DKN.5131.44.2022
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000 ze zm.), art. 7 ust. 1 oraz art. 60, art. 102 ust. 1 pkt 1 i ust. 3 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 art. oraz 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Burmistrza Miasta i Gminy W. (Urząd Miasta i Gminy W., ul. […]), Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Burmistrza Miasta i Gminy W. (Urząd Miasta i Gminy W., ul. […]) przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej jako rozporządzenie 2016/679, polegające na niezastosowaniu przez Burmistrza Miasta i Gminy W. odpowiednich środków organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, co skutkowało nieuprawnionym wykonaniem kopii danych osobowych z komputera służbowego na przenośny nośnik pamięci przez pracownika Urzędu Miasta i Gminy W., nakłada na Burmistrza Miasta i Gminy W. (Urząd Miasta i Gminy W., ul. […]) za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 administracyjną karę pieniężną w kwocie 10 000 złotych (słownie: dziesięć tysięcy złotych).
Uzasadnienie
Burmistrz Miasta i Gminy W. (Urząd Miasta i Gminy W., ul. […]), zwany również Burmistrzem lub Administratorem, (…) maja 2022 r. dokonał Prezesowi Urzędu Ochrony Danych Osobowych, zwanemu dalej także Prezesem UODO, zgłoszenia naruszenia ochrony danych osobowych, do którego doszło (…) maja 2022 r. (zgłoszenia uzupełniającego dokonano […] maja 2022 r.).
Do naruszenia ochrony danych osobowych doszło na skutek nieuprawnionego wykonania z komputera służbowego na przenośny nośnik pamięci przez pracownika Urzędu Miasta i Gminy W. kopii danych osobowych w zakresie: nazwiska i imiona, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr ewidencyjny PESEL, inne (informacje o rozliczeniach opłat za czynsze, wodę, ścieki, energię elektryczną, najem lokali).
W zgłoszeniu naruszenia ochrony danych osobowych z (…) maja 2022 r. Administrator wskazał, że „(…) w dniu […] maja 2022 roku do Urzędu Miasta i Gminy W. został przyniesiony pendrive z polecenia pracownika przebywającego na zwolnieniu lekarskim. Ze wstępnych informacji wiemy, że na nośniku znajdują się dokumenty służbowe zawierające dane osobowe takie jak: umowy z osobami fizycznymi, umowy najmu, faktury, rozliczenia. Nośnik został dostarczony przez osobę trzecią, nie będącą pracownikiem Urzędu. Osoba ta nie posiada również upoważnienia. Podejrzewamy, że pracownik przebywający na zwolnieniu wykonał nieautoryzowaną i nieuprawnioną kopię dokumentów urzędowych na prywatny nośnik danych (…)”.
W zgłoszeniu uzupełniającym z (…) maja 2022 r. Administrator wskazał, że „(…) dnia […] maja 2022 roku Pani K.B. jako Kierownik […] zgłosiła się do Inspektora Ochrony Danych z informacją, że prawdopodobnie doszło do naruszenia ochrony danych. W toku rozmowy wstępnej ustalono, że […] maja 2022 roku jeden z byłych pracowników Urzędu Miasta i Gminy W. przyniósł niezidentyfikowany pendrive z polecenia obecnego pracownika przebywającego na zwolnieniu lekarskim, Pani D. Z. Po zweryfikowaniu zawartości nośnika zauważono, że znajdują się na nim pliki zawierające wzory umów, umowy powierzenia przetwarzania danych osobowych, umowy użyczenia boisk, informacje o czynszach, dane niezbędne do dokonania naliczeń za energię elektryczną, wodę, ścieki i czynsze, pisma do mieszkańców mieszkań socjalnych i komunalnych, pisma o przyznanie lokalu i zestawienia lokali. Większość dokumentów stanowi jedynie wzory niezawierające danych osobowych. Dane zawarte w dokumentach to imiona i nazwiska, adresy, kwoty faktur i sporadycznie [w ilości do 10 osób] - numery PESEL oraz numery kont bankowych. Na nośniku pojawiają się dane osobowe około 250 osób fizycznych i firm. Dokładna liczba osób jest trudna do oszacowania z uwagi na fakt, iż wiele nazwisk znajdujących się w dokumentach jest powtarzanych, a na samym nośniku przeanalizowano ponad ok. 2100 plików (…) Po przeprowadzeniu postępowania wyjaśniającego, które trwało od […] maja 2022 r. do […] maja 2022 r. stwierdzono co następuje: W dniu […] maja 2022 r. około godziny 7 Pani D. Z. pojawiła się w biurze mimo faktu, iż Urząd w ten dzień czynny był od godziny 8. Ustalono również, że nie zarejestrowała ona swojej obecności na rejestratorze czasu pracy, ponieważ w ten dzień przebywała na zwolnieniu lekarskim. Po analizie logów informatyk ustalił, że Pani D. Z. zalogowała się na swoim komputerze o godzinie 6:58, a wylogowała z niego o godzinie 7:32. Początkowo cel wizyty nie był znany pracownikom. Tego samego dnia, tj. […] maja 2022 r. około godziny 8 Pani D. Z. przesłała hasło do swojego komputera służbowego jednemu ze współpracowników. W związku z dużą ilością błędów merytorycznych popełnionych przez Panią D. Z. [nie dotyczących ochrony danych osobowych] dnia […] maja 2022 r. uznano, że konieczne będzie przejrzenie dokumentów znajdujących się na jej komputerze. Większości dokumentów niestety nie odnaleziono. W pierwszej chwili podejrzewano, że jest to awaria systemu lub serwera Urzędu albo fakt przeniesienia dokumentów do innego folderu. W toku postępowania ustalono jednak, że zniknięcie dokumentów spowodowane było zgraniem ich na zewnętrzny nośnik oraz usunięcie ich z dysku, co potwierdzono dzięki analizie logów oraz poprzez odtworzenie danych z pendrive, na którym większość poszukiwanych dokumentów się odnalazła. W toku postępowania niemożliwy do ustalenia był fakt, czy do danych znajdujących się na nośniku dostęp miała jakakolwiek osoba nieuprawniona. Jednak mając na uwadze sytuację, w której osoba trzecia przynosi nośnik zawierający dane bezpośrednio do Urzędu na polecenie pracownika, należy uznać, że taki dostęp był możliwy, co powoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych. W związku z zaistniałą sytuacją jednoznacznie stwierdzono, że doszło do naruszenia przepisów o ochronie danych osobowych. (…)”.
W związku z przedłożonymi wyjaśnieniami Prezes UODO, działając na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Administratora m.in. o:
1) przekazanie organowi nadzorczemu procedury dotyczącej użytkowania przenośnych nośników pamięci, funkcjonującej w Urzędzie Miasta i Gminy W.,
2) udzielenia informacji, czy dane zostały zgrane przez pracownika na nośnik prywatny, czy służbowy,
3) udzielenia informacji, czy administrator stosuje szyfrowanie portów lub inne narzędzia uniemożliwiające przenoszenie danych na nieautoryzowany nośnik pamięci,
4) udzielenia informacji, czy administrator przeprowadzał szkolenia personelu w zakresie możliwości występowania tego typu naruszeń ochrony danych osobowych.
W odpowiedzi na ww. wezwanie organu nadzorczego, Administrator pismem z (…) maja 2022 r. wyjaśnił, że Burmistrz, że nie jest w stanie jednoznacznie stwierdzić, czy dane zostały skopiowane przez pracownika na nośnik prywatny, czy służbowy, ponieważ „(…) pracownik nie został złapany <za rękę> w trakcie zgrywania danych. Jednak przy założeniu, że dane zostały zwrócone na tym samym nośniku, na który zostały zgrane należy założyć, że był to nośnik prywatny (…)”. Administrator wyjaśnił także, że do dnia wystąpienia przedmiotowego naruszenia nie stosował szyfrowania portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik. Oświadczył jednocześnie, że rozpoczął wdrażanie blokady portów USB wszystkich komputerów służbowych oraz, że jest w trakcie poszukiwania odpowiedniego sytemu, który uniemożliwi wykonywanie nieautoryzowanych kopii dokumentów znajdujących się na dyskach lokalnych stacji roboczych oraz na dyskach sieciowych. W odpowiedzi na pytanie, czy Administrator przeprowadzał szkolenia personelu w zakresie możliwości występowania tego typu naruszeń ochrony danych osobowych, Burmistrz wskazał, że przy zatrudnianiu nowych osób każdorazowo przekazuje im do zapoznania dokumentację z zakresu ochrony danych osobowych wzbogaconą o szkolenie w formie samokształcenia, przepisy prawa, przykłady naruszeń przepisów przy przetwarzaniu danych osobowych, czy instrukcję postępowania w przypadku wystąpienia naruszenia przetwarzania danych osobowych. Administrator wyjaśnił, że każdy pracownik w dniu rozpoczęcia pracy otrzymuje upoważnienie do przetwarzania danych osobowych, w ramach którego oświadcza, że „(…) zapoznał się z przepisami o ochronie danych osobowych oraz <dokumentacją RODO> wprowadzoną w siedzibie administratora (…)” oraz jednocześnie zobowiązuje się do przestrzegania ww. przepisów i dokumentacji oraz odpowiedniego zabezpieczenia i przetwarzania danych wraz z zachowaniem tajemnicy i poufności. Ponadto Burmistrz oświadczył, że „(…) szkolenie dla pracowników organizowane było w 2018 w trzech turach [w dniach […] października, […] października oraz […] grudnia]. Obecność na szkoleniu potwierdzona została własnoręcznymi podpisami pracowników (…)”.
Administrator do wyjaśnień załączył także „Procedurę (…)”.
Następnie Prezes UODO pismem z (…) maja 2022 r. zwrócił się m.in. o:
1) udzielenie informacji, czy w szkoleniu uczestniczyła osoba winna naruszeniu, jeśli tak, to wniósł o przedstawienie listy obecności wraz z planem szkolenia,
2) wskazanie powodów, dla których administrator przeprowadził szkolenia dla swoich pracowników jedynie w 2018 r.,
3) przekazanie kserokopii oświadczenia pracownika winnego wystąpienia naruszenia, że zapoznał się z przepisami o ochronie danych osobowych oraz „dokumentacją RODO” wraz ze wskazaniem, czy ww. oświadczenie obejmuje także procedurę dotyczącą użytkowania przenośnych nośników pamięci,
4) udzielenie wyjaśnień, czy administrator przeprowadził analizę ryzyka dla procesu przetwarzania danych osobowych objętych przedmiotowym naruszeniem zarówno przed, jak i po jego wystąpieniu.
W odpowiedzi na ww. pismo Prezesa UODO Administrator pismem z (…) września 2022 r. wskazał, że nie posiada pisemnego potwierdzenia, że osoba winna naruszeniu uczestniczyła w szkoleniu w 2018 r. Burmistrz oświadczył, że odnalazł listę obecności ze szkolenia organizowanego w 2018 r. zaznaczając, że zgodnie z posiadaną wiedzą, nie wszyscy pracownicy uczestniczący w szkoleniu złożyli podpis na liście (podpisu nie złożyła również osoba winna naruszenia).
Administrator wskazał, że przeprowadził szkolenie w formie video-konferencji w swojej siedzibie w 2018 roku. Jednocześnie oświadczył, że „(…) w późniejszym czasie administrator nie podejmował działań w kierunku organizacji kolejnego szkolenia, ponieważ dla pracowników zostało przygotowane szkolenie w formie samokształcenia kierowanego. Pracownicy zostali zapoznani również w 2020 roku ze zmienionymi <dokumentami RODO>, w tym również z instrukcją postępowania w przypadku wystąpienia naruszenia. Pracownicy podpisali oświadczenia o zapoznaniu się z tymi dokumentami. W trakcie kontroli bieżącej pracy pracowników w zakresie zabezpieczania danych osobowych nie stwierdzano też znacznych uchybień, a w przypadku ich wykrycia, były prowadzone bieżące rozmowy z pracownikami, mające na celu wydanie instrukcji ich korekty. Rozmowy te jednak nie były protokołowane. Dlatego mając na uwadze powyższe, administrator nie przeprowadził kolejnego szkolenia dla pracowników (…)”. Burmistrz ponadto wyjaśnił, że nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem przed jego wystąpieniem. Po wystąpieniu naruszenia została przeprowadzona ogólna analiza ryzyka i ocena skutków dla przetwarzania danych objętych naruszeniem. W wyjaśnieniach wskazano także, że wdrożenie procedury dotyczącej użytkowania przenośnych nośników pamięci w Urzędzie Miasta i Gminy W. miało miejsce (…) maja 2022 r.
Do wyjaśnień z (…) września 2022 r. Administrator załączył kserokopię oświadczenia pracownika o zapoznaniu się z przepisami o ochronie danych oraz „dokumentacją RODO” wskazując, że „(…) oświadczenie to [zawarte w upoważnieniu] nie zawiera jednak oświadczenia obejmującego procedury dotyczącej użytkowania nośników pamięci. Procedura ta została wprowadzona w późniejszym czasie i mimo zaznajomienia z nią pracowników, administrator nie zebrał pisemnych oświadczeń o zapoznaniu się z procedurą (…)”.
W związku ze złożonymi wyjaśnieniami, w dniu (…) września 2022 r. Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Burmistrza, jako administratora danych, obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych, zgłoszonym Prezesowi UODO w dniu (…) maja 2022 r. i zarejestrowanym pod numerem (…).
W odpowiedzi na wszczęcie postępowania administracyjnego, pismem z (…) września 2022 r. Administrator wskazał, że „(…) odnosząc się do dotychczas prowadzonego postępowania Burmistrz Miasta i Gminy W. jako administrator danych pragnie wykazać, że przez cały okres postępowania wykazywał się dobrą wolą i chęcią współpracy w ramach naruszenia z Prezesem Urzędu Ochrony Danych (…) Niezależnie od przekazanych dotychczas informacji odnoszących się do zastosowanych środków mających na celu wyeliminowanie podobnych nieprawidłowości w przyszłości, administrator podjął dodatkowe działania mające na celu przeszkolenie wszystkich osób upoważnionych na terenie Urzędu Miasta i Gminy W. Szkolenia odbędą się w dwóch terminach w październiku (…) W związku z tym administrator pragnie wyrazić swoją gotowość do dalszego czynnego udziału w toczącym się postępowaniu, wyrazić swoją skruchę oraz jednocześnie prosić, aby Prezes Urzędu Ochrony Danych wziął pod uwagę okoliczności łagodzące przy wydawaniu decyzji w przedmiotowym postępowaniu (…)”.
W dniu (…) stycznia 2023 r. Burmistrz przesłał dokument „Ocena (…)”, który przez Administratora został wprowadzony (…) czerwca 2022 r.
Organ nadzorczy dokonał oceny materiału dowodowego pod kątem zbadania jego wiarygodności i mocy dowodowej. Prezes UODO uznał całość przedłożonych przez Administratora dowodów za wiarygodne. Za powyższym przemawia fakt, że poszczególne wyjaśnienia przedłożone przez Burmistrza są logiczne, spójne i korelują z całością materiału dowodowego.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) - zwanej dalej: ustawą z dnia 10 maja 2018 r., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, stanowią dalsze przepisy tego aktu prawnego. Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Wskazane przepisy uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.
Jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679 jest obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.
Administrator dla prawidłowej realizacji obowiązków wynikających z wyżej przywołanych przepisów rozporządzenia 2016/679 powinien w pierwszej kolejności przeprowadzić analizę ryzyka i na jej podstawie określić i wdrożyć adekwatne środki zapewniające bezpieczeństwo w procesie przetwarzania danych osobowych.
W przypadku gdy Administrator przewidział możliwość używania przenośnych nośników pamięci (np. pamięci USB), przedmiotowa analiza powinna wskazywać na ewentualne ryzyka wynikające z możliwości ich nieprawidłowego użycia, które mogło skutkować nieuprawnionym skopiowaniem przez pracownika danych zapisanych na komputerze służbowym na przenośny nośnik pamięci. Konsekwentnie, przedmiotowa analiza powinna przewidywać właściwe środki bezpieczeństwa w celu minimalizacji ryzyka wystąpienia naruszenia ochrony danych osobowych.
W realiach niniejszej sprawy wskazać należy, że Administrator dopuszczając możliwość używania przenośnych nośników pamięci (np. pamięci USB), w szczególności jeżeli te nośniki są własnością prywatną, w oparciu o właściwie przeprowadzoną analizę ryzyka, winien zidentyfikować zagrożenia dla przetwarzanych danych osobowych z wykorzystaniem tego rodzaju sprzętu komputerowego, a następnie określić oraz wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa tych danych, a także regularnie sprawdzać skuteczność tych środków, stosownie do wymogów wynikających z art. 32 ust. 1 i 2 rozporządzenia 2016/679.
Podnieść również należy, że obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu nadania przetwarzaniu niezbędnych zabezpieczeń z uwagi na przyjęty sposób przetwarzania danych osobowych wynika m.in. wprost z art. 25 ust. 1 rozporządzenia 2016/679. Przepis ten nakazuje administratorowi danych uwzględnienie ochrony danych w szczególności w fazie projektowania, co oznacza, że Burmistrz dając możliwość używania przenośnych nośników pamięci (np. pamięci USB) powinien już na tym etapie określić (i wdrożyć) skuteczne środki bezpieczeństwa.
Wskazać należy, iż rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych. Zarządzanie ryzykiem ma charakter ciągłego procesu wymuszającego na administratorze danych nie tylko zapewnienie zgodności z przepisami rozporządzenia 2016/679 poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale także zapewnienie ciągłości monitorowania poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Wobec powyższego, koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma zatem przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiego podejścia jest konieczność samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Podkreślić należy, że administratorom nie są wskazywane konkretne środki i procedury w zakresie bezpieczeństwa.
W kontekście powyższego wskazać należy, że analiza ryzyka przeprowadzana przez administratora danych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora danych, albowiem w zależności właśnie od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych.
Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych). Jest oczywistym, że szeroki zakres danych osobowych lub przetwarzanie danych osobowych, o których mowa w art. 9 lub art. 10 rozporządzenia 2016/679, może spowodować (w przypadku wystąpienia naruszenia ochrony danych osobowych) daleko idące negatywne skutki dla osób, których dane dotyczą, więc winny one być oceniane jako aktywa o wysokiej wartości, a co za tym idzie stopień ich ochrony powinien być odpowiednio wysoki.
Określenie istniejących lub stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.
Podatność jest określana powszechnie jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia i z jakiego kierunku (powodu) mogą się pojawić.
Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Zazwyczaj wykorzystuje się macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, przedstawiając poziomy ryzyka, dla których organizacja definiuje odpowiednie działania.
Aby analiza ryzyka została przeprowadzona w sposób właściwy, winny być zdefiniowane dla każdego z aktywów zagrożenia, mogące wystąpić w procesach przetwarzania danych.
Biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez Burmistrza zawartych w dokumentach skopiowanych na przenośny nośnik danych, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, a także działań zmierzających do optymalnego zabezpieczenia i konfiguracji wykorzystywanych zasobów, narzędzi i urządzeń (w tym sprzętu komputerowego) poprzez regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych w postaci testów bezpieczeństwa w zakresie infrastruktury informatycznej oraz aplikacji. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Administrator jednak, jak wynika ze zgromadzonego materiału dowodowego, nie przeprowadził analizy ryzyka dla procesu przetwarzania danych objętych naruszeniem przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych. Jak wskazał WSA w Warszawie w wyroku z dnia 13 maja 2021 r., sygn. II SA/Wa 2129/20, „Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”.
Podkreślić należy, że zarządzanie ryzykiem (przeprowadzenie analizy ryzyka i na tej podstawie wdrożenie odpowiednich zabezpieczeń) jest jednym z podstawowych elementów systemu ochrony danych osobowych i, jak wskazuje również powyżej przytoczony wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie, ma charakter ciągłego procesu. Winna więc następować okresowa weryfikacja zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, stosownie do wymogu przewidzianego w art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Administrator danych powinien zatem regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania.
Nowe ryzyka lub zagrożenia mogą zmaterializować się lub zostać ujawnione również samoistnie, w sposób całkowicie niezależny od administratora i jest to fakt, który również powinien być brany pod uwagę zarówno podczas budowania systemu ochrony danych osobowych, jak i w czasie jego realizowania. To zaś z kolei definiuje konieczność prowadzenia regularnej weryfikacji całego systemu ochrony danych osobowych zarówno pod kątem adekwatności, jak i skuteczności wdrożonych rozwiązań organizacyjnych i technicznych.
Podkreślić również należy, iż badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.
W tym kontekście należy wskazać, że Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, podniósł, że „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych.”
W przedmiotowej sprawie – wobec nieprzeprowadzenia przed wystąpieniem naruszenia ochrony danych osobowych analizy ryzyka dla operacji przetwarzania danych osobowych w związku z wykorzystywaniem przez pracowników Urzędu Miasta i Gminy W. sprzętu komputerowego umożliwiającego podłączenie przenośnych nośników danych (w szczególności pamięci USB), w tym prywatnych przenośnych nośników danych, która uwzględniałaby zagrożenia związane z nieuprawnionym skopiowaniem przez pracownika z komputera służbowego na ten rodzaj nośnika danych plików zawierających dane osobowe – Administrator nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, wbrew nie tylko obowiązkom wynikającym z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, ale także zasadzie rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
W orzecznictwie wskazuje się, że „(…) rozporządzenie 2016/679 nie przesądza jednak o tym, jak administrator powinien realizować obowiązki wynikające z zasady rozliczalności zawartej w art. 5 ust. 2 ww. rozporządzenia, niemniej jednak wskazuje na konieczność rozliczania się z przestrzegania przepisów, raportowania ich realizacji oraz przedstawiania dowodów świadczących o prawidłowym wykonywaniu obowiązków. Zasada rozliczalności zobowiązuje administratorów do demonstrowania podjęcia wszelkich środków mających na celu zapewnienie zgodności z obowiązkiem ochrony danych osobowych. W świetle ww. zasady to administrator, a nie organ nadzorczy zajmujący się ochroną danych osobowych, odpowiada za opracowanie, aktualizowanie i utrzymywanie wszystkich procedur i dokumentów związanych z ochroną danych osobowych, a także za stworzenie możliwości dowodowych wykazujących zgodność przetwarzania z przepisami (…)” (wyrok WSA w Warszawie z 1 lutego 2022 r., sygn. II SA/Wa 2106/21, LEX nr 3392761). Powyższe potwierdza orzeczenie WSA w Warszawie z dnia 10 lutego 2021 r., sygn. II SA/Wa 2378/20: „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych .” Podobnie kwestię zasady rozliczalności interpretuje WSA w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19: „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679 .”
Podsumowując, wskazać ponownie należy, że z okoliczności sprawy wynika, że Burmistrz przed wystąpieniem naruszenia ochrony danych osobowych nie dokonał oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych (art. 5 ust. 1 lit. f) rozporządzenia 2016/679), wynikającego z zagrożeń związanych z dopuszczeniem używania przenośnych nośników danych przez pracowników Urzędu Miasta i Gminy W., w tym zagrożeń dotyczących nieuprawnionego wykonania kopii plików z komputera służbowego na ten rodzaj nośnika danych. W konsekwencji, Burmistrz nie wykazał również przestrzegania w tym zakresie zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679). Podkreślić należy, że przeprowadzenie analizy ryzyka przed dopuszczeniem używania przenośnych nośników danych przez pracowników Urzędu Miasta i Gminy W., a następnie monitorowanie przyjętych procedur bezpieczeństwa zminimalizowałoby ryzyko wystąpienia przedmiotowego naruszenia i czyniłoby zadość obowiązkowi rozliczalności, który został nałożony na Administratora.
Jak już wyżej wskazano, w stanie faktycznym przedmiotowej sprawy, ryzyko dotyczyło zagrożenia polegającego na nieuprawnionym wykorzystywaniu przez pracownika Urzędu Miasta i Gminy W. przenośnego nośnika danych (najprawdopodobniej nośnik ten był własnością pracownika). W toku przeprowadzonego postępowania Administrator nie wykazał, aby komputery służbowe wykorzystywane przez pracowników Urzędu Miasta i Gminy W. były zabezpieczone przed możliwością nieuprawnionego skopiowania z nich plików zawierających dane osobowe z wykorzystaniem przenośnych nośników pamięci takich jak np. pamięć USB. Przed wystąpieniem naruszenia Burmistrz nie stosował zabezpieczenia portów i innych narzędzi uniemożliwiających przenoszenie danych na nieautoryzowany nośnik danych. W konsekwencji, Administrator nie jest w stanie definitywnie stwierdzić, czy dane z komputera służbowego znajdującego się w jego siedzibie zostały skopiowane na przenośny nośnik danych, który był jego własnością, czy też nośnik ten był własnością pracownika. Jednakże w piśmie z (…) maja 2022 r. sam Administrator przyznaje, że „(…) przy założeniu, że dane zostały zwrócone na tym samym nośniku, na który zostały zgrane należy założyć, że był to nośnik prywatny (…)”. W świetle powyższego, drugorzędne znaczenie miałoby wprowadzenia szyfrowania służbowych przenośnych nośników pamięci, skoro komputery służbowe znajdujące się w siedzibie Administratora nie były zabezpieczone przed możliwością skopiowania z nich danych na nieautoryzowany przenośny nośnik danych (będący w tym przypadku najprawdopodobniej własnością pracownika Urzędu Miasta i Gminy W.). Ponadto, wskazać należy, że „Procedura (…)”, która reguluje kwestie wykorzystywania przenośnych nośników danych, została przyjęta dopiero po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych.
Wskazać przy tym ponownie należy, że w odniesieniu do przenośnych nośników pamięci wykorzystywanych przez pracowników Urzędu Miasta i Gminy W., z uwagi na zagrożenia z tym związane, w celu przeciwdziałania potencjalnym skutkom naruszenia i zapobieżenia utracie poufności danych osobowych znajdujących się na takim urządzeniu, administrator, stosownie do art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 1 i 2 rozporządzenia 2016/679, zobowiązany jest do stosowania skutecznych zabezpieczeń, które w przypadku np. skopiowania dokumentów z komputerów służbowych na przenośny nośnik danych uniemożliwią osobom nieupoważnionym dostęp do danych osobowych przetwarzanych przez Administratora. Jak powyżej wykazano, tego typu skutecznych zabezpieczeń Burmistrz przed wystąpieniem naruszenia nie wprowadził.
Z uwagi na fakt nieprzeprowadzenia przez Administratora analizy ryzyka przed wystąpieniem naruszenia ochrony danych osobowych, Burmistrz nie jest w stanie wykazać, czy przyjęte rozwiązania rzeczywiście zapewniały odpowiednie bezpieczeństwo w przypadku przetwarzania danych osobowych w związku z korzystaniem przez pracowników Urzędu Miasta i Gminy W. z przenośnych nośników danych. Dobór tych środków powinien nastąpić w wyniku prawidłowo przeprowadzonej analizy ryzyka dla operacji przetwarzania danych osobowych, czego jednak Administrator przed wystąpieniem naruszenia ochrony danych osobowych nie uczynił. Należy także zauważyć, że Burmistrz – z racji charakteru rozwiązań, które przyjął – obiektywnie nie jest w stanie zweryfikować, a w konsekwencji także wykazać, czy pracownik wykorzystywał przenośne nośniki danych w sposób gwarantujący zgodne z prawem przetwarzanie danych osobowych.
Jak wynika ze zgromadzonego materiału dowodowego, Administrator przeprowadził co prawda szkolenia obejmujące swoją tematyką zagadnienia związane z ochroną danych osobowych, jednakże nie jest w stanie wykazać, że osoba odpowiedzialna za naruszenie ochrony danych osobowych uczestniczyła w tych szkoleniach. Wobec tego należy podkreślić, że również w tym przypadku Administrator nie zrealizował zasady rozliczalności, gdyż nie jest w stanie udowodnić, że pracownik (którego działalnie doprowadziło do naruszenia) był właściwie przeszkolony w zakresie stosowania przepisów regulujących kwestię ochrony danych osobowych. Prawidłowo przeprowadzone szkolenia pozwalają osobom szkolonym na właściwe zrozumienie zasad przetwarzania danych osobowych określonych przez Administratora, a w konsekwencji przyczyniają się do ograniczenia ryzyka wystąpienia naruszeń w tym obszarze. Podnieść również należy, że przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi być realizowane w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem. Ponadto, w takich szkoleniach muszą brać udział wszystkie osoby upoważnione do przetwarzania danych osobowych, a samo szkolenie musi obejmować swoim programem wszystkie zagadnienia związane z przetwarzaniem danych osobowych w ramach ustalonego tematu szkolenia. Pominięcie któregoś z tych elementów spowoduje, że szkolenie nie spełni swojej roli, bowiem część osób nie zostanie w ogóle przeszkolona albo uczestnicy szkolenia nie otrzymają pełnej wiedzy w danym zakresie. Konsekwencją powyższego może być naruszenie ochrony danych osobowych, tak jak w sprawie będącej przedmiotem niniejszego postępowania. Co więcej, brak przeprowadzania szkoleń w opisany wyżej sposób oznacza, że ten środek bezpieczeństwa w praktyce nie obniża ryzyka wystąpienia naruszeń ochrony danych osobowych, co niewątpliwie przyczynia się do osłabienia poziomu ochrony danych osobowych i przesądza o konieczności uznania naruszenia przepisów rozporządzenia 2016/679 odnoszących do obowiązków administratora w zakresie bezpieczeństwa danych. Pamiętać również trzeba, że szkolenia nie zastąpią rozwiązań o charakterze technicznym. Wskazać ponadto należy, że przed wystąpieniem naruszenia ochrony danych osobowych szkolenia z zakresu ochrony danych osobowych zostały przeprowadzone jedynie w 2018 r. Nawiązując do rozważań podjętych powyżej wskazać należy, że problematyka związana z ochroną danych osobowych podlega ciągłym zmianom (pojawią się np. nowego rodzaju zagrożenia mające istotny wpływ na możliwość wystąpienia naruszenia ochrony danych osobowych, zmianom ulega również porządek prawny regulujący kwestie związane z ogólnie pojętym bezpieczeństwem w procesie przetwarzania danych, itp.). Co więcej, regularne przeprowadzanie przez administratora szkoleń w zakresie omawianej tematyki umożliwia mu skontrolowanie stanu wiedzy pracowników w tym zakresie. Powyższe daje podstawę do stwierdzenia, że, po pierwsze, pracownicy zatrudnieni w Urzędzie Miasta i Gminy W. nie posiadali aktualizowanej wiedzy na temat ochrony danych osobowych, po drugie, Administrator nie posiadał wiedzy, czy pracownicy są właściwie przeszkoleni w omawianym zakresie i dysponują wiedzą pozwalającą im na przetwarzanie danych w sposób zapewniający ich odpowiednie bezpieczeństwo.
Efektem wykazanego powyżej braku działania Administratora w tym zakresie była materializacja zagrożenia w postaci wykonania nieuprawnionej kopii dokumentów zawierających dane osobowe z komputera znajdującego się w siedzibie Administratora na przenośny nośnik danych (pamięć USB), nad którym Administrator nie miał kontroli, co skutkowało naruszeniem poufności danych osobowych przetwarzanych przez Burmistrza.
Podnieść w tym miejscu należy, że dopiero po stwierdzeniu naruszenia ochrony danych osobowych Burmistrz podjął adekwatne działania mające na celu uniknięcie naruszenia ochrony danych osobowych w przyszłości, którego możliwość wystąpienia związana jest z wykorzystywaniem przenośnych nośników danych. Przede wszystkim należy wskazać, że po zdarzeniu Administrator przeprowadził analizę ryzyka uwzględniającą proces przetwarzania danych osobowych z wykorzystaniem m.in. przenośnych nośników pamięci, w której wskazano, że „(…) zagrożenia w zakresie poufności obejmują: (…)
- nieuprawnione przeniesienie informacji zawierających dane osobowe na inny nośnik,
- utrata nośnika zawierającego dane osobowe, (…)
- nieuprawnione wyniesienie danych osobowych zawartych na nośniku elektronicznym (…)”.
Przedmiotowa analiza wskazuje również na zagrożenia w zakresie rozliczalności. Administrator wskazuje, że te zagrożenia obejmują: „(…) brak kontroli nad plikami wytworzonymi w ramach przetwarzania danych objętych naruszeniem zakresie ich kopiowania, zapisywania i usuwania, (…)”.
Analiza ryzyka, która została przeprowadzona po stwierdzeniu naruszenia ochrony danych osobowych, stanowi dowód na fakt, iż Administrator właściwie rozpoznał konsekwencje braku odpowiednich zabezpieczeń procesu przetwarzania danych osobowych w sytuacji dopuszczenia używania przenośnych nośników pamięci. Administrator w przedmiotowej analizie wskazał na wyciągnięte wnioski: „(…) ww. analiza przeprowadzona dla danych objętych naruszeniem oraz wszystkich możliwych zagrożeń dała pełny obraz na co zwrócić szczególną uwagę w jednostce, jakie zastosować dodatkowe środki bezpieczeństwa i pozwala na stworzenie dobrze działającej polityki bezpieczeństwa [regulaminu ochrony danych] występującego systemu informatycznego, w którym przetwarzane są dane osobowe. Dodatkowo ułatwia też stworzenie stosownej dokumentacji (…)”.
Burmistrz wskazał ponadto, że podjął szereg działań mających na celu wprowadzenie odpowiednich zabezpieczeń w procesie przetwarzania danych osobowych mających na celu zwiększenie poziomu bezpieczeństwa. Jak wynika z przedłożonego „Harmonogramu (…) z dnia (…) maja 2022 r. w Urzędzie Miasta i Gminy W.”, Administrator m.in. zaplanował wprowadzenie środków uniemożliwiających wykonywanie nieautoryzowanych kopii dokumentów znajdujących się na dyskach sieciowych i lokalnych stacjach roboczych. Wprowadzono także blokadę dostępu w sieci. Jednocześnie Administrator wskazał, że „(…) po dokonaniu analizy wykorzystywania nośników pamięci w wydziałach Urzędu Miasta i Gminy W. uznano, że wprowadzenie środka w postaci blokady portów jest niemożliwe z uwagi na częste wykorzystywanie nośników zewnętrznych do autoryzacji oraz obsługi interesanta (…)”. Ponadto, Administrator (…) maja 2022 r. wprowadził „Procedurę (…)”. Zgodnie z tym dokumentem „(…) Każdy nośnik używany w środowisku teleinformatycznym Urzędu Miasta i Gminy W., z wyłączeniem płyt CD i DVD, powinien posiadać unikalny numer inwentarzowy pozwalający na powiązanie go z indywidualnym użytkownikiem lub rolą pełnioną w danym systemie teleinformatycznym (…) Z zastrzeżeniem ust. 3 i 4, w środowisku teleinformatycznym Urzędu Miasta i Gminy W. możliwe jest używanie wyłącznie nośników stanowiących własność pracodawcy (…) Burmistrz w uzasadnionych przypadkach może wyrazić zgodę na używanie innych nośników, niż określone w ust. 1, w szczególności dla celów sporządzania dokumentacji fotograficznej, szkoleniowych lub testowych (…) W przypadku konieczności jednorazowego transferu danych z nośnika, innego niż określony w ust. 2 i 3 do środowiska teleinformatycznego Urzędu Miasta i Gminy W. użytkownik jest obowiązany zwrócić się do informatyka o sprawdzenie tego nośnika przy pomocy zaktualizowanego oprogramowania antywirusowego i przeprowadzenie transferu danych (…) W środowisku teleinformatycznym Urzędu Miasta i Gminy W. zabrania się używania nośników stanowiących własność użytkowników, a w szczególności dokonywania czynności polegających na kopiowaniu, przegrywaniu plików, montowaniu, demontowaniu urządzeń, wgrywaniu, przegrywaniu oprogramowania oraz danych w celu przeniesienia lub skopiowania informacji ze sprzętu teleinformatycznego pracodawcy na nośniki stanowiące własność użytkowników (…)”.
Zwrócić należy także uwagę na fakt, że Burmistrz podjął dodatkowe działania mające na celu przeszkolenie wszystkich osób upoważnionych na terenie Urzędu Miasta i Gminy W. Podsumowując należy wskazać, że Administrator po wystąpieniu naruszenia ochrony danych osobowych podjął szereg działań dostosowujących operacje przetwarzania danych osobowych do przepisów rozporządzenia 2016/679 w celu zapewnienia odpowiedniego bezpieczeństwa przetwarzanych danych osobowych, w tym w procesie przetwarzania danych osobowych w związku z wykorzystywaniem w tym procesie przenośnych nośników pamięci (np. pamięci USB). Podjęcie tych działań, z uwagi na to, iż nastąpiło to po naruszeniu ochrony danych osobowych, nie zwalnia go jednak z odpowiedzialności za naruszenie przepisów rozporządzenia 2016/679 wykazane w niniejszej decyzji.
Wobec braku zastosowania przez Administratora adekwatnych środków technicznych mających na celu zminimalizowanie ryzyka naruszenia bezpieczeństwa danych przetwarzanych z wykorzystaniem przenośnych nośników danych (np. pamięci USB), w szczególności jeżeli nośnik ten był własnością pracownika, stwierdzić należy, że przed wystąpieniem naruszenia ochrony danych osobowych Burmistrz nie zapewnił odpowiedniego poziomu zabezpieczenia danych przetwarzanych przy ich użyciu. Przesądza to o niewdrożeniu przez Administratora odpowiednich środków technicznych w czasie przetwarzania danych osobowych, aby przetwarzanie to odbywało się zgodnie z rozporządzeniem 2016/679 i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, do czego był on zobowiązany zgodnie z art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679, jak również o niezastosowaniu środków technicznych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych poprzez zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, do czego zobowiązuje administratora danych art. 32 ust. 1 lit. b) rozporządzenia 2016/679, oraz przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych, o którym mowa w art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji również o naruszeniu zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, której ww. przepisy są uszczegółowieniem. Następstwem zaś naruszenia przez Administratora zasady poufności jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
Na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze ustalenia stanu faktycznego, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego we wskazanym wyżej przepisie rozporządzenia 2016/679 stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Burmistrza Miasta i Gminy W. administracyjnej kary pieniężnej.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 -39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
W niniejszej sprawie administracyjna kara pieniężna wobec Burmistrza nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 - na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie kara nałożona na Burmistrza łącznie za naruszenie wszystkich powyższych przepisów - stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 - nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, którego skutkiem była możliwość uzyskania nieuprawnionego dostępu do przetwarzanych przez Burmistrza danych przez osobę bądź osoby nieuprawnione, a w konsekwencji możliwość pozyskania danych osobowych osób, które były zawarte dokumentach (związanych z realizacją zadań administracji publicznej) bezpodstawnie skopiowanych przez pracownika na przenośny nośnik pamięci, ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla dokładnie nieustalonej, potencjalnie dużej liczby osób (Administrator wskazał, że naruszenia dotyczy ok. 250 osób), do których danych dostęp mogła mieć osoba bądź osoby nieuprawnione. Naruszenie przez Burmistrza obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieupoważnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano. W tym miejscu podkreślenia wymaga, że Burmistrz jako organ wykonawczy samorządu terytorialnego (gminy), jest zobligowany do stosowania wyższych standardów w szczególności w zakresie bezpieczeństwa przetwarzanych danych.
Podkreślić należy również długi czas trwania naruszenia przepisów rozporządzenia 2016/679, bowiem przyjąć należy, iż naruszenie rozpoczęło się w dniu 25 maja 2018 r., tj. w dniu rozpoczęcia stosowania rozporządzenia 2016/679, a zakończyło się (…) maja 2022 r. Co prawda do nieuprawnionego wykorzystania przenośnego nośnika pamięci przez pracownika Urzędu Miasta i Gminy W. doszło (…) maja 2022 r., co wykazało brak zastosowania adekwatnych środków bezpieczeństwa, to jednak Administrator od dnia 25 maja 2018 r. był zobowiązany dostosować procesy przetwarzania danych do wymogów rozporządzenia 2016/679.
W niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba lub osoby nieuprawnione, doznały szkody majątkowej. Niemniej jednak już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę); osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową. Ponadto, publiczne zawiadomienie osób nie gwarantuje, że informacja dotarła do każdej osoby, do której powinna ona dotrzeć. Tym samym mogło dojść do sytuacji, w której osoby objęte naruszeniem, nie dysponując wiedzą o naruszeniu mogły nie podjąć działań mających im zapewnić choćby minimum poczucia bezpieczeństwa, poprzez zwiększenie ostrożności w posługiwaniu się własnymi danymi osobowymi.
2. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Administrator był świadomy, że w przypadku dopuszczenia przetwarzania danych osobowych z wykorzystaniem sprzętu komputerowego umożliwiającego podłączenie przenośnych nośników danych (w szczególności pamięci USB), w tym prywatnych przenośnych nośników danych, powinien przetwarzać dane osobowe, w taki sposób, aby zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych i organizacyjnych, a wiec w taki sposób, aby zapewnić przestrzeganie zasady „integralności i poufności” wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Burmistrz, z uwagi na zakres działalności Urzędu, którym kieruje, był świadomy częstego wykorzystywania przenośnych nośników danych do autoryzacji oraz obsługi interesantów. Powinien zatem przewidzieć możliwość naruszenia ochrony danych osobowych poprzez nieuprawnione wykorzystanie tego rodzaju nośnika danych. Mimo przyjętej praktyki wykorzystywania przenośnych nośników danych, Administrator nie przeprowadził analizy ryzyka w zakresie objętym naruszeniem. Dopiero po wystąpieniu naruszenia ochrony danych osobowych Burmistrz podjął określone czynności o charakterze techniczno-organizacyjnym, takie jak przeprowadzenie analizy ryzyka, wprowadzenie „Procedury (…)” oraz środków uniemożliwiających wykonywanie nieautoryzowanych kopii dokumentów znajdujących się na dyskach sieciowych i lokalnych stacjach roboczych. W działaniach Administratora uwidoczniona została świadomość, co do braku zapewnienia odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych z wykorzystaniem przenośnych nośników danych (np. pamięci USB), w szczególności w sytuacji, gdy nośnik ten nie jest własnością Administratora. W omawianym przypadku Burmistrz mógł przewidzieć, że przyjęte rozwiązania nie zapewnią odpowiedniego stopnia bezpieczeństwa danych osobowych, co będzie stanowiło naruszenie przepisów ochronie danych osobowych. Tym samym, nieumyślnie naruszył przepisy o ochronie danych osobowych - art. 5 ust. 1 li. f) rozporządzenia 2016/679 w zw. z art. 24 ust. 1, 25 ust. 1, 32 ust. 1 i 2 rozporządzenia 2016/679 i w konsekwencji również art. 5 ust. 2 rozporządzenia 2016/679.
Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Administrator dopuścił się zaniedbania skutkującego wystąpieniem naruszenia dotyczącego poufności danych. Tak więc stanowi to istotną okoliczność wpływającą obciążająco na wysokość kary administracyjnej.
3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe znajdujące się na przenośnym nośniku pamięci nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich zakres, tj. nazwiska i imiona, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr ewidencyjny PESEL, inne (informacje o rozliczeniach opłat za czynsze, wodę, ścieki, energię elektryczną, najem lokali) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, że w szczególności nieuprawnione ujawnienie takich kategorii danych jak nr ewidencyjny PESEL wraz z imieniem i nazwiskiem, które jednoznacznie identyfikują osobę fizyczną, może realnie i negatywnie wpływać na ochronę praw lub wolności tej osoby. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 1 lipca 2022 r. sygn. akt II SA/Wa 4143.21„W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą”. Wskazać należy, że numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Administratora z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków [art. 83 ust. 2 lit. f) rozporządzenia 2016/679]. Należy w tym miejscu wskazać, że poza prawidłowym wywiązywaniem się z ciążących na Burmistrzu obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji, Burmistrz w pełnym zakresie zrealizował zalecenia Prezesa UODO dotyczące uzupełnienia zawiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu. Burmistrz podjął również konkretne i szybkie działania, których efektem było usunięcie możliwości ponownego wystąpienia naruszenia. W szczególności Administrator usunął podatność na naruszenie ochrony przetwarzanych danych osobowych, poprzez wprowadzenie ewidencjonowania przenośnych pamięci. Ponadto, Burmistrz wprowadził zakaz korzystania z prywatnych przenośnych nośników pamięci przez pracowników Urzędu Miasta i Gminy W., a w szczególności zakaz dokonywania czynności polegających na kopiowaniu, przegrywaniu plików, montowaniu, demontowaniu urządzeń, wgrywaniu, przegrywaniu oprogramowania oraz danych w celu przeniesienia lub skopiowania informacji ze sprzętu teleinformatycznego pracodawcy na nośniki stanowiące własność użytkowników.
Na fakt zastosowania wobec Burmistrza w niniejszej sprawie przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:
1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
W niniejszej sprawie nie stwierdzono powstania jakiejkolwiek szkody po stronie osoby dotkniętej naruszeniem, w związku, z czym Administrator nie był zobowiązany do podjęcia jakichkolwiek działań mających na celu ich zminimalizowanie.
2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
W przyjętych w dniu 3 października 2017 r. Wytycznych Grupy Roboczej ds. Ochrony Danych Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 wskazano, że - rozpatrując tę przesłankę - „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator <zrobił wszystko, czego można by było oczekiwać>, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.
Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Burmistrza przepisów art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie „zrobił wszystkiego, czego można by było od niego oczekiwać”; nie wywiązał się tym samym z nałożonych na niego przepisami art. 25 i 32 rozporządzenia 2016/679 obowiązków.
W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia; nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Burmistrza administracyjnej kary pieniężnej.
3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.
4.Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.
5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Burmistrz nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku, z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
7. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.
8. Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k) Rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych, uznał, iż nałożenie administracyjnej kary pieniężnej na Burmistrza jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Burmistrzowi naruszeń. Stwierdzić należy, iż zastosowanie wobec Burmistrza jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Administrator w przyszłości nie dopuści się kolejnych zaniedbań.
Odnosząc się do wysokości wymierzonej Burmistrzowi administracyjnej kary pieniężnej wskazać należy, iż w ustalonych okolicznościach niniejszej sprawy – tj. wobec stwierdzenia naruszenia kilku przepisów rozporządzenia 2016/679, tj. zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a odzwierciedlonej w postaci obowiązków określonych w art. 25 ust. 1, art. 32 ust. 1, art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji również art. 5 ust. 2 rozporządzenia 2016/679 (zasady rozliczalności) oraz faktu, iż Burmistrz jest organem jednostki sektora finansów publicznych – zastosowanie znajdzie art. 102 z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), z którego wynika ograniczenie wysokości (do 100.000 zł) administracyjnej kary pieniężnej, jaka może zostać nałożona na jednostkę sektora finansów publicznych.
W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszająca.
Zdaniem Prezesa UODO nałożona na Burmistrza kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Burmistrz stosował będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność kary równoważna jest zatem gwarancji tego, iż Burmistrz od momentu zakończenia niniejszego postępowania będzie z najwyższa starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.
Zastosowana administracyjna kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, skutku, kręgu dotkniętych nim osób fizycznych oraz wysokiego ryzyka negatywnych konsekwencji, jakie w związku z naruszeniem mogą ponieść. Zdaniem Prezesa UODO, nałożona na Burmistrza administracyjna kara pieniężna nie będzie stanowiła nadmiernego dla niego obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków Administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej Administratora. Zdaniem Prezesa UODO, Burmistrz powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 10 000 zł (dziesięciu tysięcy złotych) jest w pełni uzasadnione.
W ocenie Prezesa UODO, administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Burmistrza przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszaniom obowiązków Administratora wynikających z przepisów o ochronie danych osobowych.
W ocenie Prezesa UODO, zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 - zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.
Celem nałożonej kary jest doprowadzenie do przestrzegania przez Burmistrza w przyszłości przepisów rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.