DKN.5130.2024.2020

Na podstawie art. 104 § l i art. 105 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) w związku z art. 7 ust. 1, art. 60, art. 102 ust. 1 pkt 1) i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i art. 58 ust. 2 lit. i) w związku z art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3 oraz art. 32 ust. 1 i 2, a także art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Krajową Szkołę Sądownictwa i Prokuratury z siedzibą w Krakowie, ul. Przy Rondzie 5, 31-547 Kraków, oraz e. Sp. z o.o. z siedzibą w W., Prezes Urzędu Ochrony Danych Osobowych,

1) stwierdzając naruszenie przez Krajową Szkołę Sądownictwa i Prokuratury z siedzibą w Krakowie przepisów art. 5 ust. 1 lit. f), art. 25 ust. 1, art. 28 ust. 3, art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej „rozporządzeniem 2016/679”, polegające na niezrealizowaniu obowiązków ciążących na administratorze, wynikających z rozporządzenia 2016/679, poprzez:

a) niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, brak przetestowania i oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględnienie ryzyka związanego ze zmianami w procesie przetwarzania,

b) powierzenie przetwarzania danych osobowych e. Sp. z o.o. z siedzibą w W., z naruszeniem art. 28 ust. 3 rozporządzenia 2016/679, tj. bez umownego zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, a także bez określenia w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz bez doprecyzowania rodzaju danych osobowych przez wskazanie ich kategorii,

nakłada na Krajową Szkołę Sądownictwa i Prokuratury z siedzibą w Krakowie, administracyjną karę pieniężną w wysokości 100 000 PLN (sto tysięcy złotych);

2) w pozostałym zakresie postępowanie umarza.

Uzasadnienie

W dniu […] kwietnia 2020 r. Krajowa Szkoła Sądownictwa i Prokuratury (zwana dalej także: „KSSiP” lub „administratorem”) zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych (zwanym dalej także: „Prezesem UODO”) naruszenie ochrony danych osobowych, które zostało zarejestrowane pod sygnaturą […]. Zgłoszenie zostało uzupełnione przez KSSiP […] kwietnia 2020 r. W zgłoszeniu naruszenia wskazano, że […] kwietnia 2020 r. administrator został powiadomiony przez Komendę Główną Policji o pojawieniu się w Internecie danych osobowych związanych z domeną kssip.gov.pl. Tego samego dnia administrator stwierdził naruszenie ochrony danych osobowych. Po zapoznaniu się z rodzajem danych ustalił, że są to dane z bazy danych witryny szkolenia.kssip.gov.pl powstałe […] lutego 2020 r. w trakcie testowej migracji do nowej platformy szkoleniowej ekssip.kssip.gov.pl. Naruszenie dotyczyło danych osobowych 50 283 osób (KSSiP wyjaśniła to w piśmie z […] kwietnia 2020 r., pierwotnie w zgłoszeniu wskazywała 50 776 osób). Kategorie danych, których dotyczy naruszenie, zostały ostatecznie wskazane w zgłoszeniu uzupełniającym i obejmują: imię i nazwisko, adres e-mail, nazwa użytkownika, numer telefonu, jednostka, wydział, adres jednostki, miejscowość, dane o charakterze technicznym: adres IP, data pierwszego i ostatniego logowania, hasło (w postaci niejawnej). Administrator poinformował, że prowadzone są czynności analityczne w celu ustalenia, czy naruszenie dotyczyło również numerów ewidencyjnych PESEL. W celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, administrator wysłał zgłoszenie do administracji forum publikującego odnośnik do bazy danych z żądaniem zablokowania informacji oraz do administracji portalu udostępniającego plik z danymi o zablokowanie możliwości pobierania. Ponadto usunął wszystkie hasła na nowej platformie i umieścił informację o konieczności zmiany hasła przy logowaniu do nowej platformy. Stwierdzając wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, rozpoczął informowanie wszystkich osób, których naruszenie dotyczy, o zaistniałej sytuacji (drogą mailową). W zgłoszeniu uzupełniającym KSSiP przekazała treść zawiadomienia i oświadczyła, że zawiadomienie to skierowano do 50 283 osób, których dane dotyczą.

W piśmie z […] kwietnia 2020 r. administrator doprecyzował kategorie podmiotów danych, którą pierwotnie określił we wstępnym zgłoszeniu naruszenia (pracownicy Ministerstwa Sprawiedliwości). Ponadto, KSSiP wskazała, że naruszenie dotyczy użytkowników podlegających szkoleniu ustawicznemu, których dane osobowe zgromadzono na Platformie Szkoleniowej KSSiP. Osoby te wykonują zawody i piastują stanowiska określone w art. 2 ust. 1 pkt 2 i pkt 3 ustawy z dnia 23 stycznia 2009 r. o Krajowej Szkole Sądownictwa i Prokuratury (Dz. U. z 2020 r. poz. 1366 ze zm.), tj. sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych, asystentów sędziów, asystentów prokuratorów, kuratorów zawodowych oraz urzędników sądów i prokuratury. Na platformie szkoleniowej KSSiP znajdowały się również konta części wykładowców prowadzących szkolenia ustawiczne, nielicznych aplikantów KSSiP oraz osób, których konta aktywowano na podstawie indywidualnych decyzji. Do tej ostatniej kategorii osób należą pracownicy resortu Ministerstwa Sprawiedliwości, którzy za pomocą kont m.in. nadzorowali realizację projektów finansowanych przez to ministerstwo, weryfikując np. zamieszczenie określonych informacji lub materiałów szkoleniowych.

Pismem z […] czerwca 2020 r. Prezes Urzędu Ochrony Danych Osobowych zawiadomił Krajową Szkołę Sądownictwa i Prokuratury o wszczęciu postępowania administracyjnego, którego przedmiotem jest możliwość naruszenia przez KSSiP, jako administratora danych, obowiązków wynikających z przepisów rozporządzenia 2016/679 w zakresie obowiązków wynikających z art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3 oraz art. 32 ust. 1 i 2. Ponadto, pismami z […] lipca 2020 r. poinformował KSSiP oraz e. Sp. z o.o. z siedzibą w W., zwaną dalej „e.”, że toczące się postępowanie dotyczy również obowiązków e. jako podmiotu przetwarzającego, któremu KSSiP powierzyła przetwarzanie danych osobowych osób, których dotyczy naruszenie. Tym samym zaszły przesłanki do uznania e. za stronę postępowania, zgodnie z art. 28 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.).

W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych pismami z: […] kwietnia, […] maja, […] czerwca, […] lipca i […] października 2020 r. wezwał KSSiP do złożenia wyjaśnień. Ponadto pismami z: […] lipca, […] września i […] października 2020 r. Prezes UODO wezwał do złożenia wyjaśnień również e.. Na podstawie wyjaśnień złożonych przez KSSiP w pismach z: […] kwietnia, […] maja, […] lipca, […] lipca i […] października 2020 r. oraz przez e. w pismach z: […] lipca, […] września i […] listopada 2020 r., organ nadzorczy ustalił następujący stan faktyczny:

  • Jak wskazała KSSiP w piśmie z […] lipca 2020 r. – Platforma Szkoleniowa e-KSSiP, funkcjonująca od […] marca 2020 r. pod adresem ekssip.kssip.gov.pl, jest narzędziem umożliwiającym realizację założeń projektu „Wdrożenie nowoczesnych metod badania potrzeb szkoleniowych i kształcenia kluczem do skutecznego wymiaru sprawiedliwości”, realizowanego ze środków Europejskiego Funduszu Społecznego w ramach Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020, Oś Priorytetowa II Efektywne polityki publiczne dla rynku pracy, gospodarki i edukacji, Działanie 2.17 Skuteczny wymiar sprawiedliwości. Za zaprojektowanie, opracowanie, wdrożenie i wsparcie techniczne tej platformy odpowiada O. S.A., na podstawie umowy nr […] z […] kwietnia 2019 r. oraz umowy powierzenia przetwarzania danych osobowych nr […] z […] kwietnia 2019 r. (kopia umowy powierzenia stanowi załącznik do pisma KSSiP z […] maja 2020 r.).
  • Dotychczasowa Platforma Szkoleniowa KSSiP (szkolenia.kssip.gov.pl) oraz docelowa Platforma Szkoleniowa e-KSSiP (ekssip.kssip.gov.pl) zlokalizowana jest na zasobach informatycznych udostępnianych w ramach umowy hostingowej zawartej pomiędzy Krajową Szkołą Sądownictwa i Prokuratury oraz e. Sp. z o.o. z siedzibą w W.. Umowa powierzenia przetwarzania danych stanowi załącznik nr […] do umowy hostingowej nr […] zawartej w Krakowie […] grudnia 2019 r. pomiędzy tymi podmiotami. Kopie obu umów zostały załączone do pisma KSSiP z […] kwietnia 2020 r. Pozostałe załączniki zostały przedstawione przez KSSiP w piśmie z […] października 2020 r. oraz e. w piśmie z […] listopada 2020 r.
  • W związku z procedurą przyjętą w celu uruchomienia nowej platformy, jak wskazano w piśmie KSSiP z […] kwietnia 2020 r., zaplanowano dwa etapy migracji: „testowy” i „produkcyjny”. Migracja „testowa” odbyła się w dniach […] – […] lutego 2020 r., a „produkcyjna” - w dniach […] lutego – […] marca 2020 r.
  • W dniach […]-[…] luty 2020 r., pracownik działu informatycznego KSSiP, A. M. oraz Dyrektor Działu Informatycznego KSSiP, P. T., otrzymali wiadomości od wykonawcy nowej platformy, O. S.A., z harmonogramem jej wdrożenia i zakresem odpowiedzialności za poszczególne obszary (KSSiP/O.).
  • […] lutego 2020 r. o godz. […] A. M., skierował do e. wiadomość e-mail z prośbą o „(…) wykonanie kopii bazy danych (dump) PROD PS” oraz „(…) spakowanie katalogu Moodledata z serwera PROD” i „(…) przeniesienie powyższych 2 kopii na nowy serwer PROD eKSSiPu”. W odpowiedzi pracownik e., K. J., zwrócił się o doprecyzowanie ww. prośby m.in. poprzez wskazanie adresów IP serwerów oraz pełnych ścieżek do zasobów źródłowych i docelowych, wskazując na nieznajomość wewnętrznych oznaczeń usług i zasobów KSSiP. Po przekazaniu tych informacji przez A. M., tego samego dnia, K. J. w wiadomości e-mail o godz. […] poinformował o zakończeniu „kopiowania”. Powyższe wiadomości e-mail stanowią załączniki do pisma e. z […] lipca 2020 r., które są tożsame z wyjaśnieniami złożonymi w pkt 3 pisma KSSiP z […] kwietnia 2020 r.
  • […] lutego 2020 r. o godz. […], z uwagi na wypełnione założenia migracji „testowej”, A. M., „[w] związku z przeprowadzaną migracją (…)” zwrócił się o wykonanie czynności analogicznych jak w przypadku czynności wykonanych […] lutego 2020 r. wskazując od razu adresy IP oraz pełne ścieżki do zasobów źródłowych i docelowych. Powyższe, tego samego dnia, zostało zrealizowane i potwierdzone korespondencją K. J..
  • […] kwietnia 2020 r. w serwisie www. nieznana osoba umieściła link do pliku hostowanego na platformie [...], stanowiącego kopię tabeli użytkowników z bazy danych Platformy Szkoleniowej KSSiP.
  • […] kwietnia 2020 r. Komenda Główna Policji powiadomiła administratora o powyższych okolicznościach. Tego samego dnia, na podstawie zapisu ostatniego logowania z udostępnionej publicznie tabeli użytkowników oraz kopii bazy danych, w której posiadaniu było O. S.A., wykorzystywanej w ramach „testowej” migracji, KSSiP stwierdziła, że do naruszenia ochrony danych osobowych doszło […] lutego 2020 r., tj. w dniu, w którym czynności na bazie danych zlecano podmiotom przetwarzającym, tj. e. oraz wykonawcy nowej platformy – O. S.A.
  • […] kwietnia 2020 r.administrator zgłosił incydent do Zespołu Zarządzania Incydentami Biura Cyberbezpieczeństwa Ministerstwa Sprawiedliwości oraz CSiRT gov.pl (zgłoszenie zostało przekierowane do CSiRT NASK). O sytuacji poinformowany został również inspektor ochrony danych w KSSiP. Ponadto KSSiP zleciła wykonawcy Platformy Szkoleniowej e-KSSiP (O. S.A.) przeprowadzenie pilnego resetu haseł wszystkich użytkowników Platformy Szkoleniowej e-KSSiP wraz z odpowiednią dla nich informacją. W tym samym czasie zażądano od O. S.A. przeprowadzenia pilnego audytu bezpieczeństwa serwera e‑KSSiP oraz zabezpieczenia informacji (logów). KSSiP przesłała również żądanie do administracji forum [...] o usunięcie informacji oraz drugie żądanie, do operatora serwisu [...], na którym znajduje się plik (zarówno informacja na forum, jak i plik, zostały usunięte).
  • […] kwietnia 2020 r. Kierownik Działu Informatycznego KSSiP (notatka służbowa kierownika stanowi załącznik do pisma KSSiP z […] kwietnia 2020 r.) zlecił A. M. kontakt z e. oraz O. S.A. w sprawie weryfikacji dostępności danych osobowych dotychczasowej i docelowej platformy, na serwerach dostarczanych przez e..
  • […] kwietnia 2020 r. KSSiP skierowała do Prokuratury Krajowej zawiadomienie o możliwości popełnienia przestępstwa.
  • […] kwietnia 2020 r. KSSiP zgłosiła naruszenie Prezesowi Urzędu Ochrony Danych Osobowych.
  • W dniach […] – […]  kwietnia 2020 r. nastąpiła wymiana korespondencji między pracownikiem KSSiP, A. M. (w ramach czynności zleconych przez Kierownika Działu Informatycznego KSSiP […] kwietnia 2020 r.), a przedstawicielami e., K. J. i K. O.:
  • […] kwietnia 2020 r. zwrócono się z pytaniem, czy pliki przechowywane w katalogu public_[...] są bezpieczne. W odpowiedzi wskazano m.in., że katalog ten „(…) nie jest w żaden sposób hostowany przez funkcjonalność serwera WWW, ponieważ katalog ../public_[...] dla […], która została stworzona podczas wdrażania serwera i nie jest funkcjonalna”.
  • […] kwietnia 2020 r. zwrócono się o możliwość „sprawdzenia w logach, czy pliki znajdujące się w katalogu public_[...] były w jakiś sposób przenoszone, kopiowane, pobierane od chwili przesłania na podany serwer O. dnia […].02.2020”. W odpowiedzi wskazano, że „[a]ccess logi nie są tak długo trzymane a na dodatek tego typu operacje nie są logowane (…)”.
  • […] kwietnia 2020 r. zwrócono się o „(…) sprawdzenie dlaczego wszystkie pliki widoczne są w sieci https:// […]”. W odpowiedzi wskazano, że „listowanie katalogu zostało wyłączone”.
    • W dniach […] – […] kwietnia 2020 r. użytkownicy platformy zostali zawiadomieni o naruszeniu ochrony danych osobowych, za pomocą wiadomości przekazanych na adresy e-mail oraz komunikatu na stronie internetowej administratora. Jak wynika ze złożonych wyjaśnień, informacje te miały charakter wstępny.
    • […] kwietnia 2020 r., pracownik działu informatycznego KSSiP, B. K., analizując informacje zawarte w panelu służącym do zarządzania serwerami oraz pocztą elektroniczną (usługi dostarczane w ramach umowy z e.), stwierdził obecność wpisów wskazujących na pobranie […] kwietnia 2020 r. za pośrednictwem dwóch adresów IP, plików znajdujących się w lokalizacji dostępnej z przeglądarki internetowej, bezpośrednio po adresie IP, bez konieczności podawania domeny internetowej dotychczasowej Platformy Szkoleniowej KSSiP, tj. http://[…]/BACKUP-[…]-02-2020/. Jednym z tych plików był plik zatytułowany „[…].sql”, o rozmiarze 5.9 GB, ostatnio modyfikowany […] lutego 2020 r. Informacje te, wraz z ich graficznym odzwierciedleniem, znajdują się w notatkach służbowych ww. pracownika oraz Dyrektora Działu Informatycznego KSSiP, dołączonych do wyjaśnień KSSiP z […] kwietnia 2020 r.
    • W dniach […] – […] kwietnia 2020 r. administrator skierował do osób, których dane dotyczą, wiadomość e-mail zatytułowaną „Zawiadomienie o naruszeniu ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia Pani/Pana praw lub wolności”.
    • […] kwietnia 2020 r. na stronie internetowej Krajowej Szkoły Sądownictwa i Prokuratury www.kssip.gov.pl opublikowano komunikat w sprawie stwierdzenia naruszenia ochrony danych osobowych.
    • W dniach […] – […] kwietnia 2020 r. administrator skierował do osób, których dane dotyczą wiadomość e-mail zatytułowaną „Zaktualizowany komunikat w trybie art. 34 RODO z dnia […] kwietnia 2020 r.”
    • […] i […] kwietnia 2020 r. funkcjonariusze Policji oraz Agencji Bezpieczeństwa Wewnętrznego dokonali zabezpieczenia logów i dysków, których dysponentem jest e..
    • […] kwietnia 2020 r. Prokuratura Krajowa zamieszcza na swojej stronie internetowej komunikat, do którego odwołuje się KSSiP w wyjaśnieniach z […] kwietnia i […] maja 2020 r. Komunikat dostępny jest pod adresem: https://pk.gov.pl/aktualnosci/aktualnosci-prokuratury-krajowej/zatrzymanie-podejrzanego-o-spowodowanie-wycieku-danych-z-kssip/.
    • Pismem z […] maja 2020 r. KSSiP odstąpiła od umowy o świadczenie usług hostingu nr […] z […] grudnia 2019 r., zawartej z e. Sp. z o.o., z winy wykonawcy, z uwagi na rażące, w ocenie KSSiP, naruszenie § 6 ust. 1 lit. d umowy oraz postanowień umowy powierzenia przetwarzania danych osobowych, stanowiącej załącznik nr 5 do ww. umowy. Informacja o odstąpieniu od umowy o świadczenie usług została przekazana przez KSSiP w wyjaśnieniach z […] maja 2020 r. oraz potwierdzona przez e. w wyjaśnieniach z […] września 2020 r.
    • […] maja 2020 r. e. protokolarnie przekazał wszelkie dane, które uzyskał od KSSiP i w związku z ww. umową został zobowiązany do usunięcia wszelkich istniejących kopii danych przetwarzanych w ramach umowy. Informacja ta została przekazana w piśmie KSSiP z […] maja 2020 r. Usunięcie danych potwierdził e. w pismach z […] lipca i […] września 2020 r.

Ponadto, do pism z […] lipca 2020 r. i […] listopada 2020 r. w celu wyjaśnienia zobowiązań wynikających z relacji z KSSiP, e. przedłożył przykładową korespondencję prowadzoną pomiędzy jego przedstawicielami a KSSiP, zarówno przed, jak i po naruszeniu ochrony danych osobowych.

W odniesieniu do prowadzonych czynności analitycznych mających na celu ustalenie, czy naruszenie dotyczyło również numerów ewidencyjnych PESEL, KSSiP w piśmie z […] kwietnia 2020 r. wskazała, że jest to m.in. przedmiotem prowadzonego przez Prokuraturę Regionalną w Lublinie postępowania. W związku z powyższym Prezes UODO, pismem z […] maja 2020 r., zwrócił się do Prokuratury Regionalnej w Lublinie o poinformowanie m.in., czy oraz ilu numerów ewidencyjnych PESEL użytkowników Platformy Szkoleniowej KSSiP poufność została naruszona i w jaki sposób. W odpowiedzi z […] maja 2020 r. Prokuratura poinformowała, że „(…) baza danych użytkowników Platformy Szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, która została pobrana z serwerów firmy świadczącej usługi hostingowe dla KSSiP, a następnie upubliczniona w sieci Internet, obejmuje 44 262 rekordy zawierające numery PESEL”.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Zgodnie z brzmieniem art. 24 ust. 1 rozporządzenia 2016/679 uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny proporcjonalności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże. Jednocześnie wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych – zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, zgodnie z którą dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Zgodnie z treścią art. 25 ust. 1 rozporządzenia 2016/679 uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Art. 32 ust. 1 rozporządzenia 2016/679 stanowi, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 rozporządzenia 2016/679, a następnie należy ustalić jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Zgodnie z brzmieniem art. 32 ust. 2 rozporządzenia 2016/679 oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, to zgodnie z brzmieniem art. 28 ust. 1 rozporządzenia 2016/679, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Ponadto, zgodnie z ust. 3 lit. h) tego artykułu, administrator posiada uprawnienia w zakresie uzyskania od podmiotu przetwarzającego wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia 2016/679 oraz posiada uprawnienie do przeprowadzania audytów, w tym inspekcji. Natomiast stosownie do art. 28 ust. 3 lit. b) rozporządzenia 2016/679 podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

Stosownie zaś do treści art. 28 ust. 3 rozporządzenia 2016/679 przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Przepisy rozporządzenia 2016/679 zobowiązują więc administratorów, jak i podmioty przetwarzające do przyjęcia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych. Mając na względzie przedstawiony stan faktyczny, aby prawidłowo rozstrzygnąć sprawę będącą przedmiotem niniejszej decyzji, należało w pierwszej kolejności zbadać zgodność zawartej umowy powierzenia z przepisami o ochronie danych osobowych oraz zakres odpowiedzialności stron tej umowy, uwzględniając ww. przepisy rozporządzenia 2016/679, a w szczególności kryteria zawarte w art. 28 ust. 3 rozporządzenia 2016/679.

Wraz z pismem z […] kwietnia 2020 r. KSSiP przesłała umowę powierzenia przetwarzania danych osobowych zawartą z e. Sp. z o.o., stanowiącą załącznik numer […] do umowy z […] grudnia 2019 r., numer […], zwanej dalej „umową główną”. Jak wynika z treści tej umowy i zgromadzonego materiału dowodowego, e., jako wykonawca usługi hostingowej, został wyłoniony w postępowaniu o udzielenie zamówienia publicznego w trybie przetargu nieograniczonego, zgodnie z przepisami ustawy z dnia 29 stycznia 2004 r. – Prawo Zamówień Publicznych (Dz. U. z 2019 r., poz. 1843). Jak słusznie wskazano w ww. piśmie, w sytuacji powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie powierzenia przetwarzania danych osobowych określa się przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Postrzegając przetwarzanie danych osobowych przez pryzmat całego rozporządzenia 2016/679, w pełni uzasadniony jest wymóg zawarcia stosunkowo szczegółowego opisu przetwarzania w umowie powierzenia. Kompleksowe zawarcie w tej umowie elementów wynikających z art. 28 ust. 3 rozporządzenia 2016/679 ma na celu bowiem zapewnienie precyzyjnego ustalenia granic działania podmiotu przetwarzającego, co jest podstawą umowy powierzenia ze względu na związanie podmiotu przetwarzającego z celem ustalonym przez administratora.

Treść umowy powierzenia, zdaniem Prezesa UODO, w § 2 pkt 1, w sposób niewystarczający doprecyzowuje zakres powierzanych danych, tj. wskazano, że „[p]odmiot przetwarzający w ramach świadczenia usługi hostingowej przetwarzał będzie powierzone dane osobowe zwykłe obejmujące zbiory danych osobowych niezbędne do wykonywania prac w systemie informatycznym na rzecz administratora”. Administrator nie wskazał przy tym kategorii osób, których dane dotyczą, wymaganych przez art. 28 ust. 3 rozporządzenia 2016/679. Posłużył się jedynie pojęciem zbioru danych osobowych. Stosując wykładnię celowościową należy wskazać, że w tym kontekście „rodzaj danych”, również wymagany ww. przepisem, odnosi się do informacji dotyczącej charakterystyki określonej, znanej administratorowi, grupy podmiotów danych osobowych, które w umowie powierzenia nie zostały wskazane. Opisując przetwarzanie danych umowa powinna również odwoływać się do ich kategorii, jeśli można je doprecyzować. O ile w przypadku przetwarzania danych związanych np. z usługą poczty elektronicznej, trudno jest jednoznacznie taki zakres wskazać, o tyle w przypadku przetwarzania danych w celach związanych z funkcjonowaniem platformy szkoleniowej KSSiP, informacje takie, jako możliwe do określenia, powinny być zawarte.

Wobec powyższego, KSSiP, powierzając przetwarzanie danych osobowych e., nie zawarła w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz nie doprecyzowała rodzaju danych osobowych przez wskazanie ich kategorii, co stanowi naruszenie art. 28 ust. 3 rozporządzenia 2016/679.

Zgodnie z art. 28 ust. 3 pkt a) rozporządzenia 2016/679, umowa powierzenia przetwarzania danych stanowi m.in., że podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. O ile w pewnym stopniu element ten można wyinterpretować z § 3 pkt 3 umowy głównej, zgodnie z którym „[z]głoszenia usterek związanych z usługami hostingowymi, w tym ich niedostępność, dokonywane będą pisemnie, faksem lub pocztą elektroniczną”, o tyle w ocenie Prezesa UODO wskazane postanowienie umowy jest niewystarczające. Umowa powierzenia zawarta z e. powinna zawierać przynajmniej ogólne sformułowanie zobowiązujące podmiot przetwarzający do działania wyłącznie na udokumentowane polecenie administratora.

Wobec powyższego, KSSiP, powierzając przetwarzanie danych osobowych e., nie zawarła w umowie zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, co stanowi naruszenie art. 28 ust. 3 lit. a) rozporządzenia 2016/679.

Odnosząc się do charakteru umowy powierzenia przetwarzania, w § 2 pkt 2 umowy powierzenia przetwarzania danych wskazuje się, że powierzone dane osobowe będą przetwarzane wyłącznie  w celu realizacji umowy głównej, tj. wykonywania na dedykowanych serwerach, dostarczanych przez e., usługi hostingu strony www oraz platformy szkoleniowej, hostingu poczty elektronicznej, a także zapewnienie pełnej obsługi administracyjnej dla ww. serwerów na zasadach opisanych w umowie głównej. Umowa główna w § 3 i § 4 odnosi się do kanałów komunikacji, warunków zapewniających ciągłość działania usługi hostingowej oraz obowiązków związanych  z zapewnianiem jej dostępności, np. w zakresie informowania o przerwach w dostępie do usług. Załącznik nr 1 do umowy z kolei precyzuje wymagania techniczne, takie jak moc obliczeniowa, pamięć operacyjna, zasoby dyskowe, środowisko (wirtualizacja hostów wraz z ich zarządzaniem) oraz kwestie obsługi administracyjnej tych serwerów, w tym konsultacje techniczne. Zakres świadczonej usługi, a więc i charakter powierzenia przetwarzania danych, jest więc tożsamy z opisem przedmiotu zamówienia zawartym w specyfikacji istotnych warunków zamówienia określnych  w przetargu, w ramach którego e. został wyłoniony jako wykonawca usługi. Specyfikacja stanowi załącznik nr […] do pisma e. z […] listopada 2020 r.

Podmiot przetwarzający w wyjaśnieniach z […] listopada 2020 r., powołując się na treść art. 14 i art. 15 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r., poz. 344 t.j.), zwanej dalej „u.ś.u.d.e.”, wskazuje, że „(…) kilkukrotnie prowadziliśmy korespondencję mającą na celu jasne odgraniczenie kwestii naszych działań nad systemem hostującym, a obszarem danych i aplikacji klienta, którym się nie zajmowaliśmy i nie mieliśmy do niego wglądu, czy możliwości zalogowania się do jego panelu administracyjnego”. Na potwierdzenie powyższego, e. załączył przykładową korespondencję prowadzoną z KSSiP. Wynika z niej, że pracownicy KSSiP, zarówno przed naruszeniem ochrony danych, jak i po jego stwierdzeniu, nie mieli pełnej świadomości, jak kształtują się prawa i obowiązki, pomiędzy administratorem a podmiotem przetwarzającym, wynikające z umowy z […] grudnia 2019 r. Administrator kilkukrotnie oczekiwał wykonywania zadań wykraczających poza zakres tej umowy. Charakter usługi hostingu, wskazanej w umowie, nie zobowiązywał e. do ingerencji w kod źródłowy aplikacji, która jest narzędziem służącym do przetwarzania danych osobowych. Podmiot przetwarzający nie znał struktury i konfiguracji autorskich aplikacji instalowanych przez administratora na tych zasobach, w tym nie miał obowiązku, bez wiedzy administratora i na udokumentowane jego polecenie, prowadzenia czynności konfiguracyjnych w zakresie dostępu do katalogów, czy baz danych, z których aplikacje te korzystają. Zgodnie z istotą świadczonej usługi, obszar ten charakteryzuje się pewną autonomią po stronie administratora i to on dysponuje pełną wiedzą o tym, jakie dane osobowe przetwarza, w jaki sposób, w jakiej lokalizacji (w ramach udostępnionych zasobów) i za pomocą jakich narzędzi. Jedynie na udokumentowane polecenie administratora podmiot przetwarzający może dokonywać ingerencji w zakresie wynikającym z charakteru świadczonych usług i zawartej umowy.

K. J., w wiadomościach e-mail z […] lutego czy […] marca 2020 r., w odpowiedzi na prośby, mieszczące się w zakresie wsparcia technicznego wynikającego z umowy hostingu, zwracał uwagę, że w kierowanych do e. wiadomościach, KSSiP posługuje się nomenklaturą i oznaczeniami (np.: baza danych PROD PS, „stara” platforma szkoleniowa, platforma e-learning, baza szkoleniowa), która dla dostawcy usług hostingowych, z uwagi na charakter świadczonej usługi, nie jest znana, co z kolei rodzi problemy interpretacyjne. Jedno z takich zapytań zostało skierowane […] lutego 2020 r. przez przedstawiciela KSSiP, A. M., w którym zwrócił się m.in. o „wykonanie kopii bazy danych (dump) PROD PS” i „przeniesienie (…) kopii na nowy serwer PROD eKSSIPu.”. W odpowiedzi K. J. wskazał na ww. aspekty i poprosił o dokładne wskazanie m.in. „ścieżki do folderu, do którego mamy przekopiować oraz IP serwera docelowego”. Pracownik KSSiP w odpowiedzi wskazał żądane informacje. Słowo „migracja” w relacji z podmiotem przetwarzającym, jak wynika ze zgromadzonego materiału dowodowego i jak słusznie wskazuje e., pojawiło się pierwszy raz w wiadomości e-mail z […] lutego 2020 r. skierowanej przez A. M. do e. w sprawie analogicznej, jak z […] lutego 2020 r. Wspomniał w nim, że w związku z przeprowadzaną migracją prosi o wykonanie konkretnych czynności, tj. m.in. o wykonanie kopii wskazanej bazy danych i przesłanie jej do wskazanych zasobów. Informacja ta jednak nadal w żaden sposób nie odnosiła się do charakteru podejmowanych czynności i nie uwzględniała w niej danych osobowych, jako informacji szczególnie istotnej z punktu widzenia zapewnienia ich bezpieczeństwa.

Jak wskazuje e. w ww. piśmie, pojęcie hostingu należy utożsamiać z brzmieniem art. 14 ust. 1 „u.ś.u.d.e.”, tj. jako udostępnienie zasobów systemu teleinformatycznego w celu przechowywania danych. Z perspektywy powierzenia przetwarzania, umowa może jednak precyzować inne obowiązki podmiotu przetwarzającego. Dlatego nie zawsze zastosowanie będzie miała przesłanka, na którą powołuje się e. przytaczając treść art. 15 u.ś.u.d.e., tj. iż nie zachodzi obowiązek sprawdzania przekazywanych, przechowywanych lub udostępnianych danych przez podmiot świadczący usługę hostingową. W umowie powierzenia administrator może bowiem zobowiązać podmiot przetwarzający do takich czynności. Jednak w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji, charakter świadczonej usługi, zobowiązania dotyczące obsługi administracyjnej  i ustalony stan faktyczny, nie nakładały na e. generalnych obowiązków związanych  z monitorowaniem danych osobowych.

Przepisy rozporządzenia 2016/679 dają pewną swobodę w zakresie kształtowania relacji między administratorem a podmiotem przetwarzającym. Należy więc oczekiwać, patrząc z perspektywy obowiązków wynikających z art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679 w związku z art. 28 ust. 1 i ust. 3 rozporządzenia 2016/679, że administrator wypracuje model współpracy  z podmiotem przetwarzającym, który będzie zapewniał przetwarzanie zgodne z przepisami  o ochronie danych osobowych, a w szczególności umożliwiał realizację zasady rozliczalności wyrażoną w art. 5 ust. 2 rozporządzenia 2016/679. O ile strony umowy ustaliły kanały komunikacji oraz wyznaczyły osoby wykonujące czynności związane z realizacją umowy (załączniki nr […] i […] do umowy głównej), a wydawane polecenia miały charakter udokumentowany, o tyle, jak wynika  z omówionej wyżej korespondencji, osoby wyznaczone przez KSSiP nadal nie miały świadomości, jak kształtują się prawa i obowiązki pomiędzy KSSiP a e.. Uprawniona jest konstatacja, że osoby wyznaczone do kontaktu z podmiotem przetwarzającym powinny zostać uprzednio poinformowane o zakresie usług świadczonych przez podmiot przetwarzający, obowiązkach ciążących po stronie administratora, a w porozumieniu z e. posługiwać się pojęciami zrozumiałymi dla obu stron, minimalizującymi ryzyko naruszenia ochrony danych osobowych.

KSSiP, w piśmie z […] lipca 2020 r., w odpowiedzi na pytanie Prezesa UODO zmierzające do ustalenia, czy administrator podjął działania weryfikacyjne pod kątem usunięcia zbędnej kopii bazy danych po zakończeniu migracji, nie udzielił odpowiedzi wprost, a jedynie podkreślił, że „przedmiotem zlecenia przesłanego do e. Sp. z o.o. w dniu […] lutego 2020 r. (…) dotyczącego wykonania czynności związanych z migracją, było (…) przeniesienie powyższych 2 kopii na nowy serwer PROD eKSSiPu”. Jak wskazuje KSSiP, samo „przeniesienie”, stosownie do powszechnego rozumienia tego słowa, należy rozumieć jako „(…) zabranie czegoś (wykonanej kopii) z jednego miejsca i umieszczenie tego bez powielania gdzie indziej, w innej lokalizacji, w tym przypadku na nowym serwerze PROD eKSSiPu. Oznacza to, że po zakończeniu procesu migracji przeprowadzonego zgodnie ze zleceniem, żadna zbędna kopia bazy danych wymagająca usunięcia, nie powinna pozostać.

Jak wskazują powyższe wyjaśnienia, KSSiP, zgodnie z przyjętym przez siebie celem i sposobem przetwarzania, zdecydowała, że po zakończeniu procesu migracji żadna kopia bazy danych nie powinna pozostać. Zarówno przed, jak i po zleceniu czynności […] lutego 2020 r. oraz […] lutego 2020 r., administrator nie zweryfikował, czy wspomniana kopia nadal znajduje się na zasobach KSSiP. Dopiero […] kwietnia 2020 r. pracownik KSSiP, A. M., skierował do e. pytanie o to, czy dane znajdujące się w ww. lokalizacji są bezpieczne. Skoro administrator podjął decyzję, że wspomniana kopia bazy danych powinna zostać usunięta, to jego obowiązkiem była weryfikacja, czy czynność ta została wykonana. Nawet jeśli w wyniku błędu pracownik e. nie usunął wykonanej kopii, gdyż nie zastosował się do prośby o jej „przeniesienie”, to na administratorze nadal ciążył obowiązek weryfikacji, czy wskazana lokalizacja zapewnia bezpieczeństwo przetwarzania. To administrator jest inicjatorem podejmowanych działań jako podmiot decydujący o celach i sposobach przetwarzania. Zgodnie z umową o świadczenie usług, to jemu zostało udostępnione środowisko, w którym tego przetwarzania dokonuje i to on w pierwszej kolejności odpowiada za jego bezpieczeństwo, a jak wynika z umowy o świadczenie usług, w razie konieczności korzysta z pomocy podmiotu przetwarzającego.

W ocenie Prezesa UODO model współpracy administratora z podmiotem przetwarzającym był nieskuteczny. Nieporozumienia wynikające z przedstawionej korespondencji i brak zrozumienia przez administratora roli, jaką pełni w relacji z podmiotem przetwarzającym, doprowadziły do naruszenia ochrony danych osobowych. 

Jak wskazuje zarówno KSSiP oraz e., wszelkie logi z serwera hostującego oraz nośniki danych, których dotyczy naruszenie, zostały przekazane […] i […] kwietnia 2020 r. organom, które dokonały ich zabezpieczenia na poczet postępowania prowadzonego przez Prokuraturę Regionalną w Lublinie.

O ile na podstawie zgromadzonego materiału dowodowego nie można wskazać jednoznacznej daty pierwszego pobrania kopii bazy danych oraz ustalić momentu, w którym nastąpiła nieprawidłowa konfiguracja maszyny hostującej, umożliwiająca bezpośredni dostęp do kopii bazy danych osobom nieupoważnionym, istotne znaczenie dla rozstrzygnięcia niniejszej decyzji mają okoliczności, o których wspomina e. w wyjaśnieniach z […] lipca i […] września 2020 r. Podmiot przetwarzający wykonał szereg czynności w kwestii ustalenia, jak doszło do upublicznienia katalogu głównego bezpośrednio po adresie IP serwera. Jak wskazuje e., obszerna dokumentacja oprogramowania panelowego nie daje odpowiedzi na to pytanie, gdyż zgodnie z tą dokumentacją, konfiguracja uniemożliwiająca taki dostęp była w chwili sprawdzenia (tj. po stwierdzeniu naruszenia przez KSSiP) ustawiona zgodnie z oczekiwaniami. Podmiot przetwarzający wskazuje, że w jego ocenie, jedną z przesłanek wskazujących, iż miały miejsce zmiany w ustawieniach oprogramowania służącego do zarządzania hostingiem, jest korespondencja z KSSiP pomiędzy […] lutego 2020 r. a […] marca 2020 r. w sprawie udostępnienia platformy szkoleniowej po adresie IP, czego e. odmówił powołując się na względy techniczne i bezpieczeństwo danych. Ponadto, e. w oparciu o przeprowadzone analizy wskazuje, że indeksacja katalogu głównego hostingu (tj. udostępnienie go wyszukiwarkom internetowym), na którym znajdowała się kopia bazy danych, miała miejsce pomiędzy […] a […] lutego 2020 r.

Niezależnie od powyższego, jak słusznie wskazuje e. w wyjaśnieniach z […] lipca 2020 r., zgodnie z wymogami przetargu oraz umową o świadczenie usług, hosting zarządzany jest poprzez dedykowane oprogramowanie, które na bieżąco tworzy pliki konfiguracyjne zgodnie z ustawieniami użytkownika, czyli pracowników KSSiP. Ponadto e. wskazał szereg innych możliwości konfiguracyjnych leżących w gestii KSSiP, które mogły skutkować upublicznieniem katalogu zawierającego kopię bazy danych bezpośrednio po adresie IP.

Zdaniem Prezesa UODO podmiot przetwarzający wypełniał obowiązki wynikające z umowy powierzenia i umowy głównej, a także stosował przyjęte przez siebie środki organizacyjne mające na celu zapewnienie bezpieczeństwa systemów informatycznych. Cel ten jest wskazany m.in. poprzez wsparcie techniczne, o którym mowa w załączniku nr 1 do umowy głównej. Dowodem na wywiązywanie się podmiotu przetwarzającego z powyższego, istotnym z punktu widzenia naruszenia ochrony danych osobowych z […] lutego 2020 r., jest korespondencja datowana na […] marca 2020 r., załączona do pisma z […] listopada 2020 r., o której e. wspomina również w wyjaśnieniach z […] września 2020 r. W korespondencji tej e. odmówił pracownikowi KSSiP pomocy w skonfigurowaniu serwera, tak by umożliwić dostęp do konkretnych zasobów Platformy Szkoleniowej KSSiP bezpośrednio pod wskazanym adresem IP, powołując się na bezpieczeństwo danych i niezgodność z systemem służącym do kontroli konfiguracji maszyny hostującej. Zaproponował inne, bezpieczne w jego ocenie, rozwiązanie stanowiące odpowiedź na zgłoszone zapotrzebowanie.

KSSiP, odnosząc się do ryzyk związanych z podejmowanym procesem migracji w pismach z […] lipca oraz […] lipca 2020 r. wskazał, że:

  • przedstawiciele Działu Funduszy Pomocowych KSSiP brali pod uwagę, że migracja miała się odbyć w ramach zasobów jednego, profesjonalnego hostingodawcy e. Sp. z o.o., posiadającego niezbędne certyfikaty (w tym ISO), co istotnie, w ocenie KSSiP, ograniczało ryzyko ewentualnego naruszenia bezpieczeństwa danych, przy odpowiednich zabezpieczeniach dostępu do systemu od strony e-KSSiP,
  • kontakt pracowników Działu Informatycznego KSSiP był ograniczony wyłącznie do jednej osoby ze strony e..

Tak przeprowadzona analiza ryzyka, w ocenie Prezesa UODO jest nieadekwatna do charakteru podejmowanych czynności w związku z migracją, jak i charakteru zawartej umowy usługi hostingu. Powoływanie się na status „profesjonalnego hostingodawcy posiadającego niezbędne certyfikaty” ma związek wyłącznie z samym charakterem świadczonej usługi, tj. udostępnienia zasobów systemu teleinformatycznego w celu przechowywania danych. Administrator nie podjął się analizy, czy wskazując podmiotowi przetwarzającemu miejsce do wykonania kopii zapasowej bazy danych, nie naraża danych osobowych w niej zawartych na naruszenie ich poufności, nie informując przy tym e. o istotności podejmowanych działań, pod kątem ochrony danych osobowych.

Ponadto KSSiP, nawiązując do komunikatu Prokuratury Krajowej, wskazuje, że „(…) uprawniona wydaje się konstatacja, że nawet dalej idąca weryfikacja przez administratora realizacji przez podmiot przetwarzający obowiązków, o których mowa w § 3 ust. 3 i 4 umowy, nie gwarantowałaby uniknięcia zaistniałego naruszenia.”. W ocenie Prezesa UODO tak sformułowana teza jest próbą zdjęcia odpowiedzialności z KSSiP za zaistniałe zdarzenie. Należy wyraźnie podkreślić, że w okresie od […] lutego 2020 r. do […] kwietnia 2020 r. na zasobach informatycznych KSSiP znajdowała się kopia bazy danych, której istnienie i bezpieczeństwo w żaden sposób nie zostało zweryfikowane przez administratora, co jest jego prawnym obowiązkiem wynikającym z przepisów o ochronie danych osobowych. W świetle ustalonego stanu faktycznego, należy stwierdzić, że obecność kopii bazy danych w zasobach wskazanych przez pracownika KSSiP była dla administratora zaskoczeniem, co w ocenie Prezesa UODO stanowi o braku kontroli administratora nad przetwarzaniem danych osobowych. Należy podkreślić, że adresatem obowiązków wskazanych w art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679 jest wyłącznie administrator. To na nim spoczywa obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, by nadać przetwarzaniu niezbędnych zabezpieczeń.

O ile z art. 28 ust. 3 lit. f) rozporządzenia 2016/679 wynika obowiązek podmiotu przetwarzającego wspierania administratora w wywiązywaniu się z obowiązków określonych w art. 32-36 tego rozporządzenia, o tyle opatrzony jest jednak warunkami, które należy za każdym razem uwzględnić, tj. charakter przetwarzania oraz dostępne podmiotowi przetwarzającemu informacje. W § 3 pkt 6 umowy powierzenia określono, że podmiot przetwarzający pomaga w tym zakresie „w miarę możliwości”. KSSiP jednak w zleceniach z […] lutego 2020 r., jak i […] lutego 2020 r., nie zwrócił się z prośbą o uprzednie zweryfikowanie bezpieczeństwa wskazanej lokalizacji oraz nie poinformował e. o okolicznościach prowadzonych czynności, tj. prowadzonej migracji, której przedmiotem są dane osobowe 50 283 osób, oraz, że proces ten musi zapewniać ich odpowiednie bezpieczeństwo. Podmiot przetwarzający nie dysponując takimi informacjami, nie może za każdym razem domyślać się charakteru wykonywanej czynności i każdą operację wykonywać uprzednio weryfikując, czy ma do czynienia z danymi osobowymi oraz czy środowisko i zasoby, udostępnione zgodnie z umową administratorowi, są prawidłowo i bezpiecznie skonfigurowane. Zgodnie z charakterem umowy, nie ma on prawa ingerować w konfigurację bez uprzedniego udokumentowanego polecenia administratora. Kontekst prowadzonych działań był znany wyłącznie administratorowi i to na nim spoczywa bezwzględny obowiązek upewnienia się, czy prowadzone czynności nie będą narażały osób, których przetwarzanie danych dotyczy, na naruszenie ich praw lub wolności.

W wezwaniu z […] kwietnia 2020 r. Prezes UODO zwrócił się do KSSiP m.in. o przekazanie, czy i jakie administrator przyjął środki zabezpieczenia technicznego i organizacyjnego zgodnie z ww. przepisami oraz przekazanie stosownej dokumentacji. W piśmie z […] kwietnia 2020 r., mimo iż KSSiP wspomniał o posiadanej polityce bezpieczeństwa danych, dokumentacji takiej nie przedstawił. Jednak do pisma z […] lipca 2020 r. załączył korespondencję elektroniczną zawierającą plan wdrożenia nowej platformy wskazujący strony (KSSiP/O.) odpowiedzialne za poszczególne czynności. Załączony harmonogram wskazuje, że za całość operacji związanych z wykonaniem kopii bazy danych i przekazaniem jej do serwera docelowego, odpowiedzialny był KSSiP. Jak wynika ze zgromadzonego materiału dowodowego, e. nie był angażowany ani informowany o charakterze podejmowanych czynności, co wielokrotnie podmiot przetwarzający podkreśla w złożonych wyjaśnieniach. Pracownik e., K. J., nie miał więc żadnych informacji o  wprowadzanych przez KSSiP zmianach w procesach przetwarzania danych osobowych zawartych w pliku będącym kopią bazy danych z […] lutego 2020 r., a czynności realizowane przez ww. pracownika stanowiły realizację zadań wynikających z umowy o świadczenie usług, tj. m.in. w ramach wsparcia technicznego. Zdaniem Prezesa UODO, na podstawie zgromadzonego materiału dowodowego, nie były to działania polegające na czynności „udostępnienia”, czy nadania „publicznych” uprawnień umożliwiających „(…) nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym KSSiP”. W związku z powyższym Prezes UODO nie dostrzega podstaw do zarzucenia podmiotowi przetwarzającemu naruszenia obowiązku wspierania administratora w wywiązywaniu się z obowiązków określonych w art. 32 rozporządzenia 2016/679.  

Ponadto, do pisma z […] lipca 2020 r. e. załączył m.in. kserokopie polityk bezpieczeństwa, regulaminy, w tym regulamin świadczenia usług, raporty z audytu wewnętrznego ISO/EIC 27001, dokumenty dotyczące szacowania ryzyka w organizacji, procedury przyznawania dostępów i kontroli nadanych uprawnień w systemach informatycznych, dokumenty potwierdzające upoważnienie do przetwarzania oraz kwalifikacje zawodowe K. J..

Na podstawie zgromadzonego materiału nie zachodzą więc przesłanki pozwalające stwierdzić naruszenie przez e. obowiązków wynikających z art. 32 ust. 1 i 2 rozporządzenia 2016/679 oraz art. 32 w związku z art. 28 ust. 3 lit. f) rozporządzenia 2016/679. W konsekwencji Prezes UODO umorzył postępowanie w powyższym zakresie.

W oparciu o zgromadzony materiał dowodowy Prezes UODO stwierdził, że Krajowa Szkoła Sądownictwa i Prokuratury z siedzibą w Krakowie nie podjęła wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu, w szczególności nie zweryfikowała w okresie […] luty 2020 r. – […] kwietnia 2020 r., czy we wskazanej przez KSSiP lokalizacji nadal znajduje się kopia bazy danych z […] lutego 2020 r. Decydując się na nieangażowanie podmiotu przetwarzającego w proces migracji i nieudzielenie pełnych informacji o podejmowanych czynnościach i oczekiwanych rezultatach, administrator nie upewnił się, że przetwarzane dane osobowe są odpowiednio zabezpieczone. Weryfikacji tej administrator podjął się dopiero w dniu stwierdzenia naruszenia. Stanowi to o rażącym zaniedbaniu obowiązków KSSiP i naruszeniu przepisów art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679 poprzez niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zagwarantować zdolność do ciągłego zapewnienia poufności usług przetwarzania oraz brak przetestowania i oceny skuteczności środków technicznych i organizacyjnych, a tym samym niewłaściwe uwzględnienie ryzyka związanego ze zmianami w procesie przetwarzania. Obowiązkiem administratora, jak statuują to ww. przepisy, a także art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679, przy dokonywaniu oceny proporcjonalności zabezpieczeń jest branie pod uwagę czynników i okoliczności dotyczących przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyka, jakie się z nim wiąże. Jakiekolwiek zmiany w procesie przetwarzania danych osobowych są okolicznością szczególnie obarczającą administratora odpowiedzialnością za zmaterializowanie się zagrożeń związanych z niedopełnieniem powyższych obowiązków. Zapewnienie odpowiedniego bezpieczeństwa danym osobowym, na każdym etapie przetwarzania, powinno być przedmiotem szczególnej troski administratora. Stanowi to więc o naruszeniu przez KSSiP art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679. Niedopełnienie tych obowiązków skutkowało pobraniem kopii bazy danych z […] lutego 2020 r. przez nieznane i nieuprawnione osoby, co stanowi o naruszeniu przez KSSiP zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 poprzez przetwarzanie danych osobowych w sposób niezapewniający odpowiedniego bezpieczeństwa danych osobowych.

Na powyższe wskazuje również orzecznictwo Wojewódzkiego Sądu Administracyjnego w Warszawie, który w wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 orzekł m.in., że art. 32 rozporządzenia 2016/679 „(…) nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością.” Ponadto podkreślił również, że „[p]rzyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka.”.

Analogiczne rozumienie obowiązków nałożonych na administratora znajduje potwierdzenie również w wyroku Wojewódzkiego Sądu Administracyjnego z 3 września 2020 r. II SA/Wa 2559/19. Sąd orzekł w nim, że „Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

Stroną podmiotową obowiązków wskazanych w art. 5 ust. 1 lit f), art. 24 ust. 1, art. 25 ust. 1 oraz art. 28 ust. 1 rozporządzenia 2016/679 jest administrator. Jak wynika ze zgromadzonego materiału dowodowego, e. Sp. z o.o. z siedzibą w W. ma status podmiotu przetwarzającego w rozumieniu art. 4 pkt 8 rozporządzenia 2016/679. W związku z tym, stosownie do art. 105 § 1 k.p.a., Prezes UODO umorzył postępowanie prowadzone wobec e. w tym zakresie.

W świetle zapisów art. 28 ust. 1 i art. 28 ust. 3 lit. h) rozporządzenia 2016/679, wybór dającego gwarancję odpowiednich zabezpieczeń podmiotu przetwarzającego jest obowiązkiem administratora. Wraz z wyjaśnieniami z […] lipca 2020 r. e. przedłożył liczne dokumenty, które regulują relację zachodzącą między nim a administratorem. Prezes UODO, w oparciu o przedłożoną dokumentację, jak i wyjaśnienia złożone przez KSSiP m.in. w piśmie z […] maja 2020 r., z punktu widzenia ww. przepisów, nie dopatrzył się okoliczności, które pozwoliłyby stwierdzić, że e. nie zapewniał wystarczających gwarancji dla bezpieczeństwa danych osobowych oraz nie udostępniał administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia 2016/679 bądź uniemożliwiał administratorowi przeprowadzanie audytów, w tym inspekcji. W konsekwencji Prezes UODO umorzył postępowanie administracyjne wobec e. w zakresie naruszenia art. 28 ust. 3 lit. h) rozporządzenia 2016/679. Tym samym umorzył również wobec KSSiP postępowanie w zakresie naruszenia art. 28 ust. 1 w kontekście wyboru podmiotu przetwarzającego zapewniającego wystarczające gwarancje dla bezpieczeństwa danych. Dlatego też nie stanowi to podstawy wymiaru administracyjnej kary pieniężnej.

Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a-h oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie administracyjnej kary pieniężnej.

Decydując o nałożeniu na KSSiP administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:

1. Kategorie danych osobowych, których dotyczyło naruszenie ochrony danych osobowych (art. 83 ust. 2 lit. g rozporządzenia 2016/679) – dane osób zarejestrowanych na platformie szkoleniowej KSSiP obejmują w szczególności: imię i nazwisko, adres e-mail, nazwę użytkownika, numer telefonu, jednostkę, wydział, adres jednostki, miejscowość, numer ewidencyjny PESEL. KSSiP w piśmie z […] kwietnia 2020 roku wskazał, że poprawnych, tj. 11-znakowych ciągów cyfr reprezentujących numery PESEL, jest w bazie 44 577. Prezes UODO przyjął za liczbę osób, dotkniętych w tym zakresie naruszeniem ochrony danych, liczbę 44 262, zgodnie z informacją przekazaną przez Prokuraturę Regionalną w Lublinie w piśmie z […] maja 2020 r.

2. Charakter i waga naruszenia przy uwzględnieniu liczby poszkodowanych osób(art. 83 ust. 2 lit. a rozporządzenia 2016/679) – przy wymierzaniu kary istotne znaczenie miała okoliczność, że liczba osób dotkniętych naruszeniem wynosi 50 283. Ponadto Prezes UODO wziął pod uwagę, że naruszenie poufności danych dotyczy osób wykonujących zawody i piastujących stanowiska określone w art. 2 ust. 1 pkt 2 i 3 ustawy z 23 stycznia 2009 r. o Krajowej Szkole Sądownictwa i Prokuratury (Dz. U. z 2020 r. poz. 1366 ze zm.), tj.: sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych, asystentów sędziów, asystentów prokuratorów, kuratorów zawodowych oraz urzędników sądów i prokuratury. Na platformie szkoleniowej KSSiP znajdowały się również konta części wykładowców prowadzących szkolenia ustawiczne, nielicznych aplikantów KSSiP oraz osób, których konta aktywowano na podstawie indywidualnych decyzji. Do tej ostatniej kategorii osób należą pracownicy resortu Ministerstwa Sprawiedliwości. Naruszenie spowodowało wysokie ryzyko wystąpienia negatywnych skutków w przyszłości wynikających z charakteru danych, dużej liczby podmiotów danych, prawdopodobnie złej woli osoby, która w sposób nieuprawniony uzyskała do nich dostęp, a także dużą skalę przetwarzania i jego profesjonalny charakter. Naruszenie poufności nr telefonu, adresu e-mail, czy numeru PESEL ww. osób mogą skutkować na niespotykaną dotąd skalę  wkroczeniem w życie prywatne osób dotkniętych naruszeniem, a z punktu widzenia pełnionych przez nie funkcji, podejmowanie działań w celu pozbawienia ich zaufania publicznego. Wniosek taki jest szczególnie uprawniony w przypadku sędziów i prokuratorów, z uwagi na fakt, iż naruszenie poufności danych dotyczy osób związanych zawodowo z sądownictwem i zawodami prawniczymi. W stosunku do ww. osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoba bądź osoby nieuprawnione mogą podjąć bezprawne działania. Osoby, których dane dotyczą, mogą więc doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmioty danych mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Podsumowując powyższe należy uznać, że stwierdzone w niniejszej sprawie naruszenia mają znaczną wagę i poważny charakter a prawdopodobieństwo wystąpienia ich negatywnych skutków dla osób, których dane dotyczą, jest wysokie.

3. Czas trwania naruszenia(art. 83 ust. 2 lit. a rozporządzenia 2016/679) zgromadzony materiał dowodowy pozwolił Prezesowi UODO stwierdzić, że KSSiP nie podejmowała odpowiednich działań mających na celu zweryfikowanie, czy kopia bazy danych z […] lutego 2020 r. nadal znajduje się na zasobach informatycznych KSSiP i czy zasoby te są odpowiednio skonfigurowane, tak by zapewnić bezpieczeństwo danych znajdujących się w tej kopii. Czynności tej dokonała dopiero […] kwietnia 2020 r., tj. w dniu stwierdzenia naruszenia ochrony danych osobowych. Czas trwania naruszenia, tj. okres od […] lutego 2020 roku do […] kwietnia 2020 roku, ma istotny wpływ na wysokość nałożonej przez Prezesa UODO kary, gdyż bieżąca weryfikacja bezpieczeństwa środowiska, w którym dokonywano procesu migracji, mogłaby zminimalizować ryzyko dla praw lub wolności osób, których dotyczą, w tym uniknąć zdarzenia, które skutkowało upublicznieniem […] kwietnia 2020 r. na stronie breakingin.to łącza do pliku stanowiącego tabelę użytkowników pochodzących z kopii bazy danych.

4. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że KSSiP dopuściła się rażącego zaniedbania skutkującego naruszeniem poufności danych. Stanowi to istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej.

5. Wysoki stopień odpowiedzialności administratora(art. 83 ust. 2 lit. d rozporządzenia 2016/679) – Biorąc pod uwagę, że to na administratorze ciąży obowiązek dokonania oceny zabezpieczeń na każdym etapie przetwarzania, w szczególności w trakcie jakiekolwiek zmiany w procesie przetwarzania danych osobowych, należy stwierdzić, że KSSiP nie wdrożyła odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych w sytuacji, w której z własnej inicjatywy podjęła działania związane z procesem migracji danych osobowych do nowego środowiska przetwarzania.

Żadnego wpływu na fakt nałożenia, jak i sam wymiar, administracyjnej kary pieniężnej nie miały inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności:

1. Działania podjęte przez KSSiP w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) – KSSiP dopełniła wobec osób, których dane dotyczą, obowiązku zawiadomienia o naruszeniu ochrony ich danych osobowych, o którym mowa w art. 34 rozporządzenia 2016/679. Nie podjęła jednak żadnych dodatkowych (wykraczających poza obowiązek prawny) działań mających na celu złagodzenie, czy też wynagrodzenie krzywdy poniesionej przez osoby dotknięte naruszeniem.

2. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit h rozporządzenia 2016/679) – naruszenie ochrony danych osobowych zgłoszone zostało Prezesowi UODO przez KSSiP, co stanowi wypełnienie przez KSSiP spoczywającego na niej obowiązku, o którym mowa w art. 33 rozporządzenia 2016/679.

3. KSSiP nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679.

4. W tej samej sprawie nie zostały wcześniej zastosowane wobec KSSiP środki, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679.

5. Nie stwierdzono aby w związku z naruszeniami Administrator uzyskał korzyści finansowe, czy też uniknął strat, o których mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679). Zasadniczą część tych działań stanowią obowiązki wynikające bezpośrednio z rozporządzenia 2016/679 oraz innych ustaw, tj. zgłoszenie naruszenia ochrony danych osobowych do Prezesa UODO, poinformowania o naruszeniu ochrony danych osób, których te dane dotyczą, zawiadomienia organów ścigania czy Zespołu Zarządzania Incydentami Biura Cyberbezpieczeństwa Ministerstwa Sprawiedliwości oraz CSiRT NASK. Należy podkreślić, że Administrator skierował ponadto bezpośrednie żądanie do administracji forum [...] oraz drugie żądanie do operatora serwisu [...], o usunięcie pliku z kopią bazy danych oraz linku prowadzącego do tej bazy. Działanie to skutkowało usunięciem zarówno pliku z kopią bazy danych z serwisu anonfiles.com jak i usunięcia linku z forum breakingin.to, prowadzącego do pliku.

Powyższe działania stanowią niewątpliwie okoliczności, które co do zasady łagodzą odpowiedzialność administratora danych. Jednak ich wystąpienie nie ma bezpośredniego wpływu na wysokość administracyjnej kary pieniężnej nałożonej niniejszą decyzją z uwagi na fakt, że KSSiP jest podmiotem publicznym, do którego stosuje się przepis art. 102 ust. 1 pkt. 1) Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781). Przepis ten redukuje możliwość nałożenia przedmiotowej kary na podmiot publiczny do maksymalnej wysokości 100 000 PLN. W ocenie Prezesa UODO kara maksymalnej wysokości, nałożona w niniejszej sprawie, jest i tak niewspółmiernie niska do skali i wagi naruszenia z perspektywy rozporządzenia 2016/679. Obniżenie kary z uwagi na okoliczności łagodzące, zostało w niniejszej sprawie skonsumowane przez bardziej korzystną dla KSSiP okoliczność, jaką jest ustawowe ograniczenie wysokości kary do 100 000 PLN.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, że nałożenie administracyjnej kary pieniężnej w wysokości 100.000 zł (sto tysięcy zł) na KSSiP jest konieczne i uzasadnione wagą oraz charakterem i zakresem dokonanych przez KSSiP naruszeń.

W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez KSSiP przepisów rozporządzenia 2016/679, ale i prewencyjną, czyli zapobieganie naruszeniom przepisów o ochronie danych osobowych w przyszłości zarówno przez KSSiP, jak i innych administratorów danych.

Celem nałożonej kary jest doprowadzenie do właściwego wykonywania przez KSSiP obowiązków, w szczególności w art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, 28 ust. 3, art. 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa.

Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.

 

Podmiot udostępniający: Departament Kontroli i Naruszeń
Wytworzył informację:
user Jan Nowak
date 2021-02-11
Wprowadził informację:
user Wioletta Golańska
date 2021-02-18 15:07:23
Ostatnio modyfikował:
user Edyta Madziar
date 2021-02-19 08:31:15