DKN.5131.2.2022

Na podstawie art. 104 §  ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 poz. 735 z późn. zm.) w związku z art. 7 ust. 1 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 it. a) i h) oraz art. 58 ust. 2 it. b) w związku z art. 5 ust. 1 it. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE  119 z 4.05.2016, str. 1, Dz. Urz. UE  127 z 23.05.2018, str. 2 oraz Dz. Urz. UE  74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Miejski Ośrodek Pomocy Społecznej w O., Prezes Urzędu Ochrony Danych Osobowych

stwierdzając naruszenie przez Miejski Ośrodek Pomocy Społecznej w O.  przepisów art. 5 ust. 1 it. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE  119 z 4.05.2016, str. 1, Dz. Urz. UE  127 z 23.05.2018, str. 2 oraz Dz. Urz. UE  74 z 4.03.2021, str. 35), dalej jako: rozporządzenie 2016/679, polegające na niezastosowaniu przez Miejski Ośrodek Pomocy Społecznej w O. odpowiednich środków organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych nośników pamięci, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, co skutkowało utratą przez pracownika Miejskiego Ośrodka Pomocy Społecznej w O. przenośnego nośnika pamięci z danymi osobowymi zapisanymi na nim w sposób niezabezpieczony oraz na braku regularnego testowania, mierzenia i oceniania skuteczności środków organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, udziela Miejskiemu Ośrodkowi Pomocy Społecznej w O. upomnienia.

UZASADNIENIE

Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej Prezesem UODO, w dniu  […] czerwca 2021 r. wpłynęło wstępne zgłoszenie naruszenia ochrony danych osobowych dokonane przez Miejski Ośrodek Pomocy Społecznej w O. (dalej jako: MOPS w O. ub administrator), zarejestrowane pod sygnaturą […], informujące o naruszeniu ochrony danych osobowych 50 osób, tj. pracowników administratora oraz podopiecznych MOPS w O., w tym dzieci, w zakresie imion i nazwisk, imion rodziców, dat urodzenia, adresów zamieszkania ub pobytu, numerów ewidencyjnych PESEL oraz danych dotyczących zdrowia. Incydent stanowiący przedmiot zgłoszenia miał miejsce w bliżej nieokreślonym czasie i polegał na zagubieniu nieszyfrowanej przenośnej pamięci zewnętrznej typu pendrive (dalej przenośny nośnik pamięci) przez pracownika MOPS w O. O zdarzeniu administrator został powiadomiony przez Prezesa UODO pismem z dnia […] czerwca 2021 r., nr […], w którym poinformowano administratora o przekazaniu przez anonimową osobę do Urzędu Ochrony Danych Osobowych znalezionej przenośnej pamięci zewnętrznej typu pendrive z danymi osobowymi.

Z uwagi na zakres ujawnionych danych osobowych wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw ub wolności osób fizycznych. Wobec powyższego, administrator poinformował w zgłoszeniu uzupełniającym z dnia […] sierpnia 2021 r., iż w dniu […] czerwca 2021 r. powiadomił osoby, których dane dotyczą, o naruszeniu ich danych osobowych, zwiększając jednocześnie iczbę osób objętych naruszeniem z 50 do 200. 55 osób objętych naruszeniem zostało powiadomione indywidualnie za pomocą korespondencji przesłanej za pośrednictwem operatora pocztowego Poczta Polska S.A., pozostałe zaś osoby zostały powiadomione za pomocą komunikatu opublikowanego na stronach internetowych MOPS w O. pod adresami: […] oraz […].

W związku z dokonanym zgłoszeniem naruszenia ochrony danych osobowych, pismem z […] sierpnia 2021 r. Prezes UODO zwrócił się do administratora o ponowne zawiadomienie osób o naruszeniu ich danych osobowych, w celu przekazania im wszystkim wymaganych informacji, zgodnie z art. 34 rozporządzenia 2016/679, oraz o złożenie wyjaśnień, w tym między innymi o:

  • Udzielenie informacji, czy ustalono, kiedy oraz w jaki sposób doszło do zagubienia przenośnego nośnika pamięci zawierającego dane osobowe.
  • Wskazanie, czy opracowana została procedura określająca zasady używania, przechowywania, transportu oraz zabezpieczania przenośnych nośników pamięci używanych przez MOPS w O..
  • Udzielenie informacji, w jaki sposób odbywała się weryfikacja przestrzegania zasad opisanych w procedurze, o której wyżej mowa, przez pracowników administratora.
  • Udzielenie informacji, czy przed naruszeniem ochrony danych osobowych dopuszczalne było używanie przez pracowników administratora prywatnych nośników pamięci, a jeżeli tak, to na jakich zasadach.
  • Wskazanie, czy administrator przeprowadził analizę ryzyka uwzględniającą zagrożenia związane z zagubieniem przenośnego nośnika pamięci oraz z używaniem przez pracowników administratora prywatnych nośników pamięci.

W odpowiedzi na ww. pismo, administrator w dniu […] września 2021 r. pismem o sygnaturze […], poinformował, że:

  • Nie ustalono, kiedy oraz w jaki sposób doszło do zagubienia przenośnego nośnika pamięci zawierającego dane osobowe.
  • W MOPS w O. zostały określone zasady zabezpieczenia przenośnych nośników pamięci, które zawarte zostały w Polityce Ochrony Danych Osobowych Miejskiego Ośrodka Pomocy Społecznej w O.
  • Weryfikacja przestrzegania zasad zabezpieczenia przenośnych nośników pamięci odbywała się podczas sprawdzeń dokonywanych przez Administratora Systemów Informatycznych oraz Inspektora Ochrony Danych.
  • W MOPS w O. obowiązuje zakaz używania przez pracowników prywatnych nośników pamięci.
  • Administrator przeprowadził analizę ryzyka w przedmiotowym zakresie (analiza została załączona do pisma z dnia […] września 2022 r.).

W związku z przedstawionymi wyjaśnieniami, pismem z dnia […] istopada 2021 r. Prezes UODO zwrócił się do administratora o udzielenie dodatkowych wyjaśnień, tj. m.in. o:

  • Przedstawienie pisemnych dowodów na przeprowadzaną weryfikację przestrzegania przez pracowników MOPS w O. postanowień polityki ochrony danych osobowych dotyczących wykorzystywania do przetwarzania danych osobowych przenośnych nośników pamięci, w tym ich zabezpieczania.
  • Podanie, czy weryfikacją objęta była osoba, która zgubiła przenośny nośnik pamięci.
  • Jednoznaczne potwierdzenie, że zagubiony nośnik był nośnikiem prywatnym.
  • Wskazanie, czy przeprowadzano szkolenia pracowników MOPS w O. z zakresu ochrony danych osobowych, wraz z podaniem dat tych szkoleń oraz ich programu.
  • Wyjaśnienie, czy osobie odpowiedzialnej za wystąpienie przedmiotowego naruszenia ochrony danych osobowych wydano służbowy przenośny nośnik pamięci.

W odpowiedzi na ww. pismo organu nadzorczego, administrator pismem z dnia […] istopada  2021 r., nr […], wyjaśnił, że:

  • Nie posiada pisemnych dowodów na przeprowadzoną weryfikację przestrzegania przez pracowników MOPS w O. postanowień polityki ochrony danych osobowych dotyczących wykorzystywania do przetwarzania danych osobowych przenośnych nośników pamięci, w tym ich zabezpieczenia.
  • Weryfikacją objęta była również osoba, która zagubiła przenośny nośnik pamięci.
  • Zagubiony nośnik jest nośnikiem prywatnym należącym do pracownika administratora.
  • Ze względu na stwierdzenie naruszenia ochrony danych w dniu […] czerwca 2021 r. przeprowadzono w Zespole Asystentów Rodziny szkolenie w zakresie „Bezpieczeństwa Danych Osobowych”. Ponadto, biorąc pod uwagę obowiązujący stan epidemii wywołanej wirusem SARS-CoV-2, pracownikom MOPS w O. zostały przekazane materiały szkoleniowe w następującym zakresie: „Podstawowe naruszenia - czego nie wolno robić z danymi osobowymi” oraz „Ochrona danych osobowych odpowiedzialność”. Ponadto, w grudniu 2021 r. zaplanowane zostały szkolenia online dla pracowników administratora w zakresie ochrony danych osobowych.
  • Osobie odpowiedzialnej za wystąpienie naruszenia ochrony danych osobowych wydano służbowy nośnik pamięci przenośnej.

Następnie, w związku z przedstawionymi wyjaśnieniami, pismem z dnia […] grudnia 2021 r. Prezes UODO zwrócił się do administratora m.in. o:

  • Wskazanie, czy ustawienia systemów informatycznych w MOPS w O. powodują blokadę możliwości zapisu danych na nośnikach niezarejestrowanych.
  • Opisanie zastosowanych środków technicznych (w tym kryptograficznych) dotyczących sprzętu (np. aptopy, pendrive) wynoszonych poza obszar MOPS w O.
  • W jaki sposób administrator monitorował użytkowanie przenośnych nośników danych w swojej organizacji.
  • Czy rekomendowane użytkowanie urządzeń umożliwiających szyfrowanie zawartości zostało wdrożone w organizacji, a jeżeli nie, dlaczego zrezygnowano z tego środka bezpieczeństwa.
  • Czy pracownik odpowiedzialny za naruszenie powiadomił o incydencie przełożonego, o czym mowa w § 18 ust. 2 Polityki Ochrony Danych Osobowych, a jeżeli nie, to dlaczego i czy wobec niego wyciągnięto jakiekolwiek konsekwencje służbowe.
  • Czy pracownicy administratora (w tym osoba, która przyczyniła się do wystąpienia naruszenia) byli zaznajomieni z zapisami Polityki Ochrony Danych Osobowych.
  • W jaki sposób w organizacji administratora monitorowane było przestrzeganie środków bezpieczeństwa, w tym opracowanych i wdrożonych procedur (zgodnie z przekazaną informacją, że „w organizacji administratora opracowano i wdrożono Politykę Ochrony Danych Osobowych, dalej „polityka”. W ww. dokumencie szczegółowo opisano kwestię identyfikowania incydentów oraz naruszeń w organizacji (§ […] - § […] polityki) oraz zabezpieczenia przenośnych nośników danych (§ […] polityki)”.
  • Wskazanie powodów, dla których dane osobowe znalazły się na prywatnym nośniku pamięci (mając na uwadze informację, że: „zgodnie z § […] ust. 2 Polityki Ochrony Danych ASI zapewnia przy pomocy dostępnych narzędzi, aby do użytku służbowego dopuszczone zostały jedynie zarejestrowane nośniki danych. W tym celu ma prawo blokować komunikację wszelkich niezarejestrowanych urządzeń z zasobami teleinformatycznymi MOPS”).

W odpowiedzi na ww. pismo administrator w dniu […] grudnia 2021 r. pismem o sygnaturze […], wyjaśnił, że:

  • Ustawienia systemów informatycznych w MOPS w O. powodują blokadę możliwości zapisu danych na nośnikach niezarejestrowanych, załączając jako dowód print screen ustawień oprogramowania antywirusowego […] wraz z komunikatem o braku możliwości instalacji niezarejestrowanego urządzenia.
  • Zastosowano następujące środki techniczne dotyczące sprzętu wynoszonego poza obszar przetwarzania danych osobowych: na komputerach przenośnych wgrane jest oprogramowanie antywirusowe […] z automatyczną aktualizacją oprogramowania, dostęp do systemu operacyjnego komputera wymaga uwierzytelnienia poprzez wybór nazwy użytkownika oraz podanie hasła dostępu, ustawienia sprzętu komputerowego powodują brak możliwości użycia niezarejestrowanego nośnika danych, użytkownik komputera nie ma przypisanej roli administratora, a tym samym nie ma możliwości dokonania nieautoryzowanej instalacji oprogramowania. Jeżeli zaś chodzi o przenośne nośniki danych (pendrive), które nie mają wbudowanego oprogramowania szyfrującego, pracownicy MOPS w O. mają obowiązek szyfrowania plików zawierających dane osobowe poprzez wykorzystywanie do tego celu oprogramowania […] bądź poprzez zaszyfrowanie dokumentu w programie […].
  • W związku z rekomendacją zawartą w analizie ryzyka z […] grudnia 2020 r. w MOPS w O. wdrożono użytkowanie urządzeń umożliwiających szyfrowanie ich zawartości. Weryfikacja użytkowania przenośnych nośników pamięci zgodnie z postanowieniami Polityki Ochrony Danych dokonywana była podczas sprawdzeń przeprowadzanych przez Administratora Systemów Informatycznych oraz Inspektora Ochrony Danych.
  • Pracownik odpowiedzialny za wystąpienie incydentu nie dopełnił obowiązku określonego  w § 18 ust. 2 Polityki Ochrony Danych, tj. nie powiadomił o incydencie przełożonego. Brak reakcji pracownika podyktowany był jego niewiedzą w przedmiocie zagubienia należącego do niego przenośnego nośnika danych. Z uwagi na nieprzestrzeganie postanowień Polityki Ochrony Danych pracownik, który przyczynił się do wystąpienia incydentu został pozbawiony możliwości otrzymania premii pieniężnej w grudniu 2021 r. W związku z zaistniałym incydentem na wniosek ww. pracownika odsunięto go od pełnienia funkcji koordynatora Zespołu Asystentów Rodziny.
  • Pracownicy MOPS w O. (w tym osoba, która przyczyniła się do wystąpienia naruszenia) zostali zaznajomieni z postanowieniami obowiązującej Polityki Ochrony Danych Osobowych. Przestrzeganie zaś wdrożonych środków bezpieczeństwa, w tym opracowanych i wdrożonych procedur, weryfikowane było podczas sprawdzeń przeprowadzanych przez Administratora Systemów Informatycznych oraz Inspektora Ochrony Danych.
  • Mimo wdrożenia w MOPS w O. blokady komunikacji wszelkich niezarejestrowanych urządzeń z zasobami teleinformatycznymi, prawdopodobnym powodem zapisu danych na prywatnym nośniku była możliwość ich pobrania z poczty służbowej.

Z uwagi na powyższe, w dniu […] stycznia 2022 r. organ nadzorczy wszczął z urzędu postępowanie administracyjne, wobec możliwości naruszenia przez Miejski Ośrodek Pomocy Społecznej w O., jako administratora danych, obowiązków wynikających z art. 5 ust. 1 it. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych (sygn. […]). Ponadto, Prezes UODO wezwał MOPS w O. do przedstawienia kolejnych wyjaśnień:

  • Czy administrator ustalił, czy poczta służbowa została odebrana na prywatnym sprzęcie komputerowym pracownika.
  • Czy procedury przyjęte u Administratora dopuszczają taką możliwość, a jeśli tak, to jakie są stosowane środki techniczne i organizacyjne zabezpieczające przetwarzanie danych na prywatnym sprzęcie komputerowym.

W odpowiedzi administrator pismem z dnia […] stycznia 2022 r., nr […], wyjaśnił, iż na prywatnym sprzęcie komputerowym pracownika została odebrana poczta służbowa oraz poinformował, iż procedury przyjęte w MOPS w O. nie dopuszczają możliwości odbierania poczty służbowej na prywatnym sprzęcie komputerowym pracownika.

Następnie, w toku toczącego się postępowania administracyjnego w ww. sprawie, organ nadzorczy zwrócił się w dniu […] marca 2022 r. do administratora o udzielenie dodatkowych wyjaśnień:

  • W związku z informacją zawartą w piśmie z dnia […] stycznia 2022 r., że „procedury przyjęte w Miejskim Ośrodku Pomocy Społecznej w O. nie dopuszczają możliwości odbierania poczty służbowej na prywatnym sprzęcie komputerowym pracownika”, w jaki sposób MOPS w O. weryfikuje ich przestrzeganie.
  • Czy pracownicy MOPS w O. mogą korzystać ze sprzętu prywatnego podczas wykonywania obowiązków służbowych, a jeśli tak, to kto jest odpowiedzialny za konfigurację i zabezpieczenie tego sprzętu.
  • W jaki sposób ustalono, że dane zapisane na zagubionym prywatnym nośniku pamięci zostały pobrane z poczty służbowej na komputerze prywatnym pracownika MOPS w O..

Pismem z dnia […] kwietnia 2022 r., nr […], stanowiącym odpowiedź na powołane wyżej pismo, administrator wskazał, co następuje:

  • Sposób korzystania z poczty elektronicznej przez pracowników MOPS w O. został określony w § 28 Polityki Ochrony Danych Osobowych Miejskiego Ośrodka Pomocy Społecznej w O.
  • Pracownicy MOPS w O. nie mogą korzystać ze sprzętu prywatnego podczas wykonywania obowiązków służbowych.
  • Informację o pobraniu danych z poczty służbowej na komputerze prywatnym uzyskano od pracownika, do którego należał zagubiony nośnik.

Z uwagi na przesłane wyjaśnienia, Prezes UODO zwrócił się w dniu […] kwietnia 2022 r. o udzielenie dodatkowych wyjaśnień:

  • Czy ustalono powody, dla których pracownik MOPS w O. skopiował dane na prywatny nośnik pamięci, a jeżeli tak to, czy były to cele prywatne czy służbowe.
  • Czy MOPS w O. wdrożył system pozwalający na monitorowanie służbowej poczty elektronicznej, informujący administratora w szczególności o otwieraniu wiadomości elektronicznych na prywatnym sprzęcie komputerowym oraz o kopiowaniu danych (plików z danymi) przetwarzanych w ramach służbowej poczty elektronicznej.
  • Przesłanie pisemnych dowodów na to, że osoba winna wystąpienia naruszenia została zaznajomiona „z postanowieniami obowiązującej w Ośrodku Polityki Ochrony Danych Osobowych” oraz dowodów potwierdzających, że „Przestrzeganie zaś wdrożonych środków bezpieczeństwa w tym opracowanych i wdrożonych procedur weryfikowane było podczas sprawdzeń przeprowadzanych przez Administratora Systemów Informatycznych oraz Inspektora Ochrony Danych”, wraz ze wskazaniem iczby tych sprawdzeń i terminów, w których były realizowane.
  • O liczbie i terminach przeprowadzonych szkoleń z zakresu ochrony danych osobowych, w tym szkoleń z zasad korzystania z przenośnych nośników pamięci i ze służbowej poczty elektronicznej, przed wystąpieniem naruszenia ochrony danych osobowych wraz z przedstawieniem pisemnych dowodów na ich przeprowadzenie, wskazaniem ich szczegółowego zakresu (ewentualnie wskazaniem, że zakres tematyczny ww. szkoleń obejmował zakres podany w piśmie z dnia […] listopada 2021 r.) oraz wykazaniem, że w każdym takim szkoleniu brał udział pracownik winny wystąpienia naruszenia.

Pismem z dnia […] maja 2022 r., nr […], administrator wskazał co następuje:

  • Na podstawie informacji uzyskanych od pracownika winnego naruszenia ustalono, iż powodem skopiowania danych na prywatny nośnik pamięci było uszkodzenie służbowego nośnika pamięci, o czym administrator nie został powiadomiony. Z informacji uzyskanych od pracownika wynika, że działanie, o którym mowa wyżej, dokonane było wyłącznie w celach służbowych.
  • MOPS w O. nie wdrożył systemu pozwalającego na monitorowanie służbowej poczty elektronicznej, informującego administratora m.in. o otwieraniu wiadomości elektronicznych na prywatnym sprzęcie komputerowym oraz o kopiowaniu danych (plików z danymi) przetwarzanych w ramach służbowej poczty elektronicznej.
  • W zakresie przestrzegania zasad używania, przechowywania, transportu oraz zabezpieczania przenośnych nośników pamięci używanych przez MOPS w O. zostały przeprowadzone trzy sprawdzenia z udziałem Administratora Systemów Informatycznych oraz Inspektora Ochrony Danych. Pierwsze sprawdzenie miało miejsce w okresie od […].10.2019 r. do […].10.2019 r., drugie sprawdzenie miało miejsce w okresie od […].06.2020 r. do […].06.2020 r., zaś trzecie sprawdzenie miało miejsce w okresie od […].01.2021 r. do […].01.2021 r.
  • Przed wystąpieniem naruszenia ochrony danych osobowych zorganizowano dwa szkolenia w Urzędzie Miasta O. dla pracowników MOPS w O. Tylko w jednym ze szkoleń uczestniczył pracownik winny wystąpienia naruszenia. Ponadto, w MOPS w O. przeprowadzano na bieżąco szkolenia dla pracowników administratora z zakresu ochrony danych osobowych, w tym dotyczące zasad korzystania z przenośnych nośników pamięci i ze służbowej poczty elektronicznej, których iczba oraz terminy przeprowadzenia uzależnione były od potrzeb zgłaszanych przez kierowników poszczególnych komórek organizacyjnych MOPS.

Ponadto, w załączeniu do ww. pisma administrator przesłał skan oświadczenia pracownika winnego wystąpienia naruszenia o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych, w tym obowiązującej w MOPS w O. Polityki Ochrony Danych Osobowych.

W związku z powyższym, pismem z dnia […] maja 2022 r. organ nadzorczy zwrócił się do administratora o:

  • Wskazanie daty złożenia przez osobę winną naruszenia „Oświadczenia pracownika o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych”.
  • Przekazanie pisemnych dowodów na „trzy sprawdzenia z udziałem Administratora Systemów Informatycznych oraz Inspektora Ochrony Danych. Pierwsze sprawdzenie miało miejsce w okresie od […].10.2019r. do […].10.2019r., drugie sprawdzenie miało miejsce w okresie od […].06.2020r. do […].06.2020r. zaś trzecie sprawdzenie miało miejsce w okresie od […].01.2021r. do […].01.2021r.”.
  • Przekazanie informacji dotyczących programu szkoleń przeprowadzonych przez Urząd Miasta O. oraz wskazanie, w którym szkoleniu uczestniczyła osoba odpowiedzialna za naruszenie.
  • Przekazanie informacji dotyczących szczegółowego programu szkoleń z zakresu ochrony danych osobowych, w tym zasad korzystania z przenośnych nośników pamięci i ze służbowej poczty elektronicznej, przeprowadzonych przez MOPS w O. oraz wskazanie, czy brała w nich udział osoba odpowiedzialna za naruszenie ochrony danych osobowych, wraz z podaniem dat tych szkoleń.

W odpowiedzi, administrator pismem z dnia […] maja 2022 r., […], wyjaśnił, co następuje:

  • Nie jest w stanie ustalić dokładnej daty złożenia przez osobę winną naruszenia oświadczenia  o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych.
  • Nie posiada pisemnych dowodów na przeprowadzenie trzech sprawdzeń z udziałem Administratora Systemów Informatycznych oraz Inspektora Ochrony Danych w zakresie przestrzegania zasad używania, przechowywania, transportu oraz zabezpieczania przenośnych nośników pamięci używanych przez Miejski Ośrodek Pomocy Społecznej w O.
  • Osoba odpowiedzialna za naruszenie uczestniczyła w szkoleniu zorganizowanym w Urzędzie Miasta O. w dniu […] maja 2018 r., co zostało potwierdzone jej podpisem na iście obecności pod pozycją 82.
  • Zasady korzystania z przenośnych nośników pamięci oraz ze służbowej poczty elektronicznej omówione zostały m.in. podczas szkoleń zorganizowanych w Urzędzie Miasta O. w dniu […].05.2018 r. oraz w dniu […].04.2019 r. przy omawianiu zasady „integralności i poufności”, o której mowa w art. 5 ust. 1 it. f) rozporządzenia 2016/679.

W załączeniu do ww. pisma administrator przekazał prezentację ze szkoleń zorganizowanych w Urzędzie Miasta O. dla pracowników MOPS w O. w dniu […].05.2018 r. oraz w dniu […].04.2019 r.

Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Art. 5 rozporządzenia 2016/679 wskazuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty wskazane prawem Unii ub prawem państwa członkowskiego oraz podmioty które samodzielnie ub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 it. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym ub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem ub uszkodzeniem, za pomocą odpowiednich środków technicznych ub organizacyjnych („integralność i poufność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Zgodnie z treścią art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw ub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Przepis art. 24 ust. 1 rozporządzenia 2016/679 określa podstawowe i główne obowiązki administratora, którego obciąża wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność przetwarzania z wymogami rozporządzenia 2016/679. Chodzi tu w szczególności o realizację zasad wskazanych w art. 5 ust. 1 rozporządzenia 2016/679.

Zgodnie natomiast z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw ub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator zarówno przy określaniu sposobów przetwarzania, jak  i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą (uwzględnianie ochrony danych w fazie projektowania).

Stosownie do art. 32 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw ub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (lit. b) oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (lit. d).

W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego ub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia ub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych ub w inny sposób przetwarzanych.

Przepisy art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, wraz z art. 24 ust. 1 ww. rozporządzenia, stanowią więc konkretyzację wskazanej w art. 5 ust. 1 it. f) rozporządzenia 2016/679, zasady integralności i poufności.

Poufność danych to właściwość zapewniająca w szczególności, że dane nie zostaną udostępnione nieuprawnionym podmiotom, uzyskiwana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk. Wskazana zasada, jak wynika z ustalonego stanu faktycznego, została naruszona przez MOPS w O. poprzez brak wdrożenia przez administratora adekwatnych środków organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych oraz brak weryfikacji przestrzegania procedur z zakresu ochrony danych osobowych przez pracowników administratora, co  w następstwie zagubienia przez pracownika MOPS w O. prywatnego nośnika pamięci zawierającego dane osobowe, skutkowało wystąpieniem naruszenia ochrony danych osobowych i w konsekwencji umożliwieniem osobom nieuprawnionym dostępu do danych osobowych przetwarzanych na tym nośniku. Jak bowiem ustalono, ww. nośnik nie posiadał żadnego zabezpieczenia chroniącego go i przetwarzane na nim dane osobowe przed nieuprawnionym dostępem.

Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 3 września 2020 r. o sygnaturze II SA/Wa 2559/19, „Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

Konsekwencją takiej orientacji jest rezygnacja z ist wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka”.

W kontekście przywołanego wyroku wskazać należy, że punktem wyjścia do prawidłowego określenia i doboru środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzanych danych i obniżenie ryzyk związanych z tym przetwarzaniem do poziomu akceptowalnego jest prawidłowo przeprowadzona przez administratora analiza ryzyka. Przeprowadzona analiza ryzyka powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora danych, albowiem w zależności właśnie od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej  w przypadku wystąpienia naruszenia ochrony jej danych osobowych.

Jak wskazał administrator we wnioskach z przeprowadzonej analizy ryzyka z dnia […] grudnia 2020 r. (dokument o nazwie „Analiza ryzyka dla zasobów przetwarzających dane osobowe: Przenośne Nośniki Danych”), w przypadku przenośnych nośników pamięci „[…] istnieje średnie prawdopodobieństwo wystąpienia naruszenia praw i wolności osób, których dane osobowe są przetwarzane przy wykorzystaniu tegoż zasobu”. Ponadto wskazano, że „[…] zaleca się bieżące monitorowanie użytkowanych nośników przez pracowników […]” oraz „[…] stosowanie nośników danych zawierających wbudowane oprogramowanie szyfrujące […]”.

Z przekazanej organowi nadzorczemu „Analizy ryzyka dla zasobów przetwarzających dane osobowe: Przenośne Nośniki Danych” wynika, że administrator zidentyfikował zagrożenie polegające na „stosowaniu do użytku służbowego prywatnych nośników danych” oraz określił środki służące do mitygowania tego zagrożenia. W ramach powyższych działań MOPS w O. przewidział w szczególności „brak możliwości podłączenia do urządzenia niezarejestrowanego nośnika danych” oraz „szkolenie pracowników w zakresie szyfrowania danych zapisywanych na przenośnych nośnikach danych”, a także wprowadził „zakaz stosowania prywatnych nośników danych”. Pomimo tak określonych środków bezpieczeństwa, z zebranego materiału dowodowego wynika, że nie wszystkie z nich były jednak realizowane. O ile nie budzi wątpliwości sposób zastosowania środka w postaci zablokowania możliwości podłączania prywatnych nośników pamięci do służbowego sprzętu komputerowego, to pozostałe z nich nie zostały wdrożone w sposób prawidłowy. Z dokonanych ustaleń wynika bowiem, że przed naruszeniem ochrony danych osobowych administrator przeprowadził dla swoich pracowników dwa szkolenia, zorganizowane w Urzędzie Miasta O. w dniach […] maja 2018 r. oraz […] kwietnia 2019 r., w tym tylko w jednym z nich, przeprowadzonym w dniu […] maja 2018 r., wzięła udział osoba odpowiedzialna za naruszenie ochrony danych osobowych. Ponadto, z załączonej do pisma administratora z dnia […] maja 2022 r., nr […], prezentacji dokumentującej program tego szkolenia wynika, że miała ona charakter ogólny, informujący jedynie o charakterze obowiązków wynikających z rozpoczęcia stosowania przepisów rozporządzenia 2016/679. Kolejne szkolenia dla pracowników MOPS w O. zostały przeprowadzone dopiero po wystąpieniu naruszenia ochrony danych osobowych, co jednoznacznie wskazuje, że ten środek mający zapewnić bezpieczeństwo przetwarzania danych nie był realizowany w sposób prawidłowy. Zauważyć również należy, że „Analiza ryzyka dla zasobów przetwarzających dane osobowe: Przenośne Nośniki Danych” została sporządzona w dniu […] grudnia 2020 r., a decyzję o przeprowadzeniu szkoleń w zakresie korzystania z przenośnych nośników pamięci i zagrożeń z tym związanych podjęto dopiero po naruszeniu ochrony danych osobowych, a więc po dniu […] czerwca 2021 r. Wątpliwość może też budzić zawężenie zakresu szkolenia opisanego w ww. analizie wyłącznie do szyfrowania danych zapisywanych na przenośnych nośnikach pamięci, z pominięciem właśnie zagrożeń związanych z używaniem np. prywatnych nośników pamięci oraz regulacji przyjętych w tym zakresie przez administratora w „Polityce Ochrony Danych Osobowych Miejskiego Ośrodka Pomocy Społecznej w O.”, stanowiącej załącznik do zarządzenia nr […] Dyrektora Miejskiego Ośrodka Pomocy Społecznej w O. z dnia [...] maja 2018 r. Można zatem przyjąć, że MOPS w O. przed wystąpieniem naruszenia ochrony danych osobowych nie zapewnił swoim pracownikom podstawowej wiedzy na temat zasad korzystania z przenośnych nośników pamięci oraz postępowania w przypadku np. uszkodzenia wydanego im służbowego przenośnego nośnika pamięci, co potwierdzają też wyjaśnienia administratora zawarte w piśmie z dnia […] maja 2022 r., nr  […], że „powodem skopiowania danych na prywatny nośnik pamięci było uszkodzenie służbowego nośnika pamięci o czym Administrator nie został powiadomiony”.

W złożonych wyjaśnieniach administrator wskazywał, że zasady korzystania z przenośnych nośników pamięci opisane zostały w „Polityce Ochrony Danych Osobowych Miejskiego Ośrodka Pomocy Społecznej w O.” oraz, że wszyscy pracownicy, w tym osoba winna wystąpienia naruszenia ochrony danych osobowych, zostali zaznajomieni z ww. dokumentem. Przedstawione przez administratora „Oświadczenie pracownika o zapoznaniu się z przepisami dotyczącymi ochrony danych osobowych”, w treści którego znajduje się odwołanie także do powołanego wyżej zarządzenia, podpisane przez osobę winną wystąpienia naruszenia, nie zostało opatrzone żadną datą, co nie pozwala na dokonanie weryfikacji, kiedy ten dokument został przez tę osobę podpisany, a w konsekwencji, czy rzeczywiście zapoznała się ona z ww. regulacjami przed naruszeniem ochrony danych osobowych.

Powyższe ustalenia wskazują zatem jednoznacznie, że w tym zakresie administrator nie wdrożył skutecznych środków organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych przy użyciu przenośnych nośników pamięci, pomimo, co należy jeszcze raz podkreślić, ujęcia w przeprowadzonej analizie ryzyka zidentyfikowanego zagrożenia w postaci stosowania do użytku służbowego prywatnych nośników pamięci. Przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi bowiem być realizowane w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem. Ponadto, w takich szkoleniach muszą brać udział wszystkie osoby upoważnione do przetwarzania danych osobowych, a samo szkolenie musi obejmować swoim programem wszystkie zagadnienia związane z przetwarzaniem danych osobowych w ramach ustalonego tematu szkolenia. Pominięcie któregoś z tych elementów spowoduje, że szkolenie nie spełni swojej roli, bowiem część osób nie zostanie w ogóle przeszkolona albo uczestnicy szkolenia nie otrzymają pełnej wiedzy w danym zakresie. Konsekwencją powyższego może być naruszenie ochrony danych osobowych, tak jak w sprawie będącej przedmiotem niniejszego postępowania. Co więcej, brak przeprowadzania szkoleń w opisany wyżej sposób oznacza, że ten środek bezpieczeństwa, pomimo jego wskazania w analizie ryzyka jako środka mitygującego ryzyko, w praktyce tego ryzyka nie obniża, co niewątpliwie przyczynia się do osłabienia poziomu ochrony danych osobowych i przesądza o konieczności uznania naruszenia przepisów rozporządzenia 2016/679 odnoszących do obowiązków administratora w zakresie bezpieczeństwa danych. Jak bowiem już wskazano, przed naruszeniem ochrony danych osobowych pracownik winny wystąpienia naruszenia ochrony danych osobowych uczestniczył tylko w jednym szkoleniu z zakresu ochrony danych osobowych, które koncentrowało się na ogólnych zagadnieniach związanych z obowiązkami wynikającymi z przepisów o ochronie danych osobowych, a nie na szczegółowych kwestiach dotyczących bezpieczeństwa przetwarzania danych osobowych z użyciem przenośnych nośników pamięci. Zwrócić uwagę należy również na fakt, że wskazane szkolenie zostało przeprowadzone w dniu […] maja 2018 r., a więc przed przyjęciem „Polityki Ochrony Danych Osobowych Miejskiego Ośrodka Pomocy Społecznej w O.”, która określiła zasady korzystania z przenośnych nośników pamięci.

W tym kontekście należy wskazać, że Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2826/19 z dnia 26 sierpnia 2020 r. podniósł, że „(...) czynności o charakterze techniczno - organizacyjnym eżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych”. Ponadto, jak podniósł Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2826/19 z dnia 26 sierpnia 2020 r. „Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością. (...) Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne - muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka”.

Ponadto, administrator w piśmie z dnia […] istopada 2021 r., nr […], wskazał, że nie posiada pisemnych dowodów na przeprowadzoną weryfikację przestrzegania przez pracowników Miejskiego Ośrodka Pomocy Społecznej w O. postanowień polityki ochrony danych osobowych dotyczących wykorzystywania do przetwarzania danych osobowych przenośnych nośników pamięci,  w tym ich zabezpieczenia”. Co prawda, w innym piśmie (z […] maja 2022 r., nr […], administrator wyjaśnił, że „Odnosząc się do sprawdzeń w zakresie przestrzegania zasad używania, przechowywania, transportu oraz zabezpieczania przenośnych nośników pamięci używanych przez Miejski Ośrodek Pomocy Społecznej w O. informuję, iż w przedmiotowym zakresie zostały przeprowadzone trzy sprawdzenia z udziałem Administratora Systemów Informatycznych oraz Inspektora Ochrony Danych. Pierwsze sprawdzenie miało miejsce w okresie od […].10.2019r. do […].10.2019r., drugie sprawdzenie miało miejsce w okresie od […].06.2020r. do […].06.2020r. zaś trzecie sprawdzenie miało miejsce w okresie od […].01.2021r. do […].01.2021r.”, jednakże wezwany do przedstawienia dowodów na dokonanie ww. sprawdzeń poinformował, że „nie posiada pisemnych dowodów na trzy sprawdzenia z udziałem Administratora Systemów Informatycznych oraz Inspektora Ochrony Danych w zakresie przestrzegania zasad używania, przechowywania, transportu oraz zabezpieczania przenośnych nośników pamięci używanych przez Miejski Ośrodek Pomocy Społecznej w O.”.

W związku z powyższym wskazać należy, że weryfikacja przestrzegania przez pracowników postanowień „Polityki Ochrony Danych Osobowych Miejskiego Ośrodka Pomocy Społecznej w O.”, w tym postanowień odnoszących się do korzystania z przenośnych nośników pamięci, stanowi element regularnego testowania, mierzenia i oceniania skuteczności środków organizacyjnych mających zapewnić bezpieczeństwo przetwarzania  danych osobowych, do czego zobowiązany jest administrator stosownie do art. 32 ust. 1 it. d) rozporządzenia 2016/679. Wskazać należy również, że administrator nie wprowadził żadnych mechanizmów testowania, mierzenia i oceniania wiedzy pracowników MOPS w O. z zakresu przeprowadzonych szkoleń, w celu sprawdzenia, czy pracownicy zrozumieli treść przekazanego materiału oraz mają świadomość ryzyk w zakresie korzystania z przenośnych nośników pamięci i zagrożeń z tym związanych.

W związku z powyższym podkreślić należy, że aby w sposób prawidłowy zrealizować wymóg określony w art. 32 ust. 1 it. d) rozporządzenia 2016/679, wskazany zresztą w przytoczonym wyżej wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie jako obowiązek zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wdrożonych zabezpieczeń, administrator winien regularnie testować, mierzyć i oceniać skuteczność zastosowanych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest bowiem podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym nie tylko z art. 32 ust. 1 it. d) rozporządzenia 2016/679, ale również z faktu, iż podczas realizacji poszczególnych czynności przetwarzania mogą pojawić się lub zaistnieć nowe ryzyka dla bezpieczeństwa tego przetwarzania nieznane ub niezidentyfikowane wcześniej. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych i organizacyjnych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Natomiast brak weryfikacji przestrzegania przez pracowników MOPS w O. przyjętych przez administratora zasad przetwarzania danych osobowych, w tym związanych z korzystaniem z przenośnych nośników pamięci, pozbawia administratora wiedzy o istotnych elementach systemu ochrony danych osobowych, co z kolei uniemożliwia prawidłową realizację obowiązku wskazanego  w art. 32 ust. 1 it. d) rozporządzenia 2016/679.

Ponadto, aby testowanie, mierzenie i ocenianie skuteczności przyjętych środków bezpieczeństwa stanowiło realizację wymogu wynikającego z art. 32 ust. 1 it. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie tego typu działań w określonych przedziałach czasowych, niezależnie od np. zmian w organizacji i przebiegu procesów przetwarzania danych. Istotne jest również właściwe dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tych działań. Tylko bowiem wówczas administrator jest w stanie wykazać prowadzenie monitorowania w tym zakresie, sformułowanie określonych wniosków i przedstawienie postulowanych środków zaradczych. Dokumentowanie pozwoli także na porównanie podejmowanych w różnych przedziałach czasowych działań i przyjętych rozwiązań pod kątem ich skuteczności w zapewnieniu bezpieczeństwa dla przetwarzanych danych osobowych. W niniejszej sprawie administrator jednak takiej dokumentacji nie prowadził, co oznacza w konsekwencji, iż nie wykazał, stosownie do wyżej przywołanej zasady rozliczalności, że tego typu działania skutecznie realizował.

Brak regularnego testowania, mierzenia i oceniania przez MOPS w O. skuteczności wdrożonych środków organizacyjnych mających zapewnić bezpieczeństwo przetwarzania oraz niewprowadzenie w sposób skuteczny  środków organizacyjnych zabezpieczających przetwarzane dane osobowe w postaci cyklicznych szkoleń pracowników administratora w zakresie przyjętych zasad przetwarzania danych osobowych przy wykorzystaniu przenośnych nośników pamięci, doprowadził, co należy ponownie podkreślić, nie tylko do naruszenia ochrony danych osobowych, ale też przesądza o naruszeniu przez MOPS w O. obowiązków spoczywających na administratorze danych, wynikających z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 oraz art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji również zasady poufności wyrażonej w art. 5 ust. 1 it. f) rozporządzenia 2016/679. Efektem zaś naruszenia zasady poufności jest naruszenie art. 5 ust. 2 rozporządzenia 2016/679. Jak bowiem wskazał WSA w Warszawie w wyroku z dnia 10 utego 2021 r., sygn. II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności interpretuje WSA w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.

Wobec powyższego, działając na podstawie art. 58 ust. 2 it. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi ub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisów art. 5 ust. 1 it. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne - oprócz ub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności ub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające ub łagodzące.

Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie administratorowi upomnienia. Naruszenie dotyczy bowiem jednorazowego zdarzenia, a zatem nie mamy do czynienia z systematycznym działaniem ub zaniechaniem, które stanowiłoby poważne zagrożenie dla praw ub wolności osób, których dane osobowe są przetwarzane przez MOPS w O. Powyższe okoliczności uzasadniają udzielenie administratorowi upomnienia za stwierdzone naruszenie, co zapewni także, aby w przyszłości podobne zdarzenia nie miały miejsca. Niemniej jednak, gdyby podobne zdarzenie powtórzyło się w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec administratora będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia administracyjnej kary pieniężnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Podmiot udostępniający: Departament Kontroli i Naruszeń
Wytworzył informację:
user Jacek Młotkiewicz
date 2022-06-01
Wprowadził informację:
user Edyta Madziar
date 2023-05-22 11:05:15
Ostatnio modyfikował:
user Edyta Madziar
date 2023-05-22 11:28:05