakresie infrastruktury informatycznej oraz aplikacji. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia. Efektem powyższego było zmaterializowanie się ryzyka, w wyniku którego nastąpiło przełamanie zabezpieczeń systemu informatycznego Administratora wykorzystywanego przez niego do przetwarzania danych osobowych, a następnie zaszyfrowanie przetwarzanych w nim danych z wykorzystaniem złośliwego oprogramowania.

Administrator poinformował, że przed wystąpieniem naruszenia ochrony danych osobowych przeprowadził w dniu […] grudnia 2020 r. analizę ryzyka dla zasobu objętego tym naruszeniem.
W przeprowadzonej analizie administrator nie przewidział jednak zagrożenia w postaci zaszyfrowania danych przy użyciu złośliwego oprogramowania typu ransomware. W analizie wskazano ogólnie ryzyko braku dostępności do serwera bazodanowego. Z tak określonego zagrożenia dla przetwarzanych danych osobowych nie wynika jednak powód utraty dostępności do danych, który ma istotne znaczenie dla doboru skutecznych środków technicznych i organizacyjnych w celu ograniczenia tego ryzyka do poziomu akceptowalnego. Powody braku dostępności mogą być bowiem inne niż zainstalowanie oprogramowania typu ransomware, np.: brak zasilania, zalanie, pożar ub awaria.

Ponadto, z ustaleń Administratora wynika, że „Do zainfekowania serwera doszło za pomocą RDP”. Należy w związku z tym podnieść, że korzystanie z […] systemu Windows zwiększa prawdopodobieństwo wystąpienia naruszenia ze względu na występowanie w ww. oprogramowaniu potencjalnych błędów (luk) umożliwiających nieuwierzytelnionym atakującym wykorzystanie tych podatności, a tym samym przełamanie mechanizmu uwierzytelnienia. Przed wdrożeniem tego rozwiązania Administrator powinien zatem dokonać analizy ryzyka związanego z jego stosowaniem oraz wpływem na bezpieczeństwo przetwarzanych danych osobowych, czego jednak nie zrobiono.

Materiał dowodowy zebrany w toku postępowania wskazuje, że Administrator opracował procedurę wykonywania kopii zapasowej danych. Z procedury tej, opisanej w „Polityce bezpieczeństwa ochrony danych osobowych C. K.Z.” wynika, że kopia zapasowa bazy danych jest wykonywana raz w tygodniu na nośnik zewnętrzny. Jednocześnie w złożonych wyjaśnieniach Administrator najpierw poinformował, że „Dane nie zostały w całości odzyskane z zaatakowanego serwera. (…) Dane utracone na serwerze posiadamy w wersji papierowej, posiadamy także kopie baz danych oraz otrzymaliśmy kopię niektórych plików od NFZ. Dostęp do danych papierowych uzyskaliśmy natychmiast, przywrócenie bazy danych na nowym serwerze trwało ok miesiąca”, by ostatecznie wskazać, że „wszystkie dane zostały odzyskane z pomocą kopii raportów wysyłanych do NFZ oraz kopii zapasowych znajdujących się na dyskach zewnętrznych, zajęło to ok 2 miesiące”. Powyższe oznacza, że wykonywane przez Administratora kopie zapasowe nie spełniły swojej roli, tzn. nie zapewniły zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego i technicznego, co jest wymagane stosownie do art. 32 ust. 1 it. c) rozporządzenia 2016/679. Nie ulega bowiem wątpliwości, że odtwarzanie danych przez okres 2 miesięcy oraz konieczność wykorzystania do tego celu danych znajdujących się w zasobach innego podmiotu (Narodowego Funduszu Zdrowia) nie może zostać uznane za prawidłową realizację obowiązku wynikającego z ww. przepisu rozporządzenia 2016/679. Ponadto, brak możliwości szybkiego i skutecznego odtworzenia danych z posiadanych kopii zapasowych Administrator powinien przewidzieć w przeprowadzonej analizie ryzyka jako istotne zagrożenie dla bezpieczeństwa danych, tym bardziej, że opracowane przez C. procedury w tym zakresie nie przewidują wykonywania testów kopii zapasowych pod kątem prawidłowości ich sporządzenia oraz odtworzenia w przypadku wystąpienia incydentu technicznego ub fizycznego. Administrator jednak takiego zagrożenia w analizie ryzyka nie uwzględnił.

Wobec powyższego stwierdzić należy, że analiza ryzyka przeprowadzona przez Administratora przed naruszeniem ochrony danych osobowych nie uwzględniała wszystkich potencjalnych zagrożeń dla przetwarzanych danych osobowych, w tym zagrożeń związanych z utratą dostępności do danych osobowych poprzez zaszyfrowanie ich oprogramowaniem typu ransomware, korzystaniem z mechanizmu RDP oraz brakiem możliwości odtworzenia danych z kopii zapasowych. Z przeprowadzonej analizy nie wynika ponadto sposób postępowania ze stwierdzonym ryzykiem – C. poprzestał wyłącznie na procentowym i punktowym określeniu jego poziomu, bez wskazania jednak przyjętego poziomu ryzyka akceptowalnego. Nie wskazano również w niej, jakie środki techniczne i organizacyjne zostały zastosowane przez Administratora w celu obniżenia ryzyka do poziomu akceptowalnego ub złagodzenia jego skutków. Wystąpienie naruszenia wskazuje, że dobór środków technicznych był niewłaściwy i nieadekwatny.

W przekazanej analizie ryzyka wykonanej po naruszeniu ochrony danych osobowych z dnia […] maja 2021 r. administrator na nowo oszacował ryzyko braku dostępności do serwera bazodanowego, jednakże nie dokonał jej aktualizacji w zakresie ryzyka polegającego na braku dostępu do danych osobowych w wyniku ich zaszyfrowania złośliwym oprogramowaniem typu ransomware poprzez wymienienie tego konkretnie rodzaju zagrożenia mającego wpływ na możliwość utraty dostępu do danych osobowych. Nie uwzględniono również w ww. analizie ryzyk związanych z korzystaniem z mechanizmu RDP oraz brakiem możliwości odtworzenia danych z kopii zapasowych. Niepokoić też może, w kontekście na nowo oszacowanego poziomu ryzyka braku dostępności do serwera bazodanowego oraz z uwagi na naruszenie ochrony danych osobowych będące przedmiotem niniejszego postępowania, przyjęcie przez C. w analizie ryzyka z dnia […] maja 2021 r. dużo niższych wartości tego ryzyka w porównaniu z analizą ryzyka przeprowadzoną w dniu […] grudnia 2020 r. w związku z obniżeniem prawdopodobieństwa jego wystąpienia (z „możliwe” na „mało prawdopodobne”).

Wobec powyższego wskazać należy, że prawidłowo przeprowadzona analiza ryzyka powinna uwzględniać wszystkie zagrożenia mające wpływ na bezpieczeństwo przetwarzanych danych osobowych. Co więcej, przeprowadzając kolejne tego typu analizy Administrator powinien wykorzystywać wiedzę nabytą m.in. w związku z obsługą naruszeń ochrony danych osobowych, które wystąpiły w jego organizacji. Oznacza to z jednej strony konieczność odejścia od ogólnych określeń dla identyfikowanych zagrożeń, a z drugiej  właściwego oszacowania poziomu ryzyka ich zrealizowania się, co w konsekwencji powinno zapewnić dobór adekwatnych środków bezpieczeństwa.

Biorąc pod uwagę zarówno analizę przeprowadzoną […] grudnia 2020 r., jak i wykonaną […] maja 2021 r., stwierdzić należy, że Administrator nie miał (i nadal nie ma) świadomości istniejących zagrożeń dla przetwarzanych danych osobowych. W konsekwencji należy stwierdzić, że Administrator w przeprowadzonych analizach ryzyka nie uwzględnił w sposób prawidłowy ryzyka wiążącego się z przetwarzaniem danych obejmujących m.in. nr PESEL oraz dane o stanie zdrowia,
a w szczególności ryzyka związanego z brakiem dostępności do danych osobowych, czym naruszył art. 32 ust. 1 i 2 rozporządzenia 2016/679. W tym miejscu należy także przytoczyć wyrok Wojewódzkiego Sądu Administracyjnego w W. z dnia 13 maja 2021 r., sygn. II SA/Wa 2129/20, w którym Sąd wskazał, że „Administrator danych powinien (…) przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”.

Obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, wynikający między innymi z art. 32 ust. 1 rozporządzenia 2016/679, stanowi fundament prawnej ochrony danych osobowych. Rozporządzenie 2016/679 nie narzuca jednakże konkretnych działań, które należy podjąć, aby zapewnić bezpieczeństwo danych, pozostawiając w tej materii swobodę administratorowi danych. Wprowadzając podejście oparte na ryzyku, rozporządzenie 2016/679 w art. 32 ust. 1 wskazuje jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw ub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Dobór środków bezpieczeństwa powinien być w konsekwencji warunkowany przez okoliczności i warunki przetwarzania danych oraz prawdopodobieństwo i powagę zdarzeń, które mogą doprowadzić do naruszenia praw ub wolności osób, których dane są przetwarzane. Podkreślić należy, że środki bezpieczeństwa, dobrane w wyniku przeprowadzonej analizy z uwzględnieniem kryteriów wynikających z art. 32 ust. 1 rozporządzenia 2016/679, muszą być skuteczne, tj. zapewnić właściwą ochronę przetwarzanych danych osobowych.

Jak już wyżej wykazano, konsekwencją nieprawidłowego przeprowadzenia analizy ryzyka był dobór niewłaściwych środków bezpieczeństwa ub w ogóle ich nieprzewidzenie.

Wskazać należy, że w przekazanych przez Administratora pismach brak jest informacji o tym, że przeprowadzano np. testy penetracyjne, wykrywano uki w oprogramowaniu i podatności na ataki z sieci wewnętrznej i zewnętrznej. Nie wynika z nich również, aby takimi testami objęty był mechanizm RDP systemu Windows, za pomocą którego doszło do przełamania zabezpieczeń serwera (o czym mowa w wiadomości elektronicznej z dnia […] października 2021 r., przesłanej do Administratora przez firmę informatyczną przeprowadzającą audyt, cyt. „Do zainfekowania serwera doszło za pomocą RDP, router miał ustawione przekierowanie natywnego portu [...]”), a także proces odtwarzania danych z kopii zapasowej w przypadku wystąpienia incydentu fizycznego ub technicznego, a więc np. zaszyfrowania danych złośliwym oprogramowaniem.

Wobec braku zastosowania przez administratora adekwatnych środków technicznych i organizacyjnych mających na celu zminimalizowanie ryzyka naruszenia bezpieczeństwa danych, stwierdzić należy, że Administrator nie zapewnił odpowiedniego zabezpieczenia danych przetwarzanych przy ich użyciu. W konsekwencji, przesądza to o niewdrożeniu przez Administratora odpowiednich środków technicznych i organizacyjnych w czasie przetwarzania danych osobowych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, do czego był on zobowiązany zgodnie z art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679, jak również o niezastosowaniu środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku poprzez zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, do czego zobowiązuje administratora danych art. 32 ust. 1 it. b) rozporządzenia 2016/679, oraz o niedokonaniu oceny, czy stopień bezpieczeństwa jest odpowiedni, przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych, obowiązek dokonania której wynika z art. 32 ust. 2 rozporządzenia 2016/679. Jak bowiem wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „(...) czynności o charakterze techniczno - organizacyjnym eżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych.” W ww. wyroku Sąd podkreślił ponadto, że „Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka.”

Natomiast skutkiem nieuwzględnienia w przeprowadzonej analizie ryzyka zagrożeń związanych z brakiem możliwości szybkiego i skutecznego odtworzenia danych z posiadanych kopii zapasowych jest brak efektywnej procedury w tym zakresie. Co prawda Administrator w „Polityce bezpieczeństwa ochrony danych osobowych C. K.Z.” określił procedurę wykonywania kopii zapasowych baz danych, ale procedura ta nie może zostać uznana, co już wyżej wykazano, za narzędzie zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego ub technicznego, a więc realizację obowiązku administratora danych, wynikającego z art. 32 ust. 1 it. c) rozporządzenia 2016/679. Procedura ta nie przewiduje bowiem m.in. wykonywania testów kopii zapasowych pod kątem prawidłowości ich sporządzenia oraz odtworzenia w przypadku wystąpienia incydentu technicznego ub fizycznego, co jest niezbędnym warunkiem do spełnienia wymogu określonego w ww. przepisie rozporządzenia 2016/679. Wydaje się, że problem ten został dostrzeżony przez Administratora, który w przekazanym organowi nadzorczemu „sprawozdaniu ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych”, sporządzonym w dniu […] marca 2021 r., stanowiącym załącznik nr 4 do pisma z dnia […] października 2021 r., wskazuje na potrzebę zaktualizowania procedury tworzenia kopii zapasowych (pkt 6 sprawozdania). Niestety, z uwagi na brak szczegółowego opisania, na czym ta aktualizacja miałaby polegać oraz na nie przedłożenie przez C. zmienionych procedur w tym zakresie, trudno uznać zawartą w ww. sprawozdaniu rekomendację jako przejaw działań Administratora mających na celu właściwe (i zgodne z wyżej przywołanym przepisem rozporządzenia 2016/679) uregulowanie kwestii sporządzania kopii zapasowych. Podkreślić również należy, że dokument, w którym omawiana procedura zostałazawarta, opatrzony jest datą […] maja 2018 r., co tylko potwierdza długotrwały brak działań Administratora w tym zakresie. Brak zatem kompleksowych procedur regulujących wszystkie aspekty związane ze sporządzaniem kopii zapasowych i ich weryfikacją, skutkujący, jak w omawianym przypadku, brakiem możliwości szybkiego i skutecznego przywrócenia danych z kopii zapasowych, oznacza naruszenie przez Administratora ww. przepisu rozporządzenia 2016/679.

Analizując złożone przez Administratora wyjaśnienia odnośnie stosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych wskazać należy na fakt wykorzystywania przed wystąpieniem naruszenia ochrony danych osobowych przez C. jako oprogramowania serwera systemu […]. W tym miejscu trzeba zauważyć, że […] posiadał wsparcie producenta […] do dnia […] października 2018 r., z możliwością wykupienia rozszerzonego wsparcia do dnia […] października 2023 r. (Extended End Date; ink do strony […]). Rozszerzona aktualizacja zabezpieczeń (ESU) jest opcją dla klientów, którzy muszą uruchamiać – tak jak C. – niektóre starsze produkty firmy […] po zakończeniu pomocy technicznej. Jej cechą charakterystyczną jest, że zawiera ona krytyczne ub ważne aktualizacje zabezpieczeń przez maksymalnie trzy ata od daty zakończenia rozszerzonej pomocy technicznej produktu. Zgodnie więc z informacjami podanymi przez producenta oprogramowania, dla używanego przez Administratora systemu […] wydawane były jedynie podstawowe aktualizacje oprogramowania oraz aktualizacje zabezpieczeń i poprawek, co prowadzi do konkluzji, iż od dnia […] października 2018 r. - wobec braku zastosowania przez Administratora innych środków technicznych ub organizacyjnych służących mitygacji ryzyka wystąpienia naruszenia ochrony danych osobowych - nie zapewniał on odpowiedniego poziomu bezpieczeństwa procesom przetwarzania danych osobowych realizowanych przy jego użyciu. W tym kontekście bezsprzecznie uznać należy, iż korzystanie z systemów operacyjnych oraz systemów informatycznych służących do czynności przetwarzania danych osobowych po zakończeniu głównego wsparcia technicznego przez ich producenta w sposób istotny obniża poziom bezpieczeństwa realizowanych w ten sposób procesów przetwarzania. Brak wbudowanych oraz aktualizowanych zabezpieczeń zwiększa w szczególności ryzyko infekcji za pomocą złośliwego oprogramowania oraz ataków poprzez powstawanie nowych uk w zabezpieczeniach. Systemy te stają się bardziej podatne na cyberataki, m.in. typu ransomware, blokujące dostęp do danych oraz żądające okupu za ich odzyskanie. Analiza zgromadzonego w niniejszej sprawie materiału dowodowego w sposób jednoznaczny wskazuje, że nie były podejmowane działania mające na celu zapewnienie najbardziej aktualnych wersji użytkowanego oprogramowania, pomimo tego, że Administrator w przeprowadzonej analizie ryzyka przewidział zagrożenie w postaci braku aktualizacji systemów operacyjnych serwerów, co obejmuje także brak aktualizacji spowodowany zaprzestaniem wspierania danego systemu przez jego producenta. Działania w tym zakresie, w postaci instalacji systemu operacyjnego posiadającego wsparcie producenta, Administrator podjął dopiero po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych, dopuszczając tym samym, aby przed naruszeniem dane te przetwarzane były przy wykorzystaniu nieaktualnych systemów informatycznych, a więc systemów nie dających rękojmi odpowiedniego poziomu bezpieczeństwa bez zastosowania dodatkowych środków bezpieczeństwa.

W świetle złożonych w tym zakresie wyjaśnień przez Administratora należy stwierdzić, że C. w sposób nieprawidłowy realizował także obowiązek określony w art. 32 ust. 1 it. d) rozporządzenia 2016/679. Jak wynika bowiem z pisma z dnia […] grudnia 2021 r., „przed atakiem administrator polecał sprawdzanie zabezpieczeń oraz opiekę nad siecią specjaliście IT, z jego pomocą przeprowadzał audyty. Po ataku zatrudniono nową firmę IT, która na bieżąco monitoruje stan sieci oraz wprowadziła dodatkowe zabezpieczenia”. Na dowód powyższego Administrator przedłożył jedno „sprawozdanie ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych”, sporządzone w dniu […] marca 2021 r. W sprawozdaniu tym co prawda określono obszary poddawane sprawdzeniu („zabezpieczenie sieci, procedury techniczne, procedury pracownicze”), ale uczyniono to w sposób na tyle ogólny, że nie pozwala na ustalenie szczegółowego zakresu badania, szczególnie w odniesieniu do ww. procedur. Co więcej, tak zdefiniowany obszar sprawdzenia jednoznacznie wskazuje, że testowaniu, mierzeniu i ocenianiu nie zostały poddane wszystkie środki techniczne mające zabezpieczać przetwarzane dane osobowe, a tylko te, które dotyczą bezpieczeństwa sieci. Tymczasem dla prawidłowego wykonania obowiązku wynikającego z art. 32 ust. 1 it. d) rozporządzenia 2016/679 konieczne jest objęcie tym działaniem wszystkich elementów infrastruktury teleinformatycznej wykorzystywanej do przetwarzania danych osobowych. W związku z powyższym, Administrator nie był w stanie wykazać, ani stwierdzić, że zastosowane środki bezpieczeństwa posiadają znamiona wystarczalności. Ponadto, jednorazowe dokonanie przedmiotowego sprawdzenia wskazuje raczej, że było ono podjęte wyłącznie na skutek wystąpienia naruszenia ochrony danych osobowych, a nie w celu realizacji wymogu, o którym mowa w ww. przepisie rozporządzenia 2016/679. Świadczy o tym także data jego przeprowadzenia ([…] marca 2021 r.). Na marginesie należy jeszcze zauważyć, że w przedłożonych organowi nadzorczemu analizach ryzyka Administrator wskazał jako zagrożenia „Brak regularnych audytów (nadzór)” oraz „Brak regularnych przeglądów realizowanych przez kierownictwo”. Brak zatem działań C. w zakresie regularnego testowania, mierzenia i oceniania zastosowanych środków bezpieczeństwa oznacza w konsekwencji materializację zidentyfikowanych przez niego ryzyk i dodatkowo potwierdza naruszenie przepisów rozporządzenia 2016/679 w tym zakresie. Ponadto, jednorazowe dokonanie sprawdzenia pozostaje w sprzeczności z zasadami przyjętymi przez Administratora w „Polityce bezpieczeństwa ochrony danych osobowych C. K.Z.”, w której określono rodzaje sprawdzeń (planowe, doraźne oraz w przypadku zwrócenia się o to przez Prezesa UODO), a także terminy sprawdzeń planowych. Uwzględniając terminologię przyjętą przez C. w ww. dokumencie uznać należy, że „sprawozdanie ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych”, sporządzone w dniu […] marca 2021 r., było sprawdzeniem doraźnym związanym z zaistniałym naruszeniem ochrony danych osobowych. Oznacza to w konsekwencji, że Administrator nie przeprowadzał sprawdzeń planowych, naruszając tym samym nie tylko art. 32 ust. 1 it. d) rozporządzenia 2016/679, ale także postępując wbrew przyjętym przez siebie regulacjom. Wobec braku dokonywania tych sprawdzeń zbędna jest analiza słuszności przyjętego okresu ich przeprowadzania (nie rzadziej niż raz w roku), choć wskazać należy, że tak określony termin może budzić wątpliwości w kontekście charakteru wykonywanej działalności i zakresu przetwarzanych danych osobowych, obejmujących dane o stanie zdrowia, a więc dane podlegające szczególnej ochronie stosownie do art. 9 rozporządzenia 2016/679.

Wskazać należy, że aby testowanie, mierzenie i ocenianie zastosowanych środków bezpieczeństwa stanowiło realizację wymogu wynikającego z art. 32 ust. 1 it. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych. W konsekwencji należy stwierdzić, że Administrator nie podejmował działań, do których jest zobowiązany w świetle art. 32 ust. 1 it. d) rozporządzenia 2016/679, co przesądziło o naruszeniu tego przepisu rozporządzenia 2016/679.

Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora wynikającym z art. 32 ust. 1 it. d) rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Natomiast w przedmiotowym stanie faktycznym uznać należy, że Administrator nie wywiązywał się należycie z nałożonego na niego obowiązku dotyczącego testowania mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.

Dokonane ustalenia nie dają zatem podstawy do stwierdzenia, że stosowane przez Administratora środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania; środki te w ocenie Prezesa UODO nie były w odpowiedni sposób poddawane przeglądom i uaktualniane, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych.

Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 3 września 2020 r., sygn. II SA/Wa 2559/19, „Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

Konsekwencją takiej orientacji jest rezygnacja z ist wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki  i procedury, które będą adekwatne do oszacowanego ryzyka.”

Nierzetelnie przeprowadzona analiza ryzyka skutkująca doborem nieskutecznych środków bezpieczeństwa oraz brak regularnego testowania, mierzenia i oceniania przez Administratora skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania doprowadził, co należy ponownie podkreślić, nie tylko do naruszenia ochrony danych osobowych, ale też przesądza o naruszeniu przez C. obowiązków spoczywających na administratorze danych, wynikających z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 oraz art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji również zasady poufności wyrażonej w art. 5 ust. 1 it. f) rozporządzenia 2016/679. Efektem zaś naruszenia zasady poufności jest naruszenie art. 5 ust. 2 rozporządzenia 2016/679. Jak bowiem wskazał WSA w Warszawie w wyroku z dnia 10 utego 2021 r., sygn. II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności interpretuje WSA w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.

Podkreślić należy, że funkcjonowanie jakiejkolwiek organizacji, zwłaszcza w sferze ochrony danych osobowych, nie może opierać się na nierzetelnych bądź nierealnych podstawach, zaś ekceważenie wartości podstawowych informacji skutkować może, jak wskazano wyżej, fałszywym poczuciem bezpieczeństwa oraz nie podjęciem przez administratora danych osobowych działań, do których jest zobligowany, co z kolei skutkować może, jak w przedmiotowym przypadku, naruszeniem ochrony danych osobowych, powodującym ze względu na zakres danych osobowych podlegających naruszeniu oraz brak dostępu do danych osobowych przez okres około 2 miesięcy wysokie ryzyko naruszenia praw ub wolności osób fizycznych.

Biorąc pod uwagę wyjaśnienia złożone przez Administratora w związku z przedmiotowym naruszeniem ochrony danych osobowych oraz podejmowane przez niego działania zarówno bezpośrednio po wystąpieniu naruszenia, jak również na późniejszym etapie, w celu zapewnienia ochrony przetwarzanych danych osobowych, budzić niepokój musi jego podejście do kwestii bezpieczeństwa, przejawiające się w wykazanych w niniejszej decyzji naruszeniach przepisów rozporządzenia 2016/679. Ustalenie okoliczności naruszenia jest istotne z punktu widzenia ryzyka naruszenia praw ub wolności osób fizycznych, co powinno być priorytetem dla każdego administratora w sytuacji wystąpienia naruszenia ochrony danych osobowych. Powyższe potwierdza brak świadomości Administratora co do tego, jakie procedury z zakresu ochrony danych osobowych powinny obowiązywać oraz jak powinien być budowany system ochrony danych osobowych, aby zapewniać skuteczną ochronę danych osobowych.

Podkreślić bowiem należy, że dopiero po naruszeniu ochrony danych osobowych Administrator podjął dodatkowe działania w celu zastosowania środków technicznych i organizacyjnych mających zapewnić bezpieczeństwa przetwarzania danych osobowych. Przykładem takich działań było zainstalowanie zapory sieciowej […] oraz podnoszenie świadomości zagrożeń związanych z cyberbezpieczeństwem wśród pracowników C. W związku z podjęciem tych działań wskazać należy, że wcześniejsze zastosowanie zabezpieczeń, które wdrożone zostały dopiero po naruszeniu, znacząco obniżyłoby ryzyko zaistnienia tego typu zagrożenia. Administrator jednak nie podjął działań mających na celu prawidłową realizację jego obowiązków związanych ze zdolnością do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego ub technicznego oraz regularnym testowaniem, mierzeniem i ocenianiem skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, o których mowa w art. 32 ust. 1 it. c) i d) rozporządzenia 2016/679.

Mając powyższe na uwadze, a także treść art. 58 ust. 2 it. d) rozporządzenia 2016/679, Prezes UODO nakazał administratorowi dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez przeprowadzenie analizy ryzyka w celu oszacowania właściwego poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego ub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia ub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych ub w inny sposób przetwarzanych, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw ub wolności osób fizycznych, w tym zagrożenia związane z zainstalowaniem złośliwego oprogramowania ingerującego w dostępność danych osobowych oraz zagrożenia w postaci braku możliwości szybkiego odtworzenia danych z kopii zapasowej, wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego ub technicznego oraz regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ponadto, działając na podstawie art. 58 ust. 2 it. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi ub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisów art. 5 ust. 1 it. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne - oprócz ub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności ub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

Określenie charakteru naruszenia polega na ustaleniu, który przepis rozporządzenia 2016/679 został naruszony i zakwalifikowaniu naruszenia do właściwej kategorii naruszonych przepisów, tj. wskazanych w art. 83 ust. 4 rozporządzenia 2016/679 ub w art. 83 ust. 5 i 6 rozporządzenia 2016/679. Na ocenę wagi naruszenia (np. niską, średnią ub znaczną) wskazywać będą charakter naruszenia, jak również zakres, cel danego przetwarzania, iczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody. Przy wyborze środka naprawczego organ nadzorczy uwzględnia, czy szkoda została ub może zostać poniesiona z powodu naruszenia rozporządzenia 2016/679, chociaż sam organ nadzorczy nie jest właściwy do przyznania szczególnego odszkodowania za poniesioną szkodę. Zakreślając czas trwania naruszenia można stwierdzić, że zostało ono niezwłocznie usunięte, trwało krótko ub długo, co w konsekwencji pozwala na ocenę np. celowości, czy też skuteczności działań administratora. Grupa Robocza Art. 29 w wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679 przyjętych 3 października 2017 r. odnosząc się do umyślnego ub nieumyślnego charakteru naruszenia wskazała, że zasadniczo „umyślność” obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego, podczas gdy „nieumyślność” oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora/podmiot przetwarzający obowiązku staranności wymaganego prawem. Umyślne naruszenia są poważniejsze niż te nieumyślne, a w konsekwencji częściej wiążą się z nałożeniem administracyjnej kary pieniężnej.

Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie Administratorowi upomnienia. Za okoliczność łagodzącą, która za tym przemawia, Prezes UODO przyjął brak podstaw do uznania, że osoby, których dane dotyczą, poniosły jakąkolwiek szkodę na skutek tego naruszenia, w związku z czasową niedostępnością systemów informatycznych C. od dnia […] marca 2021 r. Ponadto, Administrator zgłosił do Prezesa UODO naruszenie ochrony danych osobowych. Naruszenie dotyczy więc jednorazowego zdarzenia, a zatem nie mamy do czynienia z systematycznym działaniem ub zaniechaniem, które stanowiłoby poważne zagrożenie dla praw osób, których dane osobowe są przetwarzane przez Administratora. Powyższe okoliczności uzasadniają udzielenie Administratorowi upomnienia za stwierdzone naruszenie, co zapewni także, aby w przyszłości podobne zdarzenia nie miały miejsca. Na udzielenie upomnienia miał wpływ również fakt, że ewentualna administracyjna kara pieniężna stanowiłaby nieproporcjonalne obciążenie dla administratora. Niemniej jednak, gdyby podobne zdarzenie powtórzyło się w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia administracyjnej kary pieniężnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Podmiot udostępniający: Departament Kontroli i Naruszeń
Wytworzył informację:
user Jacek Młotkiewicz
date 2022-06-14
Wprowadził informację:
user Edyta Madziar
date 2023-05-15 10:05:38
Ostatnio modyfikował:
user Edyta Madziar
date 2023-05-15 10:43:41