Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2022 r.

naruszenie bezpieczeństwa danych osobowych podczas prac IT przez podmiot przetwarzający i administatora

DKN.5130.2215.2020

04/03/2022

Na administratora danych Prezes UODO nałożył administracyjną karę pieniężna w wysokości ponad 4,9 mln zł. za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego. Z kolei podmiot przetwarzający otrzymał karę w wysokości 250 tys. zł.


Warszawa, dnia 19 stycznia 2022 r.

DECYZJA

 

DKN.5130.2215.2020

 

Na podstawie art. 104 § 1 i 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.), art. 7 ust. 1, art. 60, art. 101 i 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 2 lit. i) w związku z art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i ust. 3, art. 32 ust. 1 i 2 oraz art. 34 ust. 1, a także art. 83 ust. 1-3 oraz art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez F. Sp.  Marketing and Sales Polska Spółka Akcyjna z siedzibą w Gdańsku przy ul. Marynarki Polskiej 197  oraz P. SP.  Sp. z o.o. z siedzibą w Gdańsku przy ul. Spadochroniarzy 7 , Prezes Urzędu Ochrony Danych Osobowych

1) stwierdzając naruszenie przez F. Sp.  art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkującym naruszeniem ich poufności, oraz na braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, nakłada na F. Sp.  , za naruszenie art. 5 ust. 1 lit. f), art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 4 911 732 PLN (słownie: cztery miliony dziewięćset jedenaście tysięcy siedemset trzydzieści dwa PLN),

2) stwierdzając naruszenie przez P. SP.   art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f)  rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: „rozporządzenie 2016/679”, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności   nakłada na P. SP.  Sp. z o.o. administracyjną karę pieniężną w wysokości 250 135  PLN (słownie: dwieście pięćdziesiąt  tysięcy sto trzydzieści pięć PLN),

3) w pozostałym zakresie postępowanie umarza.

 

 

UZASADNIENIE

 F. Sp.  (zwana dalej także: „F. Sp. ” lub „Administratorem”) prowadzi działalność gospodarczą w zakresie obrotu energią elektryczną i paliwem gazowym, w tym w zakresie sprzedaży energii elektrycznej oraz gazu odbiorcom końcowym, zarówno z sektora biznesowego, jak i gospodarstwom domowym. W ramach prowadzonej działalności gospodarczej F. Sp.  współpracuje z P. SP.  Spółką z o.o. w siedzibą w Gdańsku przy ul. Spadochroniarzy 7 (dalej: „P. SP. ” lub „Podmiot Przetwarzający”). P. SP.  świadczy na rzecz F. Sp.  usługę prowadzenia archiwum, w tym archiwum cyfrowego. Strony związane są umową powierzenia przetwarzania danych osobowych z […] maja 2018 r. oraz umową przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi z […] lutego 2016 r. z późniejszymi aneksami.

W dniu […] kwietnia 2020 r. F. Sp.   zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej także: „Prezesem UODO”) naruszenie ochrony danych osobowych, które zostało zarejestrowane pod sygnaturą DKN.5130.2215.2020. W zgłoszeniu naruszenia wskazano, że doszło do „skopiowania danych” klientów Administratora, a zdarzenie jest związane z faktem wprowadzenia zmiany w środowisku teleinformatycznym dla usługi […] (systemu spełniającego rolę archiwum cyfrowego dokumentów i informacji na temat klientów, pochodzących z procesu przetwarzania nośników papierowych na elektroniczne) w celu zwiększenia wydajności działania całości repozytorium. Zmiana dokonywana była przez podmiot przetwarzający, tj. P. SP. , w następstwie zgłoszenia do niego przez Administratora faktu powolnego działania usługi [...], której Podmiot Przetwarzający był dostawcą. Zmiana polegała na utworzeniu i instalacji dodatkowej bazy danych klientów F. Sp.  (która następnie została skopiowana przez nieuprawnione podmioty), działającej w oparciu o rozwiązanie […]. Naruszenie poufności dotyczyło nowoutworzonej bazy danych zawierającej informacje o klientach F. Sp.  w zakresie: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika), określonej przez F. Sp.  w zgłoszeniu jako „dodatkowa, wtórna, pomocnicza bazy metadanych o nazwie […]”. W zgłoszeniu wskazano, że naruszenie dotyczyło danych osobowych 137 314 osób klientów F. Sp. .

 Administrator zrezygnował z powiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, gdyż w jego ocenie nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

[…] kwietnia 2020 r. F. Sp.  przesłała do wiadomości Prezesa UODO zawiadomienie  o możliwości popełnienia przestępstwa, które zostało złożone przez F. Sp.  w Prokuraturze Okręgowej w Gdańsku. W uzasadnieniu zawiadomienia F. Sp.  wskazała na możliwość popełnienia czynu zabronionego określonego w art. 267 ustawy z dnia 6 czerwca 1997 r. kodeks karny (Dz.U. z 2020 r. poz. 144 ze zm.), tj. uzyskania bezprawnego dostępu do informacji w związku z nieuprawnionym skopiowaniem bazy danych klientów.

W związku z faktem, że F. Sp.  nie zawiadomiła o naruszeniu osób, których dotyczyło naruszenie, zaś w ocenie Prezesa UODO z uwagi na szeroki zakres ujawnionych danych klientów F. Sp.  wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Prezes UODO w dniu […] kwietnia 2020 r. skierował do Administratora wystąpienie, w którym zwrócił się o podjęcie stosownych działań mających na celu: 1) niezwłoczne zawiadomienie osób, których dane dotyczą, o naruszeniu ich danych osobowych, 2) przekazanie tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia, 3) wyeliminowanie podobnych nieprawidłowości w przyszłości. Odpowiedź na ww. wystąpienie Prezesa UODO przesłana została przez F. Sp.  pismem z […] maja 2020 r. Administrator poinformował organ nadzorczy o zawiadomieniu osób, których dotyczyło naruszenie, przedstawiając jednocześnie treść komunikacji przesyłanej do klientów przed otrzymaniem wystąpienia organu nadzorczego, jak również treść uzupełnionego zawiadomienia o naruszeniu przesłanego do klientów w związku z wystąpieniem Prezesa UODO. W piśmie tym F. Sp.  przedstawiła również wyniki analizy, w której ostatecznie ustalono liczbę osób, które należy zawiadomić o naruszeniu ochrony danych osobowych, w związku z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W wyjaśnieniach wskazano, że ujawnione zostały dane łącznie 120 428 osób, z czego o naruszeniu należało zawiadomić 95 711 osób. Pozostała liczba to klienci biznesowi oraz osoby zmarłe.

Jednocześnie, w dniu […] kwietnia 2020 r. Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez F. Sp.  art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 34 ust. 1 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych zarejestrowanym pod sygn. DKN.5130.2215.2020. 

Wszczynając postępowanie administracyjne Prezes UODO wezwał F. Sp.  do wskazania m.in. ostatecznych kategorii danych osobowych i kategorii osób, których dane dotyczą oraz wskazania szczegółowego, w tym technicznego, opisu naruszenia. Prezes UODO wezwał F. Sp.  również do wskazania, czy i jakie F. Sp.  oraz Podmiot Przetwarzający przyjęły środki zabezpieczenia technicznego i organizacyjnego zgodnie z art. 24 rozporządzenia 2016/679 (polityki ochrony danych), art. 25 rozporządzenia 2016/679 (uwzględnianie ochrony danych w fazie projektowania oraz domyślną ochronę danych) oraz art. 32 rozporządzenia 2016/679, jak również wskazania czy, a jeśli tak, to kiedy i w jaki sposób Administrator oraz Podmiot Przetwarzający dokonywały regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, pismem z […] maja 2020 r. F. Sp.  przesłała dodatkowe wyjaśnienia, w których wskazała m.in. że:
1. Kategorie danych, których dotyczy naruszenie, wskazane w zgłoszeniu obejmują: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, serię i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika). Zgodnie z wyjaśnieniami F. Sp. , powyższy zakres danych wynika ze struktury bazy, której dotyczyło naruszenie. Jednocześnie F. Sp.  oświadczyła, że nie wszystkie pola zawierały wartości (były wypełniane). Tak więc, dla jednej osoby dane osobowe zawarte w bazie mogą być ograniczone do imienia i nazwiska, numeru umowy oraz nr PESEL, a dla innej obejmować wszystkie ww. kategorie danych osobowych.
2. Do wykrycia podatności, która doprowadziła do nieuprawnionego dostępu do dodatkowej bazy danych utworzonej w oparciu o rozwiązanie […], doszło po przekazaniu przez dwóch niezależnych internautów informacji, iż posiadają oni dostęp do bazy klientów F. Sp. .
3. Do naruszenia doszło w wyniku działania Podmiotu Przetwarzającego realizującego na rzecz Administratora usługę [...], tj. P. SP.  F. Sp.  wyjaśniła, że w momencie zidentyfikowania systemu, którego dane były narażone, poinformowała dostawcę usługi (tj. P. SP. ), który od razu wyłączył system oraz zablokował dostępy.
4. Opisując, w jaki sposób doszło do naruszenia, F. Sp.  wskazała m.in., że związane to było z  faktem wprowadzenia zmiany programistycznej w środowisku informatycznym dla usługi [...]. Zmiana polegała na dodaniu do środowiska [...] dodatkowego komputera (serwera bazodanowego) dla bazy danych działającej w oparciu o rozwiązanie […] w celu poprawienia wydajności wyszukiwania dokumentów. Miało to zdecydowanie skrócić czas, w którym informacje z systemu [...] są dostępne dla użytkownika końcowego. F. Sp.  wskazała, że rozwiązanie takie znacznie przyśpiesza wyszukiwanie dokumentów i jest popularnym rozwiązaniem w tego typu usługach.
5. Wprowadzone modyfikacje i sposób ich wprowadzenia nie zostały skonsultowane z nią przez Podmiot Przetwarzający. W swych wyjaśnieniach F. Sp.  wskazała, że współpracuje z Podmiotem Przetwarzającym na podstawie umowy przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi zawartej w 2016 roku (z późniejszymi aneksami) oraz umowy powierzenia przetwarzania danych osobowych zawartej […] maja 2018 roku, gdzie określono wymogi w zakresie bezpieczeństwa danych osobowych, które ma zastosować Podmiot Przetwarzający, m.in. pseudonimizację i szyfrowanie danych osobowych. Według oceny F. Sp.  wymogi te nie zostały spełnione przez Podmiot Przetwarzający w przypadku wdrożonej modyfikacji w usłudze [...].

W związku z wyjaśnieniami złożonymi przez F. Sp.  w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, pismem z […] maja 2020 r. Prezes UODO zwrócił się do niej o przedstawienie dodatkowych informacji i wskazanie m.in. czy, a jeśli tak, to kiedy i jakie postępowania weryfikacyjne Podmiotu Przetwarzającego, pod kątem spełnienia przez niego wymogów rozporządzenia 2016/679, przeprowadziła przed zawarciem umowy powierzenia przetwarzania danych z tym podmiotem oraz czy poza planowaną kontrolą wszystkich podmiotów przetwarzających, realizowała prawo kontroli, o którym mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679, pod kątem zapewnienia przez P. SP.  środków wymaganych na mocy art. 32 rozporządzenia 2016/679. Prezes UODO zwrócił się również o wyjaśnienie, jak w ocenie F. Sp.  powinna zostać przeprowadzona modyfikacja mająca na celu przyspieszenie wyszukiwania dokumentów w systemie [...].

W odpowiedzi, pismem z […] czerwca 2020 r. F. Sp.  wyjaśniła, że przed zawarciem umowy powierzenia przetwarzania danych osobowych nie przeprowadziła dodatkowej weryfikacji Podmiotu Przetwarzającego. Jak wskazano w wyjaśnieniach, „F. Sp.  współpracuje z P. SP. . Sp. z o.o. od wielu lat i dotychczas nie dochodziło do incydentów bezpieczeństwa. Dodatkowo P. SP.  jest liderem rynkowym w dziedzinie świadczonych usług i reprezentuje wysoki standard w zakresie archiwizacji i digitalizacji. Administrator uznał za wystarczające podpisanie umowy powierzenia przetwarzania danych osobowych wraz z ustaleniami wskazanymi w Załączniku.”

F. Sp.  wskazała również, że dotychczas nie realizowała jeszcze prawa kontroli, o którym mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679, pod kątem zapewnienia przez P. SP.  środków wymaganych na mocy art. 32 rozporządzenia 2016/679. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych, dnia […] maja 2020 r., Administrator wysłał do Podmiotu Przetwarzającego wcześniej przygotowaną ankietę dla podmiotu przetwarzającego stanowiącą pierwszy element procesu weryfikacji podmiotów przetwarzających.

F. Sp.  przedstawiła także wyjaśnienia, jak w jej ocenie powinien wyglądać proces wdrożenia przez podmiot przetwarzający zmian w systemie mających na celu usprawnienie działania usługi [...]. Administrator wskazał, że w jego ocenie zastosowanie konkretnego rozwiązania mającego na celu przyspieszenie wyszukiwania dokumentacji w systemie [...] powinno zostać poprzedzone analizą uwzgledniającą zarówno korzyści, jak i potencjalne zagrożenia wynikające z konkretnego, zaplanowanego rozwiązania. Analizując potencjalne zagrożenia, dostawca usługi powinien przeprowadzić analizę ryzyka wdrożenia takiego rozwiązania i przygotować szczegółowy plan zabezpieczenia wykonywanych operacji. F. Sp.  wskazała, że nie otrzymała wyników analizy ryzyka oraz alternatywnych rozwiązań do wyboru. Jednostronną decyzję o zastosowaniu wdrażanego rozwiązania podjął sam Podmiot Przetwarzający, a ponadto nie przedstawił on żadnej szczegółowej analizy uzasadniającej wybrane rozwiązanie techniczne. Administrator podniósł także, że w dotychczasowej praktyce wprowadzania przez Podmiot Przetwarzający zmian w systemach F. Sp. , zmiany takie wprowadzane były według wcześniej ustalonego planu prac, przetestowane przez F. Sp.  na środowisku testowym i dopiero następnie wdrożone produkcyjnie.

Administrator przedstawił również kopię procedur wdrożonych w P. SP. , na które powoływał się w odpowiedzi z […] maja 2020 r., tj. „Politykę […]”, „Instrukcję […]”, „Analizę […]” oraz „Zasady […]”. Przedstawione zostało również zestawienie przeglądów wewnętrznych wykonanych przez P. SP.  i zewnętrznych, wykonanych w P. SP.  przez jej kontrahentów innych niż F. Sp. , które stanowi załącznik nr 5 do pisma F. Sp.  z […] czerwca 2020 r. oraz raporty z dwóch ostatnich przeglądów bezpieczeństwa i ochrony danych osobowych wykonanych przez P. SP.  przed wystąpieniem naruszenia, które stanowią załącznik nr 6 do ww. pisma Administratora.

W związku z odpowiedzią udzieloną pismem z […] czerwca 2020 r. pismem z […] czerwca 2020 r. Prezes UODO zwrócił się do F. Sp.  o złożenie kolejnych wyjaśnień m.in. w zakresie wskazania, od kiedy Administrator współpracuje z P. SP.  oraz wskazania, czy (a jeśli tak, to kiedy i jakiej treści) Podmiot Przetwarzający, od momentu zawarcia umowy z F. Sp. , w ramach pkt 3.4.3 umowy powierzenia przetwarzania danych z […] maja 2018 r. (załącznik nr 7 do odpowiedzi na wszczęcie postępowania administracyjnego z […] maja 2020 r.), kierował powiadomienia do Administratora o wszelkich zmianach, które mogą mieć wpływ na ochronę lub bezpieczeństwo danych w odniesieniu do danych osobowych przetwarzanych przez F. Sp. . Ponadto, Prezes UODO zwrócił się o przesłanie dodatkowych informacji mających na celu potwierdzenie zarówno liczby, jak i skuteczności dokonanego przez Administratora zawiadomienia o naruszeniu osób, których dane dotyczyły.

Pismem z […] czerwca 2020 r. F. Sp.  złożyła dodatkowe wyjaśnienia dotyczące ustalenia sposobu i liczby osób zawiadomionych o naruszeniu ich danych osobowych. Ponadto Administrator przedstawił treść korespondencji z […] kwietnia 2020 r., w której została zgłoszona potrzeba dokonania zmian w systemie [...] w związku z jego powolnym działaniem.

F. Sp.  wskazała w swych wyjaśnieniach również, że potrzeba dokonania zmian zgłaszana była Podmiotowi Przetwarzającemu wielokrotnie wcześniej, w związku z wolnym działaniem systemu [...]. Administrator wskazał również, że w załączniku nr 2 „[…]” do umowy przechowywania wraz z usługami towarzyszącym z dnia […] lutego 2016 roku, w punkcie 1.3., opisano procedurę wdrażania zmian w systemie. W opisywanym przypadku wspomniana procedura nie została przez P. SP.  zastosowana. Podmiot przetwarzający nie przedstawił Administratorowi koncepcji zmian ani projektów funkcjonalnych i technicznych. Zgodnie z oświadczeniem F. Sp. , gdyby otrzymała ona odpowiednio wcześnie wytyczne od P. SP.  to istniałaby możliwość zareagowania na potencjalne zagrożenie związane z wykorzystaniem konkretnego rozwiązania mającego rozwiązać problem z powolnym działaniem systemu [...].

W związku z faktem, że z dotychczasowych ustaleń dokonanych w toku postępowania wynikało, że w proces przetwarzania danych osobowych objętych naruszeniem ochrony danych osobowych, zgłoszonym przez F. Sp. , zaangażowana jest również P. SP. , Prezes UODO uznał, że postępowanie dotyczy również obowiązków P. SP.  jako podmiotu przetwarzającego, któremu F. Sp.  powierzyła przetwarzanie danych osobowych osób, których dotyczyło naruszenie. Pismem z […] lipca 2020 r. Prezes UODO zawiadomił P. SP.  o uznaniu jej za stronę postępowania, zgodnie z art. 28 k.p.a. wskazując jednocześnie, że postępowanie dotyczy możliwości naruszenia także art. 28 ust. 1 i 3 rozporządzenia 2016/679.

Prezes UODO, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 wezwał P. SP.  do złożenia wyjaśnień i wskazania m.in.:
1. Kto, kiedy i jakie czynności podjęła w celu wdrożenia zmian w systemie informatycznym [...] (instalacja rozwiązania [...]) w odpowiedzi na sygnalizowane przez Administratora problemy dotyczące wydajności tego systemu.
2. Jakie procedury przyjęła P. SP.  dotyczące wprowadzania zmian w systemach informatycznych dostarczanych administratorom danych w odpowiedzi na sygnalizowane przez nich zapotrzebowanie.
3. Czy P. SP.  podjęła działania weryfikacyjne pod kątem bezpieczeństwa środowiska informatycznego, które zostało poddane modyfikacji, jeśli tak, to jakie to były działania i kiedy zostały podjęte, a jeśli nie, to dlaczego.
4. Wskazania, czy, a jeśli tak, to kiedy i w jaki sposób P. SP.  dokonywała regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy, a w szczególności, czy i jakie środki techniczne i organizacyjne zaplanował Podmiot Przetwarzający dla procesu modyfikacji systemu informatycznego [...] oraz czy dokonał oceny skuteczności tych środków.

W odpowiedzi z […] sierpnia 2020 r. P. SP.  wskazała, że jej działania podjęte zostały w związku ze zgłoszeniem F. Sp.  dotyczącym konieczności rozwiązania słabej wydajności repozytorium [...] powodującej wydłużony czas obsługi operacyjnej klientów F. Sp. .

Zgodnie z wyjaśnieniami P. SP. , po przeprowadzeniu wewnętrznej analizy zgłoszenia powstała rekomendacja wraz z propozycją rozwiązania problemu wydajności [...], która została przekazana do F. Sp.  w celu akceptacji. Po otrzymaniu akceptacji ze strony F. Sp.  Dział Rozwoju Systemów IT P. SP.  rozpoczął realizację zmian. Pierwszym etapem realizacji zmian na rzecz F. Sp.  było utworzenie i skonfigurowanie nowego wirtualnego serwera oraz zainstalowanie na nim oprogramowania […]. Jak wskazano w wyjaśnieniach z […] sierpnia 2020 r., zadanie to przekazane zostało osobie o odpowiednich kwalifikacjach, a jednym z technicznych aspektów realizacji zadania było ustanowienie bezpiecznej komunikacji nowego serwera z pozostałymi elementami teleinformatycznymi całego środowiska F. Sp.  w taki sposób, aby transmisja/dostęp do danych posiadała tylko odpowiednia aplikacja. Zgodnie z wyjaśnieniami P. SP. ., po utworzeniu i skonfigurowaniu serwera oraz zainstalowaniu na nim oprogramowania […] przystąpiono do realizacji kolejnego zadania w ramach wdrożenia zmiany dla F. Sp. , tj. rozpoczęto zasilanie danymi klientów F. Sp.  nowoutworzonej bazy działającej w oparciu o rozwiązanie […]. W dniu […] kwietnia 2020 r. F. Sp.  otrzymała informację mailową od Kierownika Działu Projektów i Wdrożeń P. SP.  o przetestowaniu nowej funkcjonalności oraz możliwości dokonania finalnej walidacji przed uruchomieniem produkcyjnym w/w zmian.

W odpowiedzi na pytanie, jakie zostały przyjęte procedury dotyczące wprowadzania zmian w systemach informatycznych dostarczanych administratorom danych w odpowiedzi na sygnalizowane przez nich zapotrzebowanie, P. SP.  wskazała, że podstawowym, a tym samym obowiązującym dokumentem regulującym u niej obszary IT jest „Instrukcja […]”. Natomiast jeśli chodzi wprowadzanie zmian w systemach P. SP.  poszczególne Działy Pionu IT są zobowiązane do ewidencjonowania wszelkich zmian wprowadzanych w systemach w wewnętrznych systemach wspomagania zarządzania projektami i ich kontroli. Główne narzędzia to: a) zarządzanie projektem oraz zmianą […], b) system dokumentowania […], c) system zarządzania repozytorium […]. Jak wskazała P. SP. , w wyżej wymienionych systemach rejestrowane są zadania do wykonania, które następnie są przydzielane do realizacji przez konkretnych inżynierów zatrudnionych przez P. SP. . Dostęp do systemów oraz serwerów, na których te systemy pracują, odbywa się na ogólnych zasadach ujętych w „Instrukcji […]”.

Wyjaśniając, czy podjęte zostały działania weryfikacyjne pod kątem bezpieczeństwa środowiska informatycznego, które zostało poddane modyfikacji, P. SP.  wskazała, że wdrażana zmiana dla F. Sp.  była na etapie kończenia testów – przed finalną walidacją przez F. Sp. , a tym samym przed wdrożeniem na produkcję oraz finalnym wdrożeniem zabezpieczeń systemowych i nowej bazy danych utworzonej w oparciu o rozwiązanie […].

Etap wdrożenia produkcyjnego i zakończenie wdrożenia zabezpieczeń był planowany na okres od […] – […] kwietnia 2020 r. Na moment stwierdzenia naruszenia ochrony danych osobowych klientów F. Sp. , na podstawie informacji przekazanej przez F. Sp.  w dniu […] kwietnia 2020 r., zmiany mające na celu usprawnienie działania systemu [...] były jeszcze w trakcie wdrażania (tj. realizacji etapu synchronizacji podsystemu opartego o rozwiązanie […] z aktualnym środowiskiem [...]), tym samym prace wykonywane przez P. SP.  nie były w pełni zakończone – trwał proces testów i zasilania nowoutworzonej bazy danymi.

Pismem z […] kwietnia 2021 r. stanowiącym odpowiedź na wezwanie Prezesa UODO z dnia […] marca 2021 r. w zakresie wskazania m.in. dowodów na konsultowanie pomiędzy Administratorem a Podmiotem Przetwarzającym wdrożenia zmian w oprogramowaniu, które było przedmiotem naruszenia, P. SP.  wskazała m.in., że F. Sp.  nie konsultowała z P. SP.  wdrożenia zmian w oprogramowaniu. Podmiot Przetwarzający podniósł ponadto, że F. Sp.  zgłosiła problem w działaniu oprogramowania [...] i oczekiwała jego rozwiązania. P. SP.  znając techniczną przyczynę przystąpiła do rozwiązania problemu, a F. Sp.  nie „konsultowało w tym przypadku technicznego sposobu i detali zmian w oprogramowaniu”.

Pismami z […] lipca 2021 r. P. SP.  i F. Sp.  zostały poinformowane, że postępowanie zostało rozszerzone o możliwość naruszenia przez F. Sp. , jako administratora danych, obowiązków wynikających z przepisów art. 28 ust. 1 i art. 28 ust. 3 rozporządzenia 2016/679.

Pismem z […] września 2021 r. F. Sp.  uzupełniła przedstawione wcześniej materiały o dodatkowe wyjaśnienia, zgodnie z którymi zleciła podmiotowi zewnętrznemu analizę „incydentu” oraz przedstawienie rekomendacji w celu zminimalizowania ryzyka powtórnego wystąpienia incydentu o podobnym charakterze. Zgodnie z wyjaśnieniami F. Sp.  przedstawionymi w ww. piśmie z […] września 2021 r., na podstawie przedstawionych rekomendacji dokonano modyfikacji zarówno w infrastrukturze technicznej, jak i wprowadzono dodatkowe elementy akceptacji i potwierdzania prowadzonych „prac modernizacyjnych w środowisku produkcyjnym aplikacji”. Do pisma dołączono również raport z monitoringu wycieku danych prowadzonego za okres od […] czerwca 2020 r. do […] sierpnia 2020 r., zgodnie z którym w sieci Internet oraz Darknet nie pojawiły się dane dotyczące klientów F. Sp. , których poufność została naruszona w wyniku zdarzenia z […] kwietnia 2020 r.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Zgodnie z brzmieniem art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny proporcjonalności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże. Jednocześnie wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych – zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Wdrożenie środków technicznych i organizacyjnych powinno polegać na implementowaniu przez administratora odpowiednich przepisów, zasad przetwarzania danych osobowych w danej organizacji, ale także na dokonywaniu regularnych przeglądów tych środków, a w razie potrzeby na uaktualnianiu uprzednio przyjętych zabezpieczeń. Zasadę integralności i poufności, wyrażoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, oprócz przywołanego wyżej art. 24 ust. 1 rozporządzenia 2016/679, konkretyzują także i inne przepisy tego aktu prawnego, tj. art. 25 ust. 1 i art. 32 ust. 1 i 2.

Zgodnie z treścią art. 25 ust. 1 rozporządzenia 2016/679 uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, zgodnie z lit. b) i d) tego artykułu, powinny obejmować środki takie, jak zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Art. 32 ust. 2 rozporządzenia 2016/679 stanowi, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Wskazać należy, że podstawowym środkiem bezpieczeństwa mającym na celu ochronę przed nieuprawnionym dostępem do danych osobowych jest ustanowienie odpowiednich zabezpieczeń baz danych i systemów informatycznych wykorzystywanych do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na który wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06. Jak wynika z art. 32 ust. 1 rozporządzenia 2016/679, jednym z czynników, jakie należy brać pod uwagę przy doborze właściwych środków technicznych i organizacyjnych, jest stan wiedzy technicznej, który powinno się oceniać z uwzględnieniem warunków rynkowych, w szczególności dostępności i akceptowalności rynkowej danego rozwiązania technicznego. Wskazówek konkretyzujących w tym przedmiocie dostarczają obowiązujące standardy i normy, w szczególności normy ISO, które ulegają również ciągłym przeglądom i zmianom warunkowanym postępem technologicznym.

Zgodnie z normą PN-EN ISO/IEC 27002:2017-06 zaleca się unikania stosowania danych zawierających dane identyfikujące osobę lub inne poufne dane w charakterze danych testowych. Jeżeli dane identyfikujące osobę są wykorzystywane podczas testów, zaleca się ochronienie wszystkich wrażliwych szczegółów i kontekstu poprzez ich usuniecie lub modyfikację. Ww. norma dopuszcza możliwość wykorzystania danych rzeczywistych do celów testowych, niemniej dane te powinny podlegać szczególnej ochronie. Przede wszystkim w przypadku gdy do celów testowych wykorzystywane są dane rzeczywiste, w testowanych aplikacjach powinny być zastosowane takie same procedury kontroli dostępu, jak te stosowane w systemach produkcyjnych.  

Art. 32 ust. 1 lit. a) rozporządzenia 2016/679 wskazuje na pseudonimizację danych osobowych jako mechanizm, który może zagwarantować odpowiedni poziom bezpieczeństwa danych, zaś z motywu 29 rozporządzenia 2016/679 wynika, że pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Zaznaczono jednocześnie, że wprowadzenie pseudonimizacji nie służy wykluczeniu innych środków ochrony danych. Wskazać także należy, że pseudonimizację wymienia również art. 25 ust. 1 rozporządzenia 2016/679, z którego wynika dla administratora danych obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zarówno na etapie określania sposobów przetwarzania, jak i w czasie samego przetwarzania. Zarówno zatem rozporządzenie 2016/679, jak i dobre praktyki określone w normach ISO, wskazują administratorom i podmiotom przetwarzającym możliwe rozwiązania, jakie mogą być zastosowane przez nich w trakcie dokonywania zmian w systemach informatycznych, w których przetwarzane są dane osobowe. Należy podkreślić, że pseudonimizacja danych jest skutecznym środkiem bezpieczeństwa w celu zapewnienia poufności danych. Osoba nieuprawniona, która weszła w posiadanie poddanych pseudonimizacji danych np. w wyniku wystąpienia naruszenia ochrony danych osobowych, nie jest w stanie bowiem ich przypisać do konkretnej osoby bez dysponowania dodatkowymi informacjami o tej osobie. Z tego rozwiązania ani Administrator ani Podmiot Przetwarzający jednak nie skorzystali decydując się, w ramach wprowadzania zmian w usłudze [...], na zasilenie nowoutworzonej bazy opartej o rozwiązanie […] rzeczywistymi danymi osobowymi klientów F. Sp. , co w połączeniu z brakiem zastosowania innych skutecznych zabezpieczeń, o czym niżej, doprowadziło do wystąpienia naruszenia ochrony danych osobowych, w wyniku którego doszło do naruszenia poufności danych ponad 95 tys. osób.

P. SP.  w złożonych wyjaśnieniach wskazała, że „każdy powoływany do życia system bazujący na […], na których budowane są rozwiązania P. SP. , jest poddawany w procesie wdrożenia tzw. „utwardzaniu”, polegającemu m.in. na implementowaniu […]. Systemy P. SP.  Sp. z o.o. są monitorowane 24h/7 za pomocą narzędzi do monitoringu hostów i sieci. (…). Maszyna z aplikacją […] była w trakcie wdrożenia, więc nie wszystkie ww. funkcjonalności zostały zaimplementowane na moment zdarzenia”. Jak wskazała P. SP.  w wyjaśnieniach z […] sierpnia 2020 r., na moment stwierdzenia naruszenia ochrony danych osobowych klientów F. Sp. , na podstawie przekazanej przez niego informacji w dniu […] kwietnia 2020 r., zmiany mające na celu poprawę działania systemu [...] były jeszcze w trakcie wdrażania (tj. realizacji etapu synchronizacji), tym samym prace wykonywane przez P. SP.  nie były w pełni zakończone – trwał proces testów i zasilania bazy danymi.

 P. SP.  w wyjaśnieniach z […] sierpnia 2020 r. poinformowała ponadto, że zlecenie utworzenia serwera dla bazy działającej w oparciu o rozwiązanie […] przekazane zostało osobie o odpowiednich kwalifikacjach, w zleceniu wskazano również, że realizacja postulatu zabezpieczenia transmisji jest wykonywana przez odpowiednią konfigurację […], co zostało także wskazane w treści zlecenia wewnętrznego (załącznik nr 4 do ww. wyjaśnień P. SP. ). Analiza treści wskazanego zlecenia nie potwierdza jednak wyjaśnień P. SP. .. Przedstawiona dokumentacja nie zawiera dowodu na to, że została zlecona konfiguracja […]. Jest to tylko zlecenie utworzenia wirtualnego serwera z aplikacją […]. Zlecenie nie zawiera wprost zobowiązania do skonfigurowania  […]. P. SP.  nie przedstawiła też dowodów na to, że sprawdziła poprawność wykonania zlecenia. Sprawdzenie wykonania tego zlecenia nie było również weryfikowane przez Administratora. Zaznaczyć należy, że jako przyczynę zaistnienia naruszenia ochrony danych osobowych, P. SP.  wskazała na błąd w pierwotnej konfiguracji nowego serwera polegający na […].

Jak wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06, funkcje bezpieczeństwa należy testować w czasie prac rozwojowych. W stanie faktycznym przedmiotowej sprawy P. SP.  otrzymała zgłoszenie nieprawidłowego (powolnego) działania systemu [...]. W związku z ww. zgłoszeniem rozpoczęła pracę nad wdrożeniem zmian. Powierzyła utworzenie nowego serwera działającego w oparciu o rozwiązanie […] jednej osobie, a następnie rozpoczęła zasilanie bazy danych rzeczywistymi danymi klientów F. Sp. . Pomimo tego, że nowoutworzona baza danych zasilona została rzeczywistymi danymi osobowymi, na etapie prac rozwojowych P. SP.  nie przetestowała funkcji bezpieczeństwa, co w konsekwencji doprowadziło do naruszenia poufności danych osobowych ponad 95 tysięcy klientów Administratora, w przypadku których, z uwagi na zakres ujawnionych danych, ryzyko naruszenia praw lub wolności osób fizycznych w związku z naruszeniem ochrony danych osobowych było wysokie.

Wyjaśniając w toku postępowania, jakie funkcjonują procedury dotyczące wprowadzania zmian w systemach informatycznych dostarczanych administratorom danych w odpowiedzi na sygnalizowane przez nich zapotrzebowanie, P. SP.  wskazała, że posiada określone polityki oraz procedury dotyczące działań w ramach wprowadzania zmian w systemach informatycznych, zaś podstawowym dokumentami w tym zakresie są: „Instrukcja […]”, „Polityka […]”, „Zasady […]” oraz „Zasady […]”. W przypadku zmian w systemach, zgodnie z wyjaśnieniami P. SP. , poszczególne działy pionu IT są zobowiązane do ewidencjonowania wszelkich zmian wprowadzanych w systemach w wewnętrznych systemach wspomagania zarządzania projektami i ich kontroli. Główne narzędzia to: a) system zarządzania projektem oraz zmianą […], b) system dokumentowania […], c) system zarządzania repozytorium […]. Zlecenie na rzecz F. Sp.  zostało zgłoszone w systemie […], na dowód czego P. SP.  przedstawiła odpowiednie wydruki z tego systemu. Analiza „Instrukcji […]”, jak i „Polityki […]” wykazała, że dokumenty te nie zawierają jednak szczegółowych zapisów dotyczących sposobu dokonywania zmian w systemach informatycznych służących do przetwarzania danych osobowych, np. konieczności utworzenia środowiska testowego, czy odpowiedniego zabezpieczenia rzeczywistych danych klientów administratora, w przypadku ich wykorzystania do testowania wprowadzanych zmian, czy też zasad kontroli poprawności realizacji poszczególnych etapów projektu. Natomiast przedstawione wydruki z systemu […] są w rzeczywistości zleceniami wykonania poszczególnych czynności. Na ich podstawie niemożliwe jest potwierdzenie, że wdrażane zmiany realizowane były według określonych z góry zasad zapewniających bezpieczeństwo danych osobowych. W ocenie Prezesa UODO, ewidencjonowanie realizowanych na rzecz kontrahentów Podmiotu Przetwarzającego prac w wewnętrznych systemach wspomagania zarządzania projektami nie może być uznane za wystarczający środek zapewniający bezpieczeństwo przetwarzania danych osobowych, gdyż poszczególne etapy realizacji zmian nie są wystarczająco udokumentowane. Prowadzić to może do dowolności wyboru stosowanych rozwiązań, czy, jak w przedmiotowej sprawie, nie zdefiniowania wszystkich wymaganych zabezpieczeń, co w konsekwencji doprowadziło do naruszenia ochrony danych osobowych. W treści powoływanej przez P. SP.  „Polityki […]” wskazano jednak, że „jako wymagania uzupełniające zastosowanie mają opracowania normatywne: a. ISO/IEC 27001 - Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji – Wymagania, b. ISO/IEC 27002 - Technika informatyczna -- Techniki bezpieczeństwa”. W związku z powyższym, w przypadku braku szczegółowych zapisów w wewnętrznych procedurach P. SP.  dotyczących sposobu przeprowadzania zmian w systemach informatycznych, zmiany te dokonywane powinny być zgodnie z dobrymi praktykami określonymi w ww. normach ISO, co, jak zostało wyżej wykazane, nie zostało przeprowadzone w przypadku dokonywania zmian w systemie [...], prowadząc w konsekwencji do umożliwienia nieuprawnionym podmiotom pobrania danych osobowych, których administratorem jest F. Sp. .

W stanie faktycznym przedmiotowej sprawy do naruszenia ochrony danych osobowych (wycieku danych) doszło w wyniku błędu jednego pracownika Podmiotu Przetwarzającego posiadającego według niego odpowiednie kwalifikacje do wykonania tego zadania, który konfigurując nowy serwer działający w oparciu o rozwiązanie […], nie […], w konsekwencji czego nie został zapewniony bezpieczny kanał komunikacji pomiędzy serwerami środowiska F. Sp. , wykorzystywanymi do przetwarzania danych osobowych.

W ocenie Prezesa UODO zastosowane przez P. SP.  środki techniczne i organizacyjne jedynie w bardzo ograniczonym stopniu odpowiadały wymogom określonym w art. 32 ust. 1 i 2 rozporządzenia 2016/679. Poszczególne etapy realizacji zmian dla zgłoszonego przez F. Sp.  problemu z wydajnością usługi [...] nie odbywały się na podstawie ściśle określonych procedur. W trakcie procesu dokonywania zmian w systemie użyte zostały rzeczywiste dane osobowe klientów Administratora, a skuteczność zastosowanych zabezpieczeń nie została zweryfikowana przed przekazaniem do F. Sp.  zmian w ww. systemie mających rozwiązać problem z jego wydajnością. Funkcje bezpieczeństwa nie były bowiem testowane w trakcie prowadzonych w tym celu prac. Naruszając w ww. zakresie obowiązki wynikające z art. 32 ust. 1 i 2 rozporządzenia 2016/679 oraz działając niezgodnie z ww. normami ISO, P. SP.  działała jednocześnie wbrew postanowieniom własnej „Polityki […]”, która do tych norm się odwołuje. P. SP.  działała również wbrew umowie powierzenia przetwarzania danych osobowych, w której zobowiązała się m.in. do wdrożenia pseudonimizacji danych. Określając bowiem środki bezpieczeństwa, jakie zastosuje w celu ochrony danych osobowych, P. SP.  pominęła w szczególności wynikający z ww. przepisu rozporządzenia 2016/679 obowiązek uwzględnienia przy ich określaniu stanu wiedzy technicznej. Jak wskazuje doktryna „Konieczność uwzględnienia stanu wiedzy technicznej może być rozumiana jako potrzeba zastosowania środków, które odzwierciedlają aktualne standardy zabezpieczeń. Wymóg ten może być odczytywany jako potrzeba stosowania rozwiązań uznawanych obecnie za skuteczne, natomiast niestosowania rozwiązań przestarzałych, ocenianych powszechnie jako niezapewniające bezpieczeństwa” (Fajgielski Paweł, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz). Nie ulega wątpliwości, że aktualne standardy bezpieczeństwa wyznaczają m.in. normy ISO. W konsekwencji należy uznać, że P. SP.  nie zastosowała odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych klientów Administratora, w szczególności wobec użycia rzeczywistych danych ww. osób na potrzeby dokonania zmian w systemie [...] bez poddania ich pseudonimizacji i wbrew zasadom wynikającym z norm ISO, do których w swojej wewnętrznej dokumentacji dotyczącej ochrony danych osobowych się odwołuje.

Podmiot przetwarzający nie realizując wymogów określonych przepisami art. 32 ust. 1 i 2 rozporządzenia 2016/679, co już wyżej zostało wykazane, nie podejmował jednocześnie działań wynikających z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679, stosownie do których podmiot przetwarzający podejmuje wszelkie środki wymagane na mocy art. 32 oraz uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36.  

Z materiału zebranego w toku przeprowadzonego postępowania administracyjnego wynika, co należy ponownie przytoczyć, iż Podmiot Przetwarzający rozpoczął swoje działania w wyniku zgłoszenia Administratora dotyczącego powolnego działania archiwum cyfrowego. Po przeprowadzeniu wewnętrznej analizy zwiększenia wydajności działania systemu zlecił utworzenie nowego serwera dla bazy danych działającej w oparciu o rozwiązanie […] dla F. Sp. . Po utworzeniu wskazanego rozwiązania nie zweryfikował, czy wykonana została odpowiednia konfiguracja […], co miało zapewnić zabezpieczenie transmisji danych nowego serwera z pozostałymi elementami teleinformatycznymi całego środowiska F. Sp.  wykorzystywanego do przetwarzania danych osobowych. Następnie zasilił rzeczywistymi danymi osobowymi klientów Administratora nowoutworzoną bazę danych. W związku z tym, że realizowana dla F. Sp.  zmiana była w trakcie wdrożenia, nie wszystkie stosowane przez podmiot przetwarzający zabezpieczenia mające na celu zapewnienie bezpieczeństwa przewarzania danych zostały zaimplementowane na moment zdarzenia powodującego naruszenie ochrony danych osobowych. Nie ulega zatem wątpliwości, że Podmiot Przetwarzający nie dochował należytej staranności w swoim postępowaniu w tym zakresie, co w konsekwencji świadczy o tym, że realizując zlecenie na rzecz F. Sp.  nie podejmował wszelkich środków wymaganych na mocy art. 32 rozporządzenia 2016/679 oraz nie pomógł Administratorowi wywiązać się z obowiązku określonego w tym przepisie.

Administrator w ramach stosowanych środków bezpieczeństwa z kolei wskazuje na łączącą go z P. SP.  umowę przechowywania wraz z usługami towarzyszącym z dnia […] lutego 2016 roku, gdzie zgodnie z jego wyjaśnieniami, w załączniku nr 2 „[…]” do ww. umowy, w punkcie 1.3., opisano procedurę wdrażania zmian w systemie. Jednocześnie Administrator podniósł, że w przedmiotowej sprawie procedura nie została przez P. SP.  zastosowana. Podmiot Przetwarzający nie przedstawił Administratorowi koncepcji zmian ani projektów funkcjonalnych i technicznych. Wskazać jednak należy, że zgodnie z powoływanym przez F. Sp.  pkt 1.3 załącznika nr 2 do umowy, opracowanie ww. dokumentacji dotyczącej zmian w systemach wykonywane jest przez Podmiot Przetwarzający na życzenie Administratora. Administrator jednak nie przedstawił dokumentacji, z której wynikałoby, że wymagał od Podmiotu Przetwarzającego przedstawienia takiej dokumentacji w związku z wprowadzanymi zmianami w usłudze [...], w wyniku których doszło do naruszenia ochrony danych osobowych. F. Sp.  wskazała dodatkowo, że praktyka obszaru IT Administratora (oparta o […]), dla wprowadzanych wdrożeń zakłada konieczność zaangażowania w takie konsultacje także inżyniera systemowego aplikacji, który propozycje akceptuje w ramach swoich uprawnień albo kieruje do sprawdzenia do odpowiednich wewnętrznych służb IT. Jak wskazała F. Sp.  w swych wyjaśnieniach, przynajmniej dla zabezpieczenia interesów Administratora i Podmiotu Przetwarzającego powinno się zatwierdzić plan prac, przedstawiony w ramach wdrożenia, a następnie postępować według niego doprowadzając do zatwierdzenia testów akceptacyjnych. Dopiero po ich zatwierdzeniu przez inżyniera systemowego, jakakolwiek modyfikacja może być wprowadzana produkcyjnie, a tym samym udostępniona dla pracowników Administratora.

Podkreślić należy, że Administrator pomimo posiadanych procedur oraz posiadanej wiedzy, jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wdrożenie zmian w systemach informatycznych, na żadnym etapie wdrożenia nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami, umową powierzenia przetwarzania danych osobowych czy też umową przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi. Z przedstawionej dokumentacji wynika, że Administrator w dniu […] kwietnia 2020 r. zgłosił do Podmiotu Przetwarzającego potrzebę poprawienia działania archiwum cyfrowego [...]. Po otrzymaniu w dniu […] kwietnia 2020 r. informacji o wdrożeniu nowego rozwiązania, Administrator poinformował, że aktualnie system działa prawidłowo, a ewentualne uwagi zostaną przekazane do P. SP.  po „dłuższym testowaniu”.

Odpowiadając na zapytanie Prezesa UODO dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, których naruszenie dotyczy, F. Sp.  wskazała, że „mając na względzie przyczynę i charakter incydentu, zdaniem Administratora, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, nie zapobiegłoby naruszeniu, które miało miejsce i było wynikiem wdrożenia jednorazowej modyfikacji”.

Podkreślić należy, że z art. 32 ust. 1 lit. d) rozporządzenia 2016/679 wynika obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań są także wymogiem sformułowanym wprost w art. 24 ust. 1 rozporządzenia 2016/679, a także wynikającym z art. 25 ust. 1 rozporządzenia 2016/679, kreującego obowiązek zapewnienia ochrony prywatności w fazie projektowania (privacy by design) i nakładającego na administratora zobowiązanie do wdrożenia odpowiednich środków technicznych zarówno w fazie określania sposobów przetwarzania, jak i w fazie samego przetwarzania. Wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. W konsekwencji, nie można zgodzić się ze stwierdzeniem F. Sp. , że testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, nie zapobiegłoby naruszeniu w tym przypadku, ponieważ takiej ocenie powinny podlegać nie tylko środki techniczne, ale również organizacyjne, czyli wdrożone przez Administratora procedury dotyczące przetwarzania danych osobowych, w tym procedury dokonywania zmian w systemach informatycznych wykorzystywanych do przetwarzania danych osobowych. Regularna ocena ww. procedury, stosownie do wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, pozwoliłaby Administratorowi na weryfikację, czy taka procedura jest skuteczna, tzn. czy zapewnia, że podejmowane są właściwe działania w celu zapewnienia ochrony danych osobowych w trakcie procesu dokonywania zmian w systemie informatycznym, czy jest w ogóle przestrzegana przez osoby odpowiedzialne za przeprowadzenie tych zmian, a także wychwycić ewentualne w niej braki. Należy jeszcze raz podkreślić, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych, w tym stosowanych procedur, służy także zapewnieniu realizacji obowiązku Administratora, o którym mowa w art. 25 ust. 1 rozporządzenia 2016/679, tj. zapewnieniu, aby ochrona danych osobowych była uwzględniana m.in. w fazie projektowania, co odnosi się również do wszelkich zmian dokonywanych w systemach informatycznych służących do przetwarzania danych osobowych.

W stanie faktycznym przedmiotowej sprawy, w ocenie Prezesa UODO, weryfikacja przez Administratora sposobu realizacji przez Podmiot Przetwarzający zmian mających na celu usprawnienie działania systemu przetwarzającego dane osobowe ([...]), zgodnie z przyjętą przez F. Sp.  procedurą, znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych przetwarzanych w tym systemie, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych, których dane są przez F. Sp.  przetwarzane, gdyż do naruszenia ochrony danych osobowych doszło w wyniku prostego błędu polegającego na niezastosowaniu podstawowego środka bezpieczeństwa, jakim jest ustanowienie […] dla zapewnienia bezpiecznej komunikacji, co powinno zostać przetestowane i wykryte w toku procesu wdrażania zmian w systemie informatycznym przetwarzającym dane osobowe. Zastosowanie się przez Administratora do tej procedury pozwoliłoby mu niewątpliwie także stwierdzić, że w procesie dokonywania zmian w systemie [...] użyte zostały przez P. SP.  rzeczywiste dane osobowe klientów F. Sp.  (bez poddania ich pseudonimizacji), co wobec niezastosowania innych skutecznych środków bezpieczeństwa, o czym wyżej mowa, oznaczać może wysokie ryzyko naruszenia praw lub wolności tych osób w przypadku wystąpienia naruszenia ochrony danych osobowych (które w rzeczywistości miało miejsce). Efektem powyższego był brak działań F. Sp.  w celu zapewnienia bezpieczeństwa danych osobowych swoich klientów, do czego była zobowiązana zgodnie z wyżej przywołanymi przepisami rozporządzenia 2016/679, jako administrator tych danych. Podkreślić również należy, że z realizacji tych obowiązków nie zwalnia F. Sp.  fakt korzystania z usług podmiotu przetwarzającego. Obowiązki w tym zakresie spoczywają bowiem przede wszystkim na administratorze danych. Analizując działania, a właściwe brak działań Administratora w tym zakresie, można wysnuć wniosek, że ważniejsze było dla niego jak najszybsze zwiększenie wydajności systemu [...], niż zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych przetwarzanych przy użyciu tego systemu.

Podkreślić należy, że Administrator w toku postępowania wskazał, iż w dotychczasowej praktyce wprowadzania przez Podmiot Przetwarzający zmian w systemach F. Sp. , zmiany takie wprowadzane były według wcześniej ustalonego planu prac, przetestowane przez F. Sp.  na środowisku testowym i dopiero następnie wdrożone produkcyjnie. W łączącej strony umowie przechowywania wraz z usługami towarzyszącym z dnia […] lutego 2016 r. Administrator zapewnił sobie również możliwość żądania w trakcie dokonywania zmian w systemach informatycznych, przedstawienia przez Podmiot Przetwarzający koncepcji tych zmian oraz projektów funkcjonalnych i technicznych. W przypadku dokonywania zmian w systemie, które doprowadziły do naruszenia będącego przedmiotem postępowania, Administrator poprzestał jednak tylko na zgłoszeniu Podmiotowi Przetwarzającemu potrzeby dokonania modyfikacji, nie żądając jednocześnie przedstawienia jakichkolwiek projektów tych zmian ani nie podejmując jakichkolwiek działań w zakresie zweryfikowania, czy w procesie dokonywania zmian w systemie zapewnione zostało bezpieczeństwo przetwarzania danych osobowych swoich klientów.

Zebrany w sprawie materiał również potwierdza, że przed wszczęciem postępowania administracyjnego Administrator nie przeprowadzał w podmiocie przetwarzającym audytów, w tym inspekcji, w celu sprawdzenia, czy P. SP.  w sposób prawidłowy realizuje swoje obowiązki wynikające z rozporządzenia 2016/679. Możliwość przeprowadzenia takich audytów, w tym inspekcji, wynika z art. 28 ust. 3 lit. h) rozporządzenia 2016/679, stosownie do którego, umowa powierzenia przetwarzania danych osobowych ma stanowić, że podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Przepis ten daje zatem administratorowi pewne narzędzia, korzystanie z których może zapewnić, że proces przetwarzania danych podlegających powierzeniu będzie zgodny z przepisami rozporządzenia 2016/679, a administrator uniknie odpowiedzialności za ich naruszenie. Podkreślić należy, że przeprowadzanie przez administratora w podmiocie przetwarzającym audytów, w tym inspekcji, należy traktować jako jeden z istotniejszych  środków bezpieczeństwa, jakie powinien zastosować administrator w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 rozporządzenia 2016/679. Administrator powinien bowiem w czasie korzystania przez niego z usług podmiotu przetwarzającego dysponować wiedzą, czy i w jaki sposób podmiot, któremu powierzył przetwarzanie danych osobowych, spełnia wymogi określone w rozporządzeniu 2016/679. Nie ulega wątpliwości, że najskuteczniejszym sposobem zapewnienia sobie tej wiedzy przez administratora jest dokonywanie w podmiocie przetwarzającym stosownych audytów, w tym inspekcji. Takich środków bezpieczeństwa F. Sp.  jednak nie zastosowała, co w konsekwencji przyczyniło się do wystąpienia naruszenia ochrony danych osobowych. Co więcej, stosowanie ww. środków jest powiązane z obowiązkiem administratora danych wynikającym z art. 28 ust. 1 rozporządzenia 2016/679, co oznacza, iż jego wykonanie ma także potwierdzić, czy podmiot przetwarzający w dalszym ciągu daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą.

Brak realizacji audytów, w tym inspekcji, w podmiocie przetwarzającym oznacza również naruszenie przepisu art. 25 ust. 1 rozporządzenia 2016/679. Przepis ten obliguje do wdrażania odpowiednich środków technicznych i organizacyjnych, nie tylko przy określaniu sposobów przetwarzania, ale także w czasie samego przetwarzania. Ciągłość wpisana w analizowany obowiązek może więc w praktyce przejawiać się m.in. w konieczności zapewnienia regularnego monitoringu zastosowanych zabezpieczeń oraz prowadzenia stałego nadzoru nad podmiotem przetwarzającym poprzez np. audyty i inspekcje, o których mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679.

W ocenie Prezesa UODO zastosowane przez F. Sp.  środki techniczne i organizacyjne jedynie w bardzo ograniczonym stopniu odpowiadały wymogom określonym w art. 32 rozporządzenia 2016/679,  w związku z faktem, że F. Sp.  nie egzekwowała od P. SP.  realizacji postanowień łączących ich umów, nie stosowała się do własnej praktyki wdrażania zmian w środowisku IT opartej o wewnętrzne regulacje oraz nie weryfikowała Podmiotu Przetwarzającego w zakresie prowadzonych działań mających na celu usprawnienie funkcjonowania usługi [...]. Należy bowiem podkreślić, że zapewnienie przez administratora danych nadzoru i monitorowania prac rozwojowych nad systemami, zleconych podmiotom zewnętrznym, to jeden z podstawowych środków organizacyjnych, jaki powinien administrator skutecznie wdrożyć w celu zapewnienia bezpieczeństwa danych osobowych zgodnie z wymogami wynikającymi z rozporządzenia 2016/679, w szczególności wówczas gdy w tych pracach wykorzystywane są zamiast danych testowych (fikcyjnych) rzeczywiste dane osobowe jego klientów (bez poddania ich pseudonimizacji) oraz  wzorcowy element bezpieczeństwa, na który wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06. W konsekwencji niestosowania przez F. Sp.  powyższych zasad, możliwe do przewidzenia ryzyka nie zostały odpowiednio zminimalizowane i ograniczone w czasie przetwarzania. Należy uznać, że stosowanie odpowiednich standardów bezpieczeństwa w zakresie wprowadzania zmian w systemach informatycznych służących do przetwarzania danych osobowych, w tym ich weryfikacja pod kątem bezpieczeństwa, a w szczególności spełniania wymogów wynikających z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, a także skuteczna weryfikacja działań Podmiotu Przetwarzającego w tym zakresie, znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych osobowych klientów Administratora, a tym samym zminimalizowałoby ryzyko naruszenia praw lub wolności osób fizycznych, których dane są przez Administratora przetwarzane, czyli udostępnienia danych nieuprawnionym odbiorcom.

W tym miejscu należy przywołać wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, w którym Sąd wskazał, że „Przyjęte środki mają mieć charakter skuteczny (…)” oraz „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych.”, a także wyrok tego sądu z 19 stycznia 2021 r., sygn. II SA/Wa 702/20, że „Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679)”.

Dokonane ustalenia nie dają zatem podstawy do stwierdzenia, że stosowane przez Administratora i Podmiot Przetwarzający środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych. W konsekwencji, w ocenie Prezesa UODO, zarówno F. Sp. , jak i P. SP. , nie wdrożyły odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się w systemie informatycznym podlegającemu modyfikacjom, co stanowi naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679.  

Wskazać ponadto należy, że obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi niniejszego rozporządzenia, zostały nałożone na administratora danych (i tylko na administratora danych) przepisami art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679. Wobec braku zastosowania przez F. Sp.  adekwatnych środków bezpieczeństwa, o czym wyżej mowa, uznać należy, iż Administrator naruszył także i te przepisy rozporządzenia 2016/679. Konsekwencją zaś ich naruszenia jest konieczność stwierdzenia, że naruszona została również zasada poufności wyrażona w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. W myśl art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane powinny być „przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”. Podkreślić należy, że prawidłowe i skuteczne zabezpieczenie danych podniesione zostało w rozporządzeniu 2016/679 do rangi ogólnej zasady, co świadczy o tym, że kwestia zapewnienia poufności danych powinna być traktowana w sposób szczególny i priorytetowy przez administratora danych. Tymczasem, jak już wykazano w uzasadnieniu niniejszej decyzji zarówno F. Sp. , jak i P. SP. , nie wdrożyły odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, co doprowadziło do naruszenia przez F. Sp.  ich poufności w związku z wystąpieniem naruszenia ochrony danych osobowych, czyli naruszenia zasady, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.

Zgodnie z art. 28 ust. 1 rozporządzenia 2016/679, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

W przedmiotowej sprawie Administrator wskazał, że przed zawarciem umowy powierzenia przetwarzania danych nie przeprowadził weryfikacji Podmiotu Przetwarzającego. F. Sp.  współpracuje bowiem z P. SP.  od wielu lat i dotychczas nie dochodziło do incydentów bezpieczeństwa. Dodatkowo, jak wskazał Administrator,  P. SP.  jest liderem rynkowym w dziedzinie świadczonych usług i reprezentuje wysoki standard w zakresie archiwizacji i digitalizacji. Administrator uznał wobec powyższego za wystarczające podpisanie umowy powierzenia przetwarzania danych osobowych wraz z ustaleniami wskazanymi w załączniku do tej umowy.

Przed wszczęciem przedmiotowego postępowania administracyjnego Administrator nie realizował również prawa kontroli, o którym mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679, pod kątem zapewnienia przez P. SP.  środków wymaganych na mocy art. 32 rozporządzenia 2016/679. Dopiero po stwierdzeniu naruszenia bezpieczeństwa danych osobowych i po wszczęciu powstępowania administracyjnego w przedmiotowej sprawie Administrator wysłał do Podmiotu Przetwarzającego ankietę dla podmiotu przetwarzającego stanowiącą pierwszy element procesu weryfikacji podmiotów przetwarzających.

W stanie faktycznym przedmiotowej sprawy wskazać należy, że skoro przetwarzanie ma być dokonywane w imieniu administratora, to zgodnie z brzmieniem art. 28 ust. 1 rozporządzenia 2016/679, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Długotrwała współpraca stron, nie poparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji nie gwarantuje, iż podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia. Dotychczasowa, pozytywnie oceniana współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Wymóg określony art. 28 ust. 1 rozporządzenia 2016/679 bezwzględnie obowiązuje bowiem każdego administratora danych, który w ramach prowadzonej działalności korzysta z zasobów lub usług podmiotu przetwarzającego podczas przetwarzania danych osobowych. Samo podpisanie umowy powierzenia przetwarzania danych osobowych bez dokonania odpowiedniej oceny podmiotu przetwarzającego nie może być uznane jako realizacja obowiązku przeprowadzenia postępowania weryfikującego podmiot przetwarzający pod kątem spełnienia przez niego wymogów rozporządzenia 2016/679. Z obowiązku przeprowadzenia takiej oceny nie zwalnia również fakt wieloletniej współpracy i korzystania z usług danego podmiotu przetwarzającego przed dniem 25 maja 2018 r., tj. przed rozpoczęciem stosowania rozporządzenia 2016/679.

W przedmiotowej sprawie Administrator takiej weryfikacji nie przeprowadził, poprzestał jedynie na pozytywnej ocenie podmiotu przetwarzającego, będącej efektem dotychczasowej współpracy, podczas której, jak wyjaśnił, nie dochodziło do incydentów bezpieczeństwa. Konsekwencją braku dokonania tej oceny jest jednak naruszenie przez F. Sp.  wymogu określonego w art. 28 ust. 1 rozporządzenia 2016/679.

Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości.

Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a-h oraz lit. j tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora oraz na Podmiot Przetwarzający administracyjnych kar pieniężnych.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 –39 oraz 42 i 43  podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących  podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

W niniejszej sprawie administracyjna kara pieniężna wobec F. Sp.  nałożona została za naruszenie art. 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie kara w wysokości stanowiącej równowartość 1 080 tys. EUR nałożona na F. Sp.  łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Administracyjna kara pieniężna nałożona na P. SP.  za naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679 znajduje podstawę w art. 83 ust. 4 lit. a) rozporządzenia 2016/679.

Decydując o nałożeniu na F. Sp.  administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:

1. Charakter i waga  naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Przy wymierzaniu kary istotne znaczenie miała okoliczność, że naruszenie przepisów rozporządzenia 2016/679, nakładających na administratora obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie poufności danych ponad 95 tys. klientów Administratora. Stwierdzone w niniejszej sprawie naruszenie ochrony danych osobowych, polegające na umożliwieniu osobom nieuprawnionym dostępu do danych osobowych, ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Ponadto należy wziąć pod uwagę ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem, dużej liczby podmiotów danych, a także dużą skalę i profesjonalny charakter przetwarzania danych. Podkreślić należy, że w stosunku do osób, których dane zostały naruszone w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoby nieuprawnione podjęły działania skutkujące wystąpieniem przedmiotowego naruszenia ochrony danych osobowych. Osoby, których dane dotyczą, mogą więc w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.

2. Stopień odpowiedzialności F. Sp.  z uwzględnieniem wdrożonych środków technicznych  i organizacyjnych (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Ustalenia dokonane przez Prezesa UODO pozwalają na stwierdzenie, że Administrator pomimo zawartej umowy z Podmiotem Przetwarzającym, przyjęcia odpowiednich wewnętrznych regulacji oraz wiedzy w zakresie sposobu realizacji zmian w systemach informatycznych, nie realizował swoich obowiązków w zakresie nadzoru nad podmiotem przetwarzającym w trakcie realizacji zmian w systemie informatycznym wykorzystywanym do przetwarzania danych osobowych, co w konsekwencji prowadziło do swobody w działaniu przez Podmiot Przetwarzający, tj. dokonywania wdrożenia zmian w systemie informatycznym bez uprzedniego odpowiedniego przetestowania zastosowanych zabezpieczeń oraz zasilenia rzeczywistymi danymi osobowymi klientów F. Sp.  dodatkowej bazy danych, w fazie testowej wdrażanego rozwiązania. Brak jakiegokolwiek nadzoru nad procesem wdrażania zmian w systemie informatycznym, w którym przetwarzane były dane osobowe, skutkuje wysokim stopniem odpowiedzialności Administratora za naruszenie poufności danych osobowych.

3. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. e rozporządzenia 2016/679) – Stwierdzone zostały wcześniejsze naruszenia przepisów rozporządzenia 2016/679 przez F. Sp.  w zakresie art. 6 2016/679, (sygn. sprawy: DS.523.3241.2020; data wydania decyzji: 30 grudnia 2020 r., sygn. sprawy: DS.523.3072.2020; data wydania decyzji: 30 grudnia 2020 r., sygn. sprawy: DS.523.3067.2020; data wydania decyzji: 30 grudnia 2020 r., sygn. sprawy: DS.523.3144.2020; data wydania decyzji: 30 grudnia 2020 r., sygn. sprawy: DS.523.3331.2020; data wydania decyzji: 30 grudnia 2020 r., sygn. sprawy: DS.523.3626.2020; data wydania decyzji: 31 grudnia 2020 r., sygn. sprawy: DS.523.3208.2020; data wydania decyzji: 28 grudnia 2020 r. ) - w tych przypadkach Prezes UODO udzielił F. Sp.  upomnienia. W Wytycznych WP253 Grupa Robocza Art. 29 wskazuje, iż to kryterium ma na celu ocenę dotychczasowego przebiegu działalności podmiotu dopuszczającego się naruszenia, w związku z czym „Organy nadzorcze powinny wziąć pod uwagę fakt, że zakres takiej oceny może być dość szeroki, gdyż każdy rodzaj naruszenia rozporządzenia, nawet jeśli jest inny niż ten, który jest obecnie badany przez organ nadzorczy, może być „istotny” dla oceny, ponieważ mógłby wskazywać na ogólny poziom niewystarczającej wiedzy lub lekceważenie zasad ochrony danych”.

4. Kategorie danych osobowych, których dotyczyło naruszenie  (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe, do których dostęp uzyskała nieznana i nieuprawniona osoba trzecia, nie należą wprawdzie do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich szeroki zakres, tj. imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu oraz numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, iż w szczególności nieuprawnione ujawnienie takiej kategorii danych jak nr PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych.  Nr PESEL,  czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.

Ustalając wysokość administracyjnej kary pieniężnej nałożonej na F. Sp. , Prezes UODO uwzględnił jako okoliczności łagodzące następujące przesłanki:
1. Czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679)- za okoliczność łagodzącą Prezes UODO uznaje czas trwania naruszenia przepisów rozporządzenia 2016/679. Z informacji uzyskanych przez organ nadzorczy w toku prowadzonego postępowania administracyjnego wynika, że nowoutworzona baza zasilona rzeczywistymi danymi klientów F. Sp.  pozostawała niezabezpieczona przed dostępem osób nieuprawnionych w dniach […] –[…] kwietnia 2020 r., tj. przez 5 dni.
2. Nieumyślny charakter naruszenia  (art. 83 ust. 2 lit. b rozporządzenia 2016/679) – Prezes UODO nie stwierdził w niniejszej sprawie celowych działań Administratora prowadzących do stanu naruszenia przepisów rozporządzenia 2016/679.
3. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) – w niniejszej sprawie Administrator nie stwierdził powstania szkód majątkowych po stronie osób dotkniętych naruszeniem. Wskazać  należy, że  bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, jeszcze przed wszczęciem postępowania administracyjnego, F. Sp.  podjęła czynności, w wyniku których szybko ustalono powód wystąpienia naruszenia i zabezpieczono dane przed kolejnymi naruszeniami tj. przed pobraniem ich przez kolejne nieuprawnione podmioty. W decyzji jako okoliczność obciążającą wskazano, że osoby, których dane dotyczą, mogą w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę), jednak podjęcie szybkich działań mających na celu zabezpieczenie danych przed pobraniem ich przez inne nieuprawnione podmioty należało ocenić jako okoliczność łagodzącą, ponieważ w ocenie Prezesa UODO zawężenie kręgu podmiotów mogących w sposób nieuprawniony pobrać dane klientów Administratora należy uznać jako działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
4. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679). W toku postępowania, w związku z wystąpieniem Prezesa UODO F. Sp.  skierowała do osób, których dane dotyczą, zawiadomienia o naruszeniu ich danych osobowych, zawierające wszystkie wymagane zgodnie z art. 34 ust. 2 rozporządzenia 2016/679 informacje.
5. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679). Prezes UODO nie stwierdził w toku niniejszego postępowania, że dopuszczając się naruszenia podlegającego karze F. Sp.  osiągnęła jakiekolwiek korzyści finansowe lub uniknęła jakichkolwiek strat finansowych. W toku postępowania F. Sp.  przedstawiła szerokie wyjaśnienia dokładnie wskazujące, na jakim etapie procesu wdrażania zmian w systemie informatycznym doszło do błędu, w wyniku którego nastąpiło naruszenie ochrony danych osobowych.

 Na fakt zastosowania wobec F. Sp.  w niniejszej sprawie przez Prezesa Urzędu sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:    
1. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) – Prezes UODO stwierdził naruszenie w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora, jednakże w związku z tym, że Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi dla niego okoliczność łagodzącą. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.
2. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) – w niniejszej sprawie nie zastosowano wcześniej wobec F. Sp.  środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679.
3. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) – F. Sp.  nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679.

Decydując o nałożeniu na P. SP.  administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:

1. Charakter i waga naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679). Przy wymierzaniu kary istotne znaczenie miała okoliczność, że naruszenie przepisów rozporządzenia 2016/679, nakładających na Podmiot Przetwarzający obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie poufności danych ponad 95 tys. klientów Administratora. Naruszenie wynikało z niezastosowania przez Podmiot przetwarzający podstawowych zasad bezpieczeństwa polegających na niezabezpieczeniu danych osobowych przed dostępem osób nieuprawnionych. Podmiot przetwarzający świadcząc profesjonalne usługi m.in. w zakresie dostarczania systemów informatycznych oraz posiadając odpowiednią wiedzę w tym zakresie nie zastosował zasad bezpieczeństwa, zasilając rzeczywistymi danymi klientów administratora niezabezpieczoną przed dostępem osób nieuprawnionych bazę danych. Stwierdzone w niniejszej sprawie naruszenie ochrony danych osobowych, polegające na umożliwieniu osobom nieuprawnionym dostępu do danych osobowych, w wyniku czego doszło do pobrania bazy danych klientów Administratora ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Ponadto należy wziąć pod uwagę ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem, dużej liczby podmiotów danych, a także dużą skalę i profesjonalny charakter przetwarzania danych. Podkreślić należy, że w stosunku do osób, których dane zostały naruszone w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoby nieuprawnione podjęły działania skutkujące wystąpieniem przedmiotowego naruszenia ochrony danych osobowych. Osoby, których dane dotyczą, mogą więc w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.

2. Stopień odpowiedzialności z uwzględnieniem wdrożonych środków technicznych i organizacyjnych (art. 83 ust. 2 lit. d rozporządzenia 2016/679). Ustalenia dokonane przez Prezesa UODO pozwalają na stwierdzenie, że Podmiot Przetwarzający pomimo przyjęcia odpowiednich wewnętrznych regulacji nie realizował swoich obowiązków w zakresie wdrażania zmian w systemach informatycznych, co w konsekwencji doprowadziło do dokonywania wdrożenia zmian w systemie informatycznym bez uprzedniego przetestowania zastosowanych zabezpieczeń, zasilenia rzeczywistymi danymi osobowymi klientów F. Sp.  dodatkowej bazy danych, w fazie testowej wdrażanego rozwiązania. Podmiot Przetwarzający ponosi bezpośrednią odpowiedzialność za naruszenie, a tak rażące zaniedbanie w procesie przetwarzania danych osobowych, w przypadku profesjonalnego podmiotu musi stanowić okoliczność obciążającą.

3. Kategorie danych osobowych, których dotyczyło naruszenie  (art. 83 ust. 2 lit. g rozporządzenia 2016/679). Dane osobowe, do których dostęp uzyskała nieznana i nieuprawniona osoba trzecia, nie należą wprawdzie do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich szeroki zakres tj. imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu oraz numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika) wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem.  Należy podkreślić, iż w szczególności nieuprawnione ujawnienie takiej kategorii danych jak nr PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych.  Nr PESEL  czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.

Ustalając wysokość administracyjnej kary pieniężnej nałożonej na P. SP. , Prezes UODO uwzględnił jako okoliczność łagodzące następujące przesłanki:  

1. Czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679) - za okoliczność łagodzącą Prezes UODO uznaje czas trwania naruszenia przepisów ogólnego rozporządzenia o ochronie danych. Z informacji uzyskanych przez organ nadzorczy w toku prowadzonego postępowania administracyjnego wynika, że nowoutworzona baza zasilana rzeczywistymi danymi klientów pozostawała niezabezpieczona przed dostępem osób nieuprawnionych w dniach […]-[…] kwietnia 2020 r., tj. przez 5 dni.

2. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679) – Prezes UODO nie stwierdził w niniejszej sprawie celowych działań Podmiotu Przetwarzającego prowadzących do stanu naruszenia przepisów rozporządzenia 2016/679.

3. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) – w niniejszej sprawie Administrator nie stwierdził powstania szkód materialnych po stronie osób dotkniętych naruszeniem, należy jednak wskazać, że  bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych, jeszcze przed wszczęciem postępowania administracyjnego, P. SP.  podjęła czynności, w wyniku których szybko ustalono powód wystąpienia naruszenia i zabezpieczono dane przed kolejnymi naruszeniami tj. przed pobraniem ich przez kolejne nieuprawnione podmioty. W decyzji jako okoliczność obciążającą wskazano, że osoby, których dane dotyczą, mogą w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę), jednak podjęcie szybkich działań mających na celu zabezpieczenie danych przed pobraniem ich przez inne nieuprawnione podmioty należało ocenić jako okoliczność łagodzącą, ponieważ w ocenie Prezesa UODO zawężenie kręgu podmiotów mogących w sposób nieuprawniony pobrać dane klientów Administratora należy uznać jako działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

4. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 (art. 83 ust. 2 lit. e rozporządzenia 2016/679) – nie stwierdzono w P. SP.  stosownych wcześniejszych naruszeń rozporządzenia 2016/679.

5. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679) – Prezes UODO nie stwierdził w toku niniejszego postępowania, że dopuszczając się naruszenia podlegającego karze P. SP.  osiągnęła jakiekolwiek korzyści finansowe lub uniknęła jakichkolwiek strat finansowych. Ponadto bezpośrednio po ujawnieniu naruszenia ochrony danych osobowych P. SP.  podjęła czynności, w wyniku których szybko ustalono powód wystąpienia naruszenia i zabezpieczono dane przed kolejnymi naruszeniami. W toku postępowania P. SP.  przedstawiła szerokie wyjaśnienia dokładnie wskazujące, na jakim etapie procesu wdrażania zmian w systemie informatycznym doszło do błędu, w wyniku którego nastąpiło naruszenie ochrony danych osobowych.

Na fakt zastosowania w niniejszej sprawie przez Prezesa Urzędu wobec P. SP.  sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:    

1. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679). W toku postępowania P. SP.  nie podejmowała dodatkowych czynności w związku z wystąpieniami organu. Natomiast przed wszczęciem postępowania podjęte zostały przez P. SP.  samodzielne, spontaniczne działania mające na celu usunięcie naruszenia. Działania te miały jednakże charakter autonomiczny; Prezes UODO nie może ich potraktować jako podjęte we współpracy z organem nadzorczym i nie może ocenić w związku z tym „stopnia” tej współpracy. Działania te zostały jednak uwzględnione powyżej jako okoliczność łagodząca określona w art. 83 ust. 2 lit. c rozporządzenia 2016/679.

2. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) – Prezes UODO stwierdził naruszenie w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą dla Podmiotu Przetwarzającego. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.

3. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) – w niniejszej sprawie nie zastosowano wcześniej wobec P. SP.  środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679.

4. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679) – P. SP.  nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, iż nałożenie administracyjnej kary pieniężnej na Administratora i Podmiot Przetwarzający jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych tym podmiotom naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, iż zastosowanie wobec tych podmiotów jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości  w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że ww. podmioty  w przyszłości nie dopuszczą się podobnych, co w sprawie niniejszej zaniedbań.

Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  (Dz. U. z 2019 r., poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

W ocenie Prezesa UODO nałożona na F. Sp.  administracyjna kara pieniężna w wysokości 4 911 732 zł (słownie: cztery miliony dziewięćset jedenaście tysięcy siedemset trzydzieści dwa zł), co stanowi równowartość 1 080000 euro (średni kurs euro z 28 stycznia 2021 r. - 4,5479 zł), spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

W ocenie Prezesa UODO nałożona na Administratora kara jest proporcjonalna zarówno do powagi naruszenia (skutkującego naruszeniem jednej z podstawowych zasad na których oparty jest w rozporządzeniu 2016/679 system ochrony danych osobowych – zasady poufności danych) jak i do wielkości Administratora, którą to wielkość – mierzoną jego obrotem – należy rozpatrywać w nierozerwalnym związku ze względami na skuteczność kary i na jej odstraszający charakter.

W toku postępowania F. Sp.  przedstawiła sprawozdanie finansowe za 2020 r., zgodnie z którym jej przychody netto ze sprzedaży wyniosły 2 789 815 141,52 zł (słownie: dwa miliardy siedemset osiemdziesiąt dziewięć milionów osiemset piętnaście tysięcy sto czterdzieści jeden zł 52/100) co stanowi równowartość 613 429 306, 17 euro wg średniego kursu euro z 28 stycznia 2021 r.. Zważywszy na wyżej przedstawione wyniki finansowe F. Sp. , stwierdzić należy, że orzeczona administracyjna kara pieniężna nie będzie dla niej nadmiernie dotkliwa. Wskazać należy, że ustalona przez Prezesa UODO kwota kary – 4 911 732 zł – stanowi jedynie 0,18 % jej obrotu osiągniętego w 2020 r. Jednocześnie w ocenie Prezesa UODO kara w tej wysokości będzie skuteczna (osiągnie cel jakim jest ukaranie Administratora za poważne naruszenie o poważnych skutkach) i odstraszająca na przyszłość (spowoduje, że Administrator celem uniknięcia kolejnych sankcji zwróci należytą uwagę na przetwarzanie danych osobowych za pośrednictwem i przy pomocy Podmiotu Przetwarzającego, wykorzystując przy tym uprawnienia, które przysługują mu na mocy umowy powierzenia przetwarzania danych). Kara w niższej wysokości dla tak dużego podmiotu jak F. Sp.  mogła by być w praktyce niezauważalna i mogłaby zostawić pole do kalkulowania czy dla tej organizacji koszty administracyjnych kar pieniężnych nie byłyby niższe niż nakłady na ochronę danych osobowych.

Wobec powyższego Prezes UODO wskazuje ponadto, że nałożona na F. Sp.  administracyjna kara pieniężna spełnia w szczególności kryterium proporcjonalności kary w rozumieniu wypracowanym w orzecznictwie TSUE (na gruncie prawa konkurencji i w stosunku do decyzji Komisji Europejskiej, ale mającym zdaniem Prezesa UODO ogólniejsze zastosowanie): „[…] zasada proporcjonalności wymaga, aby akty wydawane przez instytucje Unii nie przekraczały granic tego, co jest stosowne i konieczne do realizacji uzasadnionych celów, którym służą dane przepisy, przy czym tam, gdzie istnieje możliwość wyboru spośród większej liczby odpowiednich rozwiązań, należy stosować najmniej dotkliwe, a wynikające z tego niedogodności nie mogą być nadmierne w stosunku do zamierzonych celów […] (zob. wyrok z dnia 12 grudnia 2012 r., Electrabel / Komisja, T‑332/09, EU:T:2012:672, pkt 279 i przytoczone tam orzecznictwo)” (zob. wyrok z 26 października 2017 r. w sprawie T-704/14 Marine Harvest ASA przeciwko KE, ust. 580).

Powyższe ogólne rozważania odnośnie proporcjonalności, skuteczności i odstraszającego charakteru administracyjnej kary pieniężnej nałożonej na F. Sp.  odnoszą się również do kary orzeczonej wobec P. SP. .

W toku postępowania P. SP.  przedstawiła sprawozdanie finansowe za 2020 r., zgodnie z którym jej przychody netto ze sprzedaży wyniosły w tym roku obrotowym 21 083 344,14 zł (słownie dwadzieścia jeden milionów osiemdziesiąt trzy tysiące trzysta czterdzieści cztery zł 14/100), co stanowi równowartość 4 635 841,63 euro wg średniego kursu euro z 28 stycznia 2021 r. W ocenie Prezesa UODO również kara pieniężna orzeczona wobec P. SP.  nie będzie dla tej spółki nadmiernie dotkliwa. Kara w kwocie 250 135  zł (słownie: dwieście pięćdziesiąt  tysięcy sto trzydzieści pięć zł), co stanowi równowartość 55 000 euro również według średniego kursu euro z 28 stycznia 2021 r. będzie stanowić jedynie 1,19 % obrotu osiągniętego przez P. SP.  w 2020 r. oraz jedynie 0,55 % maksymalnie możliwej do nałożenia kary. Prezes UODO zauważa, że kara orzeczona wobec P. SP.  może być dla niej stosunkowo bardziej dolegliwa niż kara nałożona w niniejszej sprawie na F. Sp.  (1,19 % wobec 0,18 % rocznego obrotu), niemniej jest to uzasadnione w ocenie organu  okolicznością, że to działanie P. SP. , cechujące się rażącym zaniedbaniem swoich obowiązków i obowiązujących standardów, bezpośrednio doprowadziło do naruszenia ochrony danych osobowych, których administratorem jest F. Sp. , a w konsekwencji do naruszenia poufności tych danych (za co – naruszenie art. 5 ust. 1 lit. f) rozporządzenia 2016/679 – P. SP.  jako podmiot przetwarzający wprost nie odpowiada, a odpowiada Administrator).

Podsumowując powyższe w ocenie Prezesa UODO obie orzeczone w niniejszej sprawie administracyjne kary pieniężne spełniają w świetle całokształtu indywidualnych okoliczności sprawy przesłanki (funkcje kar), o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679.

II. Jednocześnie na podstawie zgromadzonego w toku postępowania materiału dowodowego należy stwierdzić, że nie doszło do naruszenia pozostałych, stanowiących przedmiot niniejszego postępowania przepisów rozporządzenia 2016/679.

W zakresie możliwości naruszenia  art. 34 ust. 1 rozporządzenia 2016/679 postępowanie stało się bezprzedmiotowe ze względu na to, że Administrator w toku postępowania skierował do osób, których dane dotyczą, zawiadomienia o naruszeniu ich danych osobowych, zawierające wszystkie wymagane zgodnie z art. 34 ust. 2 rozporządzenia 2016/679 informacje. W związku z powyższym, postępowanie należało umorzyć w zakresie możliwości naruszenia przez F. Sp.  art. 34 ust. 1 rozporządzenia 2016/679.

Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.

 

Źródło uodo.gov.pl https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020

 

 

 

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 1 grudnia 2021r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 1 grudnia 2021r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 7 października 2021r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 7 października 2021r.
Decyzja PUODO z dnia 1 lipca 2021 r.
Decyzja PUODO z dnia 1 lipca 2021 r.