Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2023 r.

niewdrożenie odpowiednich środków technicznych i organizacyjnych

DKN.5131.12.2020

23/02/2023

Urząd Ochrony Danych Osobowych stwierdził naruszenie przez Sąd Rejonowy Szczecin-Centrum w Szczecinie przepisów RODO, polegające na niewdrożeniu przez administratora odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci.


Zgłoszone przez administratora naruszenie ochrony danych osobowych polegało na zaginięciu z pomieszczania, w którym X  wykonywał pracę, saszetki zawierającej trzy nośniki danych, jeden szyfrowany i dwa nieszyfrowane. Pomimo przeprowadzonych w Sądzie poszukiwań nie odnaleziono nośników danych. Zawartość zagubionych nośników zawierała dane osobowe pochodzące z prowadzonych przez X  spraw sądowych w latach 2004 – 2020 i wskazywała na możliwość wieloletniego korzystania z prywatnych nośników (niezabezpieczonych i niezweryfikowanych przez Dział IT Sądu) na służbowym sprzęcie komputerowym przez X . Jak wykazało postępowanie, administrator nie zastosował adekwatnych środków technicznych i organizacyjnych, które uniemożliwiłyby powstanie przedmiotowego naruszenia, pomimo otrzymywanych zaleceń, pochodzących z trzech różnych audytów (pierwszy – (…) września 2018 r., drugi – (…) i (…) lipca 2020 r. oraz trzeci – (…) czerwca – (…) września 2020 r.). Administrator zablokował wejścia USB w komputerach służbowych dopiero w październiku 2020 r., uniemożliwiając tym samym korzystanie na służbowym sprzęcie z nieautoryzowanych przez Dział IT Sądu nośników danych.

 

  Z uwagi na to, że na zaginionych nośnikach danych znajdowały się dane osobowe zawarte w projektach orzeczeń i uzasadnień przygotowanych przez X  w związku z prowadzonymi przez niego postępowaniami sądowymi, uznać należy, iż administratorem tych danych stosownie do art. 175db ustawy z 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz. U. z 2020 r. poz. 2072), zwanej dalej Pusp, jest Sąd. Zgodnie z treścią art. 175dd § 1 Pusp, nadzór nad przetwarzaniem danych osobowych, których administratorami są sądy, zgodnie z art. 175 da i art. 175 db, wykonują w zakresie działalności sądu: 1) rejonowego – prezes sądu okręgowego, 2) okręgowego – prezes sądu apelacyjnego, 3) apelacyjnego – Krajowa Rada Sądownictwa. Kompetencje tych organów ustawodawca przewidział w art. 175dd § 2 Pusp. Zgodnie zaś z treścią art. 55 § 3 rozporządzenia 2016/679, Prezes UODO nie jest właściwy do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. Podkreślenia jednak wymaga, że do działalności sądów powszechnych poza działalnością związaną stricte ze sprawowaniem wymiaru sprawiedliwości i ochroną prawną, zaliczyć należy także działalność administracyjną (art. 8 Pusp), dzięki której sądy dysponują warunkami niezbędnymi do wykonywania ich ustawowych zadań (tj. sprawowanie wymiaru sprawiedliwości). Do zadań administracyjnych zaliczyć można m.in. zapewnienie warunków techniczno – organizacyjnych (tj. warunki lokalowe, sprzętowe, osobowe), czy też zapewnienie bezpieczeństwa. Zatem do sprawowania nadzoru nad tą sferą działalności sądów nie są właściwe organy, o których mowa w art. 175dd § 1 Pusp, lecz Prezes UODO. Z uwagi na to, iż przedmiotowe naruszenie stanowi naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia  2016/679, a spowodowane jest niewdrożeniem przez administratora skutecznych środków technicznych i organizacyjnych, zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych osobowych, to Prezes UODO zachowuje pełnię swoich kompetencji w tej sprawie.

 

Administrator danych, podejmując operacje na danych osobowych ma obowiązek zadbać, aby odbywało się to z poszanowaniem zasad dotyczących ochrony danych osobowych, zapewniając ich bezpieczeństwo.

Art. 5 rozporządzenia 2016/679 wskazuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty wskazane prawem Unii lub prawem państwa członkowskiego oraz podmioty które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

 

Zgodnie z treścią art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i  cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i  organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Przepis ten określa podstawowe obowiązki administratora, który jest odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność przetwarzania z wymogami rozporządzenia 2016/679. Chodzi tu w szczególności o realizację zasad wskazanych w art. 5 ust. 1 rozporządzenia 2016/679 i możliwość wykazania ich realizacji, stosownie do art. 5 ust. 2 rozporządzenia 2016/679.

 

Zgodnie natomiast z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i  organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą (uwzględnianie ochrony danych w fazie projektowania). Zgodnie natomiast z art. 25 ust. 2 rozporządzenia 2016/679, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

 

Stosownie do art. 32 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator  i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów  i usług przetwarzania (lit. b) oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (lit. d).

 

W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z  przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

Przepisy art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, wraz z art. 24 ust. 1 ww. rozporządzenia, stanowią więc konkretyzację wskazanej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 zasady integralności i poufności, a więc bezpieczeństwa danych.

 

Poufność danych to właściwość zapewniająca w szczególności, że dane nie zostaną udostępnione nieuprawnionym podmiotom, uzyskiwana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk. Wskazana zasada, jak wynika z ustalonego stanu faktycznego, została naruszona przez Administratora poprzez dopuszczenie do sytuacji, w której możliwe było użytkowanie prywatnych nośników danych, nieszyfrowanych, co w następstwie zagubienia tych nośników przez X skutkowało umożliwieniem osobom nieuprawnionym dostępu do danych osobowych przetwarzanych na tych nośnikach. Jak bowiem ustalono, zabezpieczeniem zastosowanym przez Sąd była procedura, która nie dopuszczała możliwości użytkowania prywatnych nośników danych oraz wydanie X  służbowego szyfrowanego nośnika danych. Jednakże wdrożenie przez Administratora tych zabezpieczeń, jak pokazuje przedmiotowa sprawa, nie zapobiegło wystąpieniu naruszenia ochrony danych osobowych, a więc nie było skuteczne.

 

Podkreślenia wymaga, że „[r]ozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.” [wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 3 września 2020 r. o sygnaturze II SA/Wa 2559/19].W kontekście przywołanego wyroku wskazać należy, że analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określnego stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora danych, albowiem w zależności właśnie od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych. Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych). Określenie istniejących lub stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych. Podatność jest określana powszechnie jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia  i z jakiego kierunku (powodu) mogą się pojawić. Aby analiza ryzyka została przeprowadzona w sposób właściwy, winny być zdefiniowane dla każdego z aktywów zagrożenia, mogące wystąpić w procesach przetwarzania danych.

Zarządzanie ryzykiem (przeprowadzenie analizy ryzyka i na tej podstawie określenie oraz wdrożenie odpowiednich zabezpieczeń), jest jednym z podstawowych elementów systemu ochrony danych osobowych, i jak wskazuje również powyżej przytoczony wyrok, ma charakter ciągłego procesu. Winna więc następować okresowa weryfikacja zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń.

Z przedłożonej przez Sąd analizy ryzyka, przeprowadzonej (…) grudnia 2019 r. (przed powstaniem naruszenia) wynika, że administrator danych przewidział zagrożenie utraty poufności poprzez „dostęp do danych przez osoby nieupoważnione ze względu na: przechowywanie na niezabezpieczonych nośnikach wymiennych, przechowywanie danych/zdjęć na prywatnych urządzeniach”. Pierwotne ryzyko zostało ocenione na poziomie średnim, o wartości „6”. Jako wniosek z dokonanej analizy ryzyka zostało wskazane, że pomimo ustalenia poziomu ryzyka na poziomie średnim, to z uwagi na zastosowane zabezpieczenia przez Administratora spada ono do poziomu akceptowalnego. Podkreślono jednak, że „w celu jego zminimalizowania można wprowadzić blokadę używania nośników zewnętrznych lub obowiązek stosowania tylko szyfrowanych nośników danych”.

 

W ocenie Prezesa UODO, Administrator w przeprowadzonej analizie ryzyka nie przewidział jednak zagrożenia utraty poufności danych ze względu na ich przechowywanie na niezabezpieczonych lub prywatnych nośnikach pamięci, którego źródłem byłby sam pracownik sądu (w tym X). W tym przypadku nie można bowiem uznać, iż X  był osobą nieupoważnioną do przetwarzania danych, którymi dysponował na zagubionych nośnikach danych. Nie ulega jednak wątpliwości, że realizacja wniosków z przeprowadzonej analizy poprzez wprowadzenie blokady używania nośników zewnętrznych zminimalizowałaby również ryzyko korzystania z takich urządzeń przez X .

 

Wnioskiem z przeprowadzonej analizy była sugestia wprowadzenia blokady użytkowania prywatnych nośników pamięci lub obowiązek stosowania szyfrowanych nośników danych. Niezależnie od źródła osobowego takiego zagrożenia Administrator, jak się okazuje w związku z wystąpieniem naruszenia ochrony danych osobowych, nie wdrożył blokady portów USB celem całkowitego uniemożliwienia korzystania z prywatnych nośników danych, ani nie zablokował możliwości użytkowania niezaewidencjonowanych przez Dział IT Sądu nośników pamięci, poprzestając jedynie na wprowadzeniu formalnego zakazu użytkowania „prywatnych nośników”. Taki zakaz wynikał z § (…) Regulaminu (…).

 

Należy także podkreślić, że Administrator już od grudnia 2019 r. dysponował programem umożliwiającym blokowanie portów USB, tj. programem o nazwie N . Taka blokada została wprowadzona w Sądzie jednak dopiero w październiku 2020 r., właśnie za pomocą programu N  (umożliwiającego Działowi IT kontrolowanie nośników zewnętrznych oraz blokowanie stacji roboczych przed podłączeniem nieautoryzowanego sprzętu). Działanie wynikające z przeprowadzonej analizy ryzyka, mające na celu zminimalizowanie ryzyka zrealizowania się zidentyfikowanego zagrożenia związanego z możliwością użycia do przetwarzania danych osobowych prywatnego nośnika pamięci, zostało zatem podjęte po około 11 miesiącach od momentu zakupu ww. programu i przeprowadzenia analizy ryzyka (a dwa miesiące po zmaterializowaniu się zagrożenia). Podkreślenia również wymaga, iż po każdym z przeprowadzonych w Sądzie audytów, osoby je przeprowadzające identyfikowały ww. podatność i artykułowały zalecenia zablokowania portów USB dla zwiększenia bezpieczeństwa danych, w celu uniemożliwienia korzystania w Sądzie z prywatnych nośników danych. W tym przypadku Administrator zastosował zatem wyłącznie środki organizacyjne, ale już nie techniczne. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „[p]rzyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka.”Takim działaniem Administrator, jak pokazuje zgłoszone organowi naruszenie ochrony danych, nie zadbał w sposób skuteczny o bezpieczeństwo danych przetwarzanych przez Sąd.Administrator, przed wystąpieniem naruszenia, nie wdrożył środków technicznych (nie zablokował portów USB w celu uniemożliwienia korzystania z prywatnych nośników danych (nieautoryzowanych przez Dział IT Sądu), choć takie wnioski były zawarte w raportach z przeprowadzonych audytów oraz wynikały z przeprowadzonej przez Sąd analizy ryzyka z (…) grudnia 2019 r.

 

Biorąc powyższe pod uwagę, wskazać należy, iż brak zastosowania adekwatnych do zagrożeń środków bezpieczeństwa (brak blokady portów USB w celu uniemożliwienia korzystania z prywatnych nośników pamięci) w Sądzie spowodował naruszenie przez Administratora przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, w następstwie czego doszło do naruszenia zasady poufności danych - art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Konsekwencją zaś naruszenia zasady poufności jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. WSA w Warszawie w wyroku z dnia 10 lutego 2021 r., sygn. II SA/Wa 2378/20, wskazał, że „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych .” Podobnie kwestię zasady rozliczalności interpretuje WSA w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, stwierdzając, że „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679.”

 

Podkreślić również należy, iż Administrator pomimo posiadanych procedur (zakaz użytkowania prywatnych nośników danych uregulowany w Regulaminie (…) Sądu) oraz posiadanej wiedzy o zagrożeniach (pochodzącej przede wszystkich z przeprowadzonych audytów), nie prowadził nadzoru nad tym, czy pracownicy Sądu do uregulowań wewnętrznych w tym zakresie się stosują, co świadczy o naruszeniu art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Dokonywanie przeglądów i aktualizacja wdrożonych środków organizacyjnych i technicznych jest również sformułowane wprost w art. 24 ust. 1 rozporządzenia 2016/697. Podkreślić także należy, że wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno ono przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Regularna ocena zastosowanych środków bezpieczeństwa, stosownie do art. 32 ust. 1 lit. d) rozporządzenia 2016/679, pozwoliłaby Administratorowi na weryfikację, czy wprowadzona procedura określająca zakaz użytkowania prywatnych nośników danych jest przestrzegana, a więc i skuteczna, a w konsekwencji dała możliwość stwierdzenia, czy podejmowane są właściwe działania mające na celu zapewnienie ochrony danych przetwarzanych przez pracowników Sądu. Należy zatem podkreślić, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, w tym skuteczności wdrożonych procedur, służy także zapewnieniu realizacji obowiązków Administratora i bezpieczeństwu przetwarzanych danych.

 

W stanie faktycznym przedmiotowej sprawy, w ocenie Prezesa UODO, weryfikacja sposobu realizacji (stosowania) środka organizacyjnego w postaci zakazu użytkowania prywatnych nośników danych, znacząco obniżyłoby ryzyko wystąpienia naruszenia albo doprowadziłoby do całkowitego jego wyeliminowania, np. poprzez zastosowanie środka technicznego w postaci blokady portów USB. Podkreślenia ponownego wymaga, że w wyniku przeprowadzonych w Sądzie audytów taka podatność została wskazana przez osoby je przeprowadzające (tj. brak zablokowanych portów USB uniemożliwiających korzystanie z prywatnych nośników danych), jak również zostały wydane zalecenia ich zablokowania. Ponadto, jako wniosek z przeprowadzonej (…) grudnia 2019 r. analizy ryzyka zostało wskazane, iż ryzyko naruszenia jest na poziomie akceptowalnym dla Administratora, to jednak „[w] celu zniwelowania ryzyka można wprowadzić blokadę używania nośników zewnętrznych lub obowiązek stosowania tylko szyfrowanych nośników danych”. Sąd natomiast, jako administrator danych, dopiero w październiku 2020 r. (tj. już po wystąpieniu naruszenia) zablokował porty USB dla nieautoryzowanych przez Dział IT nośników danych, uniemożliwiając korzystanie tym samym z prywatnych nośników danych przez pracowników Sądu.

 

Ponadto, aby zrealizować wymóg art. 32 ust. 1 lit. d) rozporządzenia 2016/679, wskazany zresztą w ww. wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie jako obowiązek zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wdrożonych zabezpieczeń, administrator danych osobowych winien regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. W przedmiotowej sprawie takie mierzenie miało miejsce w związku z przeprowadzonymi audytami, lecz nie były wdrażane zalecenia, jakie były wówczas wskazywane przez osoby je przeprowadzające. Brak reakcji Administratora na zalecenia audytorów powoduje osłabienie systemu ochrony danych i naraża na konsekwencje prawne, zarówno ze strony organów (odpowiedzialność administracyjną, karną), jak również ze strony osób, których dane zostały objęte naruszeniem (odpowiedzialność cywilną). Administrator podjął w ten sposób ryzyko, które zmaterializowało się w przedmiotowym naruszeniu. Naruszenie to natomiast ukazało nieprawidłowości w procesie zabezpieczania danych przez Administratora.

 

Biorąc powyższe pod uwagę nie ulega wątpliwości, że Administrator, przed wystąpieniem naruszenia, był świadom zagrożenia, jakim było użytkowanie prywatnych nośników danych. Świadczy o tym zarówno przeprowadzona analiza ryzyka i wynikające z niej wnioski co do sposobu minimalizowania zidentyfikowanych zagrożeń, wnioski z kolejnych audytów przeprowadzonych w Sądzie, jak również podejmowane środki organizacyjne w postaci zakazu użytkowania prywatnych nośników danych określonego w Regulaminie (…) Sądu Rejonowego Szczecin-Centrum w Szczecinie, czy też nakazu użytkowania szyfrowanych nośników danych zawartego w Polityce (…)Sądu Rejonowego Szczecin-Centrum w Szczecinie oraz określenia zasad bezpiecznej pracy zdalnej. Pomimo tej świadomości Sąd jednak nie wdrożył technicznych środków mających zapewnić bezpieczeństwo danych osobowych. Administrator przed wystąpieniem naruszenia ochrony danych osobowych poprzestał na wdrożeniu wyłącznie organizacyjnych środków bezpieczeństwa.

 

Biorąc powyższe pod uwagę, wskazać należy, iż brak zastosowania adekwatnych środków bezpieczeństwa do zidentyfikowanych zagrożeń dla danych osobowych przetwarzanych przez Sąd (możliwość korzystania z prywatnych nośników danych) spowodował naruszenia przez Administratora przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, w następstwie czego doszło do naruszenia zasady poufności danych - art. 5 ust. 1 lit. f) rozporządzenia 2016/679 (a w konsekwencji naruszenia wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679 zasady rozliczalności), bowiem doszło najpierw do zapisania danych na nieautoryzowanych nośnikach danych (będących poza kontrolą Administratora), a następnie do ich zagubienia przez X. W ocenie Prezesa UODO niezastosowanie przez Administratora ww. środków bezpieczeństwa, pomimo jego wiedzy zarówno o zagrożeniach, jak i podatnościach w organizacji, prowadzi do wniosku, iż w Sądzie nie zostały podjęte działania w celu zapewnienia domyślnej ochrony danych. A to stanowi o naruszeniu art. 25 ust. 2 rozporządzenia 2016/679.

 

Jednocześnie podkreślenia wymaga, że pomimo wezwania Administratora do wykazania, jakie szkolenia odbył X , który dopuścił się naruszenia, oraz kiedy miały one miejsce, w jakim zakresie (i czy dotyczyły zasad przetwarzania danych, w szczególności na nośnikach danych) Sąd przesłał informację o szkoleniach, w których uczestniczył ten X po wystąpieniu naruszenia oraz kopie oświadczeń, o których jest mowa w pkt 8 stanu faktycznego. Administrator nie wykazał natomiast, aby ww. X został przeszkolony z zakresu ochrony danych osobowych, czy też środków bezpieczeństwa przed wystąpieniem naruszenia. Podkreślić zatem należy, że samo odebranie oświadczeń od X , że znane są mu zasady obowiązujące w Sądzie, bez dodatkowych dedykowanych w tym zakresie szkoleń, nie są wystarczającym środkiem oddziaływania na świadomość danej osoby. Prawidłowo przeprowadzone szkolenia pozwolą osobom szkolonym na właściwe zrozumienie zasad przetwarzania danych osobowych określonych przez Administratora, a w konsekwencji przyczyniają się do ograniczenia ryzyka wystąpienia naruszeń w tym obszarze. Podnieść również należy, że przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi być realizowane w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem. Ponadto, w takich szkoleniach muszą brać udział wszystkie osoby upoważnione do przetwarzania danych osobowych, a samo szkolenie musi obejmować swoim programem wszystkie zagadnienia związane z przetwarzaniem danych osobowych w ramach ustalonego tematu szkolenia. Pominięcie któregoś z tych elementów spowoduje, że szkolenie nie spełni swojej roli, bowiem część osób nie zostanie w ogóle przeszkolona albo uczestnicy szkolenia nie otrzymają pełnej wiedzy w danym zakresie. Konsekwencją powyższego może być naruszenie ochrony danych osobowych, tak jak w sprawie będącej przedmiotem niniejszego postępowania. Co więcej, brak przeprowadzania szkoleń w opisany wyżej sposób oznacza, że ten środek bezpieczeństwa w praktyce nie obniża ryzyka wystąpienia naruszeń ochrony danych osobowych, co niewątpliwie przyczynia się do osłabienia poziomu ochrony danych osobowych i przesądza o konieczności uznania naruszenia przepisów rozporządzenia 2016/679 odnoszących do obowiązków administratora w zakresie bezpieczeństwa danych.

Podsumowując, pomimo usunięcia przez Sąd uchybień w zakresie zapewnienia bezpieczeństwa przetwarzanych danych, w tym poprzez zablokowanie portów USB przed możliwością korzystania z nieautoryzowanych przez Dział IT nośników danych, którego brak był pośrednią przyczyną naruszenia poufności danych osobowych, zaistniały przesłanki uzasadniające zastosowanie wobec Sądu przysługujących Prezesowi Urzędu uprawnień do nałożenia administracyjnej kary pieniężnej za naruszenie zasady poufności danych [art. 5 ust. 1 lit. f) rozporządzenia 2016/679], a w konsekwencji zasady rozliczalności [art. 5 ust. 2 rozporządzenia 2016/679] w związku z naruszeniem obowiązków administratora przy wdrażaniu środków bezpieczeństwa w trakcie przetwarzania danych, w celu skutecznej realizacji zasad ochrony danych i zapewnienia domyślnej ochrony danych [art. 25 ust. 1 i 2 rozporządzenia 2016/679]; obowiązków w zakresie zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych [art. 32 ust. 1 lit. b) rozporządzenia 2016/679]; obowiązku regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania [art. 32 ust. 1 lit. d) rozporządzenia 2016/679] oraz obowiązku uwzględnienia ryzyka wiążącego się z przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych [art. 32 ust. 2 rozporządzenia 2016/679].

 

Skorzystanie przez Prezesa UODO z przysługującego mu uprawnienia nałożenia na administratora danych kary administracyjnej wynika przede wszystkim z faktu, iż Administrator uchybił podstawowym zasadom przetwarzania danych, tj. zasadzie poufności, poprzez niezastosowanie skutecznych środków techniczno-organizacyjnych w Sądzie, gwarantujących ich bezpieczeństwo, a w konsekwencji zasadzie rozliczalności opisanej w art. 5 ust. 2 rozporządzenia 2016/679.

 

Na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) – h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.

 

Decydując o nałożeniu na Sąd administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes Urzędu Ochrony Danych Osobowych – stosownie do treści art. 83 ust. 2 lit. a) – k) rozporządzenia 2016/679 – wziął pod uwagę, i uznał za obciążające dla Sądu okoliczności w zakresie wskazanym poniżej.

 

 

Źródło: https://www.uodo.gov.pl/decyzje/DKN.5131.12.2020

 

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 2 listopada 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 2 listopada 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 7 września 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 7 września 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 6 lipca 2022 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 6 lipca 2022 r.