DKE.561.21.2020
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 31 i art. 58 ust. 1 lit. e) w związku z art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez K. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych,
udziela upomnienia K. Sp. z o.o. za naruszenie przepisów art. 31 oraz art. 58 ust. 1 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.) zwanego dalej „rozporządzeniem 2016/679”, polegającego na braku współpracy z Prezesem UODO w ramach wykonywania przez ten organ jego zadań oraz nieudzielaniu informacji niezbędnych Prezesowi UODO do realizacji jego zadań.
Uzasadnienie
Do wiadomości Prezesa Urzędu Ochrony Danych Osobowych (dalej także: „Prezes UODO”) wpłynęło zawiadomienie o podejrzeniu popełnienia przestępstwa złożone przez K. Sp. z o.o. (zwanej dalej „Spółką”) do Komendy Wojewódzkiej Policji w G. Zawiadomienie to dotyczyło awarii serwera obsługującego w Spółce system rezerwacji i sprzedaży usług hotelowo gastronomicznych. Awaria polegała na zaszyfrowaniu plików baz danych znajdujących się na ww. serwerze poprzez złośliwe oprogramowanie.
Z uwagi na to, że Spółka nie dokonała zgłoszenianaruszenia ochrony danych osobowych organowi nadzorczemu w oparciu o art. 33 rozporządzenia 2016/679, Prezes UODO podjął postępowanie wyjaśniające (sygn. […]) dotyczące ustalenia, czy w związku ze zgłoszeniem przez Prezesa Spółki przełamania zabezpieczeń (awaria serwera obsługującego system rezerwacji i sprzedaży usług hotelowo gastronomicznych polegająca na zaszyfrowaniu plików baz danych poprzez złośliwe oprogramowanie) dokonana została analiza pod kątem ryzyka naruszenia ochrony danych skutkująca koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie ochrony danych osobowych.
Pismem z […] lutego 2020 r. Prezes UODO zwrócił się do Spółki o udzielenie informacji, czy dokonana została analiza pod kątem ryzyka naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie ochrony danych osobowych. Ponadto, w piśmie tym Spółka pouczona została o obowiązku zgłaszania naruszenia ochrony danych osobowych zgodnie z art. 33 rozporządzenia 2016/679.
Pismo to doręczone zostało Spółce […] lutego 2020 r., co potwierdzone zostało na „Potwierdzeniu odbioru przesyłki listowej”. W związku z brakiem odpowiedzi na ww. pismo, pracownik Urzędu Ochrony Danych Osobowych […] maja 2020 r. przeprowadził z Panią L. C. reprezentującą Spółkę telefoniczną rozmowę (nr tel. […]) na okoliczność braku odpowiedzi na prawidłowo doręczone Spółce ww. pismo. Pani L. C. poinformowała, że nie otrzymała tego pisma i poprosiła o ponowne jego wysłanie. Zatem, […] maja 2020 r. skierowano do Spółki pismo z ponownym wezwaniem do niezwłocznego złożenia wyjaśnień w sprawie. Pismo to doręczone zostało […] maja 2020 r., co potwierdzone zostało na „Potwierdzeniu odbioru przesyłki listowej”. Na to pismo Spółka także nie udzieliła odpowiedzi. Wobec powyższego, […] lipca 2020 r. skierowano do Spółki kolejne pismo z ponownym wezwaniem do niezwłocznego złożenia wyjaśnień w sprawie. Pismo to doręczone zostało […] sierpnia 2020 r., co potwierdzone zostało na „Potwierdzeniu odbioru przesyłki listowej”. Spółka nie udzieliła odpowiedzi także na to pismo. Zatem, pomimo trzykrotnego, skutecznego, wezwania do złożenia wyjaśnień, Spółka nie złożyła stosownych wyjaśnień w sprawie.
Pismem z […] lutego 2020 r. Spółka pouczona została, że brak odpowiedzi na wezwania Prezesa UODO skutkować może – zgodnie z art. 83 ust. 5 lit. e) w zw. z art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679 – nałożeniem na Spółkę administracyjnej kary pieniężnej.
W związku z nieudzieleniem przez Spółkę informacji niezbędnych do rozstrzygnięcia sprawy o sygn. […], Prezes UODO wszczął z urzędu wobec Spółki – w oparciu o art. 83 ust. 5 lit. e) Rozporządzenia 2016/679, w związku z naruszeniem przez Spółkę art. 31 oraz art. 58 ust. 1 lit a) Rozporządzenia 2016/679 – postępowanie administracyjne w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej (pod sygn. DKE.561.21.2020).
O wszczęciu postępowania Spółka poinformowana została pismem z […] października 2020 r., prawidłowo doręczonym Spółce […] października 2020 r.
W reakcji na pismo informujące o wszczęciu postępowania w przedmiocie nałożenia na Spółkę administracyjnej kary pieniężnej, Prezes Zarządu Spółki w sposób zgodny z art. 33 rozporządzenia 2016/679 dokonał zgłoszenia naruszenia ochrony danych osobowych, co pozwoliło Prezesowi UODO prowadzenie dalszego postępowania w sprawie o sygn. […].
Ponadto, pismem z […] października 2020 r. Prezes Zarządu Spółki wyjaśnił, że:
- W dniu […] grudnia 2019 r. o godz. […] nastąpiła awaria serwera Spółki zawierającego bazę danych do oprogramowania hotelowego. Awaria polegała na braku możliwości dostępu do bazy danych zlokalizowanej na serwerze lokalnym umiejscowionym w hotelu w zamkniętej na klucz szafie […]. Recepcjonistka z poziomu komputera znajdującego się w recepcji hotelu nie mogła zalogować się do systemu, aby obsługiwać gości. Natychmiast poinformowano o tej sytuacji Prezesa Spółki, administratora sieci oraz inspektora ochrony danych osobowych. W wyniku podjętych działań okazało się że baza danych na serwerze została zaszyfrowana oprogramowaniem, którego nie wykrył antywirus. Ustalono, że zaszyfrowania dokonał trojan o nazwie Viki. W wyniku dalszych sprawdzeń naruszenia ochrony danych osobowych wykluczony został wyciek danych znajdujących się na serwerze.
- Do ww. zdarzenia mogło dojść w związku z trwającymi wcześniej pracami serwisowymi serwera oraz pracami związanymi z instalacją nowego i dodatkowego oprogramowania związanego z dostosowaniem systemu hotelowego do nowych wymogów księgowych oraz lepszego zapewnienia bezpieczeństwa systemu.
- Pliki znajdujące się na dysku serwera zostały zabezpieczone i przekazane do Komendy Wojewódzkiej Policji w G., Wydziału Walki z Cyberprzestępczością. Dochodzenie w tej sprawie zostało umorzone z uwagi na niewykrycie sprawcy, tj. na podstawie art. 322 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz. U. z 2020 r. poz. 30 ze zm.) (dowód: postanowienie […]).
- Spółka zakupiła nowe dyski i rozpoczęła instalowanie oprogramowania od początku.
- Jako uzasadnienie braku współpracy z Prezesem UODO Pani L. Cz., reprezentująca K. Sp. z o.o. wskazała, że awarii serwera obsługującego w Spółce system rezerwacji i sprzedaży usług hotelowo gastronomicznych wywołała duży stres zarówno dla niej jak i dla jej pracowników (okres przedświąteczny). Trudna sytuacja związana ze zdarzeniem, jak i trudna sytuacja rodzinna (sama wychowuje troje dzieci) spowodowała większe skupienie się na ponownym poprawnym wznowieniu pracy recepcji i całego systemu obsługującego hotel, jak na śledzeniu wpływającej do Spółki korespondencji. Także sytuacja związana z pandemią COVID-19 doprowadziły Panią L. Cz. do strachu nad prawidłowym zapewnieniem bezpieczeństwa zarówno rodziny, gości a także finansów Spółki.
W piśmie z […] października 2020 r. Pani L. Cz. przeprosiła Prezesa UODO za brak prawidłowej współpracy z nim w związku z prowadzonym postępowaniem o sygn. […], poprosiła o zrozumienie trudnej dla niej sytuacji związanej z ww. zdarzeniem (zakup i wdrożenie nowych dysków), a także uwzględnienia jej trudnej sytuacji rodzinnej i finansowej, w szczególności związaną z epidemią COVID-19.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO rozpatruje m.in. skargi wniesione przez osoby, których dane dotyczą, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (art. 57 ust. 1 lit. f)). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)).
Ponadto, Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 2 uprawnień naprawczych, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów Rozporządzenia 2016/679 przez operacje przetwarzania.
Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, o których mowa powyżej, skutkuje naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań). W konsekwencji podlega – zgodnie z art. 83 ust 5 lit e) in fine Rozporządzenia 2016/679 – administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679.
Prezes UODO działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679 może także uznać za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisu art. 31 w związku z art. 58 ust. 1 lit. e) Rozporządzenia 2016/679.
Zgodnie z motywem 148 Rozporządzenia 2016/679, aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Odnosząc przytoczone powyżej przepisy Rozporządzenia 2016/679 do ustalonego w niniejszej sprawie, a opisanego na wstępie uzasadnienia niniejszej decyzji, stanu faktycznego, stwierdzić należy, że Spółka – administrator danych osobowych, – jako strona prowadzonego przez Prezesa UODO postępowania o sygn. […], niewątpliwe naruszyła obowiązek zapewnienia Prezesowi UODO dostępu do dodatkowych informacji niezbędnych do realizacji jego zadań – w tym przypadku do ustalenia, czy w związku ze zgłoszeniem przez administratora danych przełamania zabezpieczeń (awaria serwera obsługującego system rezerwacji i sprzedaży usług hotelowo gastronomicznych polegająca na zaszyfrowaniu plików baz danych poprzez złośliwe oprogramowanie) dokonana została analiza pod kątem ryzyka naruszenia ochrony danych skutkująca konieczność zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie ochrony danych osobowych.
W odpowiedzi na informację o wszczęciu postępowania administracyjnego w sprawie o sygn. DKE.561.21.2020. Prezes Zarządu Spółki w sposób zgodny z art. 33 rozporządzenia 2016/679 dokonał zgłoszenia naruszenia ochrony danych osobowych, co pozwoliło Prezesowi UODO prowadzenie dalszego postępowania w sprawie o sygn. […]. Ponadto, pismem z […] października 2020 r. Prezes Zarządu Spółki złożył szczegółowe wyjaśnienia uzasadniające krótkotrwały brak współpracy z Prezesem UODO w związku z postępowaniem o sygn. […].
Decydując o nałożeniu w niniejszej sprawie na Spółkę sankcji w postaci upomnienia, Prezes UODO wziął pod uwagę następujące okoliczności wpływające na ocenę naruszenia:
Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).
Naruszenie podlegające sankcji w niniejszej sprawie godzi w system ochrony danych osobowych. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do danych osobowych oraz innych informacji niezbędnych do realizacji ich zadań.
Zdaniem Prezesa UODO, działania Spółki z pewnością skutkowały krótkotrwałym brakiem dostępu do dowodów wskazujących na obowiązek zgłoszenianaruszenia ochrony danych osobowychorganowi nadzorczemu, o którym mowa w art. 33 rozporządzenia 2016/679.
Grupa Robocza Art. 29 w wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679 przyjętych 3 października 2017 r. odnosząc się do umyślnego lub nieumyślnego charakteru naruszenia wskazała, że zasadniczo „umyślność” obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego, podczas gdy „nieumyślność” oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora albo podmiot przetwarzający wymaganego prawem obowiązku staranności. Umyślne naruszenia są poważniejsze niż te nieumyślne, a w konsekwencji częściej wiążą się z nałożeniem administracyjnej kary pieniężnej. W ocenie Prezesa UODO ww. naruszenie miało charakter nieumyślny, można mówić o zaniedbaniu. Po stronie Spółki zaistniała wola współpracy w zapewnieniu organowi wszelkich informacji (dowodów) niezbędnych do dalszego prowadzenia postępowania o sygn. […].
Brak współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679).
W toku niniejszego postępowania Spóła wyraziła chęć współpracy z Prezesem UODO w celu usunięcia naruszenia polegającego w szczególności na udzieleniu wyjaśnień w zakresie, w którym doszło do udaremnienia prowadzenia postępowania o sygn. […], przeprosiła za brak tej współpracy uzasadniając brak współpracy także trudną sytuacją epidemiczną w kraju.
Pozostałe przesłanki wskazane w art. 83. ust. 2 Rozporządzenia 2016/679 nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia (w tym: wszelkie stosowne wcześniejsze naruszenia ze strony administratora, sposób w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie wcześniej zastosowanych w tej samem sprawie środków, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji) lub też, ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora z organem nadzorczym, a nie stosunku administratora z osobą, której dane dotyczą), nie mogły być wzięte pod uwagą w niniejszej sprawie (w tym: liczba poszkodowanych osób oraz rozmiar poniesionej przez nie szkody, działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez podmioty danych, stopień odpowiedzialności administratora z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych, kategorie danych osobowych, których dotyczy naruszenie).
W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisu art. 31 w związku z art. 58 ust. 1 lit. e) Rozporządzenia 2016/679.
Prezes UODO uznał, że w tej sprawie udzielenie upomnienia, w świetle kryteriów określonych w art. 83 ust. 2 RODO, będzie wystarczające, i co najmniej tak samo „skuteczne, proporcjonalne i odstraszające” jak wymierzenie kary pieniężnej (vide art. 83 ust. 1 RODO).
Należy także zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 Rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 zł.
W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.