Warszawa, dnia 12
listopada
2024 r.
Decyzja
DKN.5130.2415.2020
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), art. 7 ust. 1 i 2, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1 – 3 oraz art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3 oraz art. 32 ust. 1 i 2, a także art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, Str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez A. z siedzibą w W. przy ul. (…) oraz X. z siedzibą w W. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych
1) stwierdzając naruszenie przez A. z siedzibą w W. przy ul. (…) art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: „rozporządzenie 2016/679”, polegające na:
a) niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,
b) niewdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów, aktualizacji oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, skutkujące naruszeniem zasady poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679),
c) braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą,
nakłada na A. z siedzibą w W. przy ul. (…), za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 1 527 855,00 zł (słownie: jeden milion pięćset dwadzieścia siedem tysięcy osiemset pięćdziesiąt pięć złotych);
2) stwierdzając naruszenie przez X. z siedzibą w W. przy ul. (…) 2 art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewniających ich poufność, nakłada na X. z siedzibą w W. przy ul. (…), za naruszenie art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 20 037,00 zł (słownie: dwadzieścia tysięcy trzydzieści siedem złotych).
Uzasadnienie
A. (ul. (…), (…)), dalej jako „A.”, „Spółka” lub „Administrator”, 24 kwietnia 2020 r. dokonał Prezesowi Urzędu Ochrony Danych Osobowych, zwanemu dalej także „Prezesem UODO” lub „organem nadzorczym”, zgłoszenia naruszenia ochrony danych osobowych, do którego doszło 17 kwietnia 2020 r. (zgłoszenie uzupełniające zostało przekazane organowi nadzorczemu 7 maja 2020 r.).
Prezes UODO przeprowadził postępowanie wyjaśniające w sprawie zgłoszonego naruszenia ochrony danych osobowych, a następnie 27 kwietnia 2020 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez A. art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.
Pismami z 15 marca 2021 r. i 15 czerwca 2021 r. Prezes UODO zawiadomił X. (ul. (…), (…)), dalej jako „X.” lub „Podmiot przetwarzający”, o uznaniu X. za stronę postępowania administracyjnego prowadzonego pod sygnaturą DKN.5130.2415.2020 wskazując, że przedmiotem tego postępowania jest możliwość naruszenia przez A. oraz X. obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.
W związku ze złożonymi wyjaśnieniami, 24 marca 2022 r. Prezes UODO rozszerzył postępowanie o sygn. DKN.5130.2415.2020 o możliwość naruszenia obowiązków wynikających z przepisów art. 28 ust. 1 i art. 28 ust. 3 rozporządzenia 2016/679.
Pismem z 17 kwietnia 2024 r. Prezes UODO poinformował A. oraz X., że postępowanie o sygn. DKN.5130.2415.2020 zostało rozszerzone o możliwość naruszenia obowiązków wynikających z art. 5 ust. 2 rozporządzenia 2016/679.
Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego oraz postępowania administracyjnego ustalił następujący stan faktyczny.
I.
W zgłoszeniu naruszenia ochrony danych osobowych Administrator opisał, że naruszenie polegało na tym, że „(…) w procesie uruchamiania nowej witryny www w dniu 17.04.2020 zostały skopiowane pliki starej witryny do nowego folderu, który powinien być ukryty a został udostępniony. Zostało to zrobione przez pracownika firmy informatycznej bez wcześniejszej konsultacji i weryfikacji zawartości plików starej witryny. Pracownik firmy informatycznej popełnił błąd i nie ukrył plików. Spółka A. nie miała świadomości tego działania (…)”. Z kolei w zgłoszeniu uzupełniającym A. wskazał, że „(…) naruszenie polegało na możliwości uzyskania dostępu do pliku bazy danych historycznej (nie używanej) strony (...). Do naruszenia doszło z powodu dopuszczenia do indeksacji plików baz danych starej strony (...) przez robota Z. Możliwość indeksacji plików spowodowana była nieprawidłową konfiguracją przez firmę informatyczną sprawującą stałą opieką nad infrastrukturą IT. (…) Mniejsza niż pierwotnie była też skala naruszenia obejmującego numery PESEL osób (łącznie dotyczyło to ponad 7 000 mniejszej liczby osób niż łącznie ujętych w bazie danych. Naruszenie w części dotyczącej możliwości uzyskania dostępu do danych klientów obejmujących wyłącznie imię, nazwisko, adres email, adres zamieszkania, zaszyfrowanego hasła dostępu do panelu Klienta strony (...) i numer telefonu dotyczyło ponad 7 000 osób [bez numeru PESEL] (…) Ze zleconego przez spółkę A. niezależnego audytu incydentu wynika, że główną przyczyną, dla której doszło do indeksowania plików starej strony www były błędy w pliku konfiguracyjnym (…). W plikach starej strony (...) znajdowały się kopie zapasowe bazy danych umieszczone tam przez firmę informatyczną i nieusunięte w ramach prac serwisowych (…)”.
Z informacji zawartych w formularzach „Zgłoszenie naruszenia ochrony danych osobowych” przekazanych organowi nadzorczemu wynika, że:
- doszło do naruszenia poufności danych,
- przyczyną naruszenia ochrony danych osobowych było wewnętrzne działanie niezamierzone,
- przybliżona liczba osób, których naruszenie dotyczy wynosi 21 453 osób (por. zgłoszenie naruszenia ochrony danych osobowych z 7 maja 2020 r.),
- kategorie danych osobowych, które zostały naruszone obejmują: imię i nazwisko, adres zamieszkania lub pobytu, numer PESEL, data urodzenia, adres e-mail, numer telefonu oraz zaszyfrowane hasło do rejestracji na stronie (...),
- naruszenie dotyczy danych osobowych klientów i pracowników A.
Administrator wraz z pismem z 3 czerwca 2020 r. dostarczył organowi nadzorczemu dokument: „Raport (…)”. Wskazać należy, że omawiany dokument został sporządzony na zlecenie Administratora. Organ nadzorczy nie dostrzegł podstaw do kwestionowania wiarygodności tego dowodu.
Jak wynika z jego treści, celem raportu było przedstawienie, w jaki sposób doszło do incydentu bezpieczeństwa w środowisku teleinformatycznym A. skutkującego ujawnieniem informacji prawnie chronionych (m.in. danych osobowych klientów A., ich numerów PESEL, adresów zamieszkania, adresów e-mail, numerów telefonów) oraz informacji stanowiących tajemnicę przedsiębiorstwa (m.in. hashe haseł, certyfikaty, klucze zabezpieczeń do wybranych systemów teleinformatycznych). Celem raportu było również wskazanie przyczyn ujawnienia powyższych informacji. W raporcie wskazano zasady realizacji prac związanych z analizą incydentu, opis incydentu, opis środowiska informatycznego Administratora w odniesieniu do incydentu, opis w jaki sposób doszło do incydentu, zakres incydentu, przyczyny zaistniałego incydentu.
W części wskazującej na zakres incydentu wskazano, że „(…) ujawnieniu uległy lub mogły ulec informacje w bazach danych (…) dostęp do zrzutów baz danych [ich odczyt był możliwy z uwagi na brak stosownych uprawnień zabraniających odczytu oraz z uwagi na brak szyfrowania] nastąpił w dniach 17-20 kwietnia 2020 r (…) liczba wierszy w tabeli customer: 21453. Jest to liczba unikalnych rekordów. Każdy rekord należy traktować jako jeden klient i przypisane do niego dane osobowe zgodnie ze schematem powyżej (…)”. W raporcie wskazano także listę adresów IP, które pobrały zaindeksowaną zawartość.
W części wskazującej na przyczyny zaistniałego incydentu omówiono przyczyny techniczne i przyczyny organizacyjne. Jako przyczyny techniczne wskazano: (…).
Jako przyczyny organizacyjne wskazano: (…).
II.
Organ nadzorczy odebrał od Administratora oraz Podmiotu przetwarzającego wyjaśnienia dotyczące ich współpracy związanej z przetwarzaniem danych osobowych. Administrator wraz z pismem z 3 czerwca 2020 r. przekazał Prezesowi UODO kopię umowy (…), która została zawarta między A. a X.. Umowa zawiera szereg postanowień dotyczących relacji pomiędzy Administratorem a Podmiotem przetwarzającym. Z punktu widzenia niniejszej sprawy kluczowe postanowienia w tej umowie sformułowano następująco:
- „(…) Strony zawarły w dniu 31 lipca 2019r. umowę (…) [„Umowa Właściwa] (…)”,
- „(…) Realizacja Umowy Właściwej wymaga powierzenia przez Administratora Przetwarzającemu przetwarzania danych osobowych (…)”,
- „(…) Dane Osobowe przetwarzane są wyłącznie w zakresie przewidzianym w Umowie Powierzenia i Umowie Właściwej i dla celów realizacji Umowy Właściwej. Cel przetwarzania Danych osobowych opisany jest w Załączniku nr (…) do Umowy (…)”,
- „(…) Na Danych Osobowych mogą być wykonywane operacje lub zestawy operacji określone w Załączniku nr (…) do Umowy (…)”,
- „(…) Przetwarzający przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo polskie, któremu podlega Przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny (…)”,
- „(…) Przetwarzający oświadcza, iż dysponuje odpowiednimi w rozumieniu Rozporządzenia środkami technicznymi i organizacyjnymi umożliwiającymi przetwarzanie Danych Osobowych zgodnie z obowiązującymi przepisami prawa, w szczególności Rozporządzenia (…)”,
- „(…) Przetwarzający oświadcza, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia wdrożył odpowiednie środki techniczne i organizacyjne zgodne z celem realizacji Umowy Właściwej (…)”,
- „(…) Przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora zgodnie z art. 30 ust. 2 Rozporządzenia (…)”,
- „(…) Przetwarzający udziela dostępu do Danych Osobowych wyłączenie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Przetwarzającego imienne upoważnienie do ich przetwarzania, zostały przeszkolone z zakresu przepisów dotyczących ochrony danych osobowych oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy Właściwej oraz Umowy Powierzenia. Administrator upoważnia Przetwarzającego do udzielania upoważnień, o których mowa w zdaniu poprzednim (…)”,
- „(…) Przetwarzający prowadzi ewidencję osób upoważnionych do przetwarzania Danych Osobowych (…)”,
- „(…) Przetwarzający obowiązany jest zapewnić, aby każda osoba działająca z upoważnienia Przetwarzającego i mająca dostęp do Danych Osobowych przetwarzała je wyłącznie na polecenie Administratora (…)”,
- „(…) Przetwarzający jest zobowiązany: a) podejmować wszelkie środki wymagane na mocy art. 32 Rozporządzenia; b) pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia; (…) d) pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie jej praw określonych w Rozdziale III Rozporządzenia; (…) f) udostępniać Administratorowi niezwłocznie wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia w terminach wynikających z przepisów prawa lub nałożonych przez stosowne organy (…) g) umożliwić Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzenie audytów lub inspekcji w zakresie zgodności przetwarzania Danych Osobowych z prawem; Administrator poinformuje Przetwarzającego co najmniej na 4 dni robocze przed planowaną datą audytu/inspekcji o zamiarze jego przeprowadzenia; jeżeli z ważnych powodów w ocenie Przetwarzającego audyt/inspekcja nie może zostać przeprowadzony w określonym przez Administratora terminie, Przetwarzający informuje o tym Administratora wskazując uzasadnienie tej okoliczności; w takim przypadku Strony ustalą inny termin audytu/inspekcji; w przypadku wystąpienia incydentu bezpieczeństwa (naruszenie ochrony danych osobowych) Administrator jest uprawniony do przeprowadzenia audytu/inspekcji bez zachowania wskazanego powyżej w niniejszym punkcie terminu; h) udostępniać na żądanie Administratora dokumentację wdrożonych środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa oraz inne informacje niezbędne do wykazania, że Przetwarzający przestrzega swoich zobowiązań wynikających z Umowy Powierzenia i obowiązujących przepisów prawa; i) niezwłocznie informować Administratora, jeżeli jego zdaniem wydane Przetwarzającemu polecenie stanowi naruszenie Rozporządzenia lub innych przepisów dotyczących ochrony danych osobowych; informacja powinna zawierać wskazanie przepisu prawa, który w ocenie Przetwarzającego został naruszony oraz uzasadnienie naruszenia; (…) Po audycie/inspekcji, o których mowa w ust. 1 pkt g) powyżej Administrator sporządzi ewentualne zalecenia co do usunięcia uchybień lub wdrożenia działań poprawiających bezpieczeństwo przetwarzania Danych Osobowych. Przetwarzający winien zastosować się do zaleceń Administratora. Po audycie/inspekcji, o których mowa w ust. 1 pkt g) powyżej Administrator sporządzi ewentualne zalecenia co do usunięcia uchybień lub wdrożenia działań poprawiających bezpieczeństwo przetwarzania Danych Osobowych. Przetwarzający winien zastosować się do zaleceń Administratora (…)”.
A. wraz z pismem z 3 lutego 2021 r. przesłał kopię Umowy (…), którą zawarł z X.. Umowa zawiera postanowienia określające między innymi:
- przedmiot umowy,
- obowiązki zleceniobiorcy (X.),
- postanowienia dodatkowe,
- odpowiedzialność oraz jej wyłączenia,
- powierzenie danych osobowych,
- postanowienia końcowe.
Z przedłożonej umowy wynika, że jej przedmiotem jest świadczenie przez X. na rzecz A. usług informatycznych w zakresie utrzymania prawidłowego i nieprzerwanego funkcjonowania systemu informatycznego (systemu) oraz oprogramowania A., w tym nadzór nad sieciowym systemem komputerowym, jak również w zakresie innych usług określonych w tej umowie.
Omawiana umowa definiuje, co należy rozumieć pod pojęciem systemu informatycznego i wskazuje, że jest to zbiór powiązanych ze sobą elementów (zespół systemów komputerowych, sieci i oprogramowania), którego funkcją jest przetwarzanie danych przy użyciu techniki komputerowej z uwzględnieniem zmian w tym systemie dokonywanych w czasie obowiązywania tej umowie.
W treści umowy określono obowiązki X. wskazując, że „(…) 1. Do obowiązków Zleceniobiorcy [X.] należy bieżąca obsługa informatyczna oraz nadzór nad posiadanym przez Zleceniodawcę [A.] Systemem informatycznym, poprzez świadczenie usług polegających na: 1) Zapewnieniu stałego wsparcia dla użytkowników systemu w tym m.in. świadczenie nadzoru informatycznego, usuwanie usterek i awarii technicznych, systemowych i programowych, konserwację sprzętu komputerowego oraz oprogramowania, obsługa zgłoszeń Zleceniodawcy; 2) Bieżącym zarządzaniu (administrowaniu) Systemem informatycznym, monitorowaniu Systemu informatycznego, ze szczególnym uwzględnieniem bezpieczeństwa działania systemu Zleceniodawcy; 3) Konsultacjach dotyczących bieżącego korzystania z Systemu informatycznego; 4) Wykonywaniu prac administracyjnych oraz zleconych związanych z utrzymaniem systemu w ruch oraz instalacją sprzętu komputerowego, oprogramowania, aktualizacją składników systemu; 5) Prowadzeniu dokumentacji systemu informatycznego, inwentaryzacji składników; 6) Przygotowaniu i wdrażaniu jednolitej polityki IT, zabezpieczania danych, ładu informatycznego; 7) Dostarczaniu sprzętu, oprogramowania, rozwiązań informatycznych wraz z instalacją i konfiguracją w uzgodnieniu i na zlecenie Zleceniodawcy; 8) Doradztwie w zakresie informatyzacji, doboru rozwiązań, prowadzenia projektów informatycznych; 2. Szczegółowy zakres obowiązków Zleceniobiorcy określa Załącznik nr (…) do Umowy [Oferta] (…)”.
W części przedmiotowej umowy określającej odpowiedzialność i jej wyłączenia wskazano między innymi, że „(…) Zleceniobiorca dołoży wszelkich starań celem zagwarantowania najwyższej jakości świadczonych usług oraz będzie wykonywał wszystkie powierzone mu czynności zgodnie z jego najlepszą wiedzą, z uwzględnieniem profesjonalnego charakteru swojej działalności (…) Zleceniobiorca nie bierze odpowiedzialności za poprawność działania systemów zaimplementowanych przez firmy trzecie. Zleceniobiorca nie będzie ponosił również odpowiedzialności w przypadku awarii części składowych systemów będących produktami firm trzecich np. sprzęt komputerowy, oprogramowanie stanowiskowe, sieciowy system operacyjny, systemy zadaniowe, chyba że awaria jest związana z ingerencją Zleceniobiorcy w te elementy Systemu informatycznego dokonaną w ramach wykonania niniejszej umowy. Zleceniobiorca nie udziela jakichkolwiek gwarancji, co do poprawności działania systemu, czy jego części składowych zaimplementowanego u Zleceniodawcy przed podpisaniem poniższej umowy, z wyłączeniem tych zaimplementowanych uprzednio przez Zleceniobiorcę (…) Zleceniobiorca nie ponosi odpowiedzialności za szkody powstałe w wyniku: 1) błędów spowodowanych nieprawidłowym użytkowaniem systemu przez użytkowników Zleceniodawcy powodujące utratę danych, istotne spowolnienie działania systemu lub zatrzymanie systemu; 2) utraty danych na skutek awarii systemu lub omyłkowego skasowania danych przez użytkownika systemu; 3) działania złośliwego oprogramowania; 4) złamania zabezpieczeń lub przekroczenia uprawnień przez użytkowników systemu Zleceniodawcy; 5) uzyskania dostępu do systemu przez osoby nieuprawnione na skutek błędów konfiguracyjnych lub niedoskonałości zabezpieczeń; 6) udostępnienia przez użytkowników systemu haseł osobom nieuprawnionym umyślnie lub na skutek niedbalstwa; 7) utraty danych lub dostępu do danych w wyniku awarii sprzętu lub oprogramowania, chyba że awaria nastąpiła z przyczyn dotyczących Zleceniobiorcy; 8) działania czynników zewnętrznych niezależnych od Zleceniobiorcy, w tym m.in. zasilania elektrycznego, środowiska zewnętrznego, klimatyzacji, braku dostępu do Internetu, WAN, braku połączenia z systemami zewnętrznymi, usługami chmurowymi zarządzanymi przez podmioty trzecie oraz błędów w zabezpieczeniach w oprogramowaniu innych dostawców eksploatowanym przez Zleceniodawcę; Odpowiedzialność Zleceniobiorcy, o której mowa powyżej jest wyłączona w zakresie, w jakim za jej powstanie Zleceniobiorca nie ponosi odpowiedzialności (…)”.
Przedmiotowa umowa zawiera postanowienie dotyczące powierzenia danych osobowych. W jego treści wskazano, że zasady powierzenia przetwarzania danych osobowych reguluje odrębna umowa stron (umowa powierzenia została już powyżej szczegółowo omówiona).
Wyjaśnienia dotyczące współpracy między A. a X. złożył także Podmiot przetwarzający. Pismem z 15 lipca 2021 r. X. wskazał, że świadczył usługi w zakresie obsługi informatycznej na rzecz A. w okresie od 31 lipca 2019 r. do 30 września 2020 r. oraz wykonywał obowiązki związane ze świadczeniem bieżącej opieki nad utrzymaniem ruchu i funkcjonowaniem systemu informatycznego.
III.
Administrator przedłożył wyjaśnienia dotyczące weryfikacji Podmiotu przetwarzającego przed nawiązaniem z nim relacji w odniesieniu do obowiązku zapewniania przez podmiot przetwarzający wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679.
Pismem z 3 lutego 2021 r. Administrator wyjaśnił, że weryfikacja Podmiotu Przetwarzającego uwzględniała następujące okoliczności:
1) Podmiot przetwarzający współpracował wcześniej ze Spółką i w okresie wcześniejszej współpracy Spółka nie stwierdziła żadnych zastrzeżeń dotyczących jakości wykonywanej pracy, ani też jakichkolwiek innych problemów dotyczących przetwarzania danych osobowych czy kwestii związanych z bezpieczeństwem informacji lub zarządzanych systemów informatycznych,
2) Podmiot przetwarzający deklarował posiadanie aktualnego certyfikatu wdrożenia normy ISO/IEC 27001 w zakresie bezpieczeństwa informacji (numer certyfikatu (…)), co Spółka zweryfikowała i potwierdziła prawdziwość takiej deklaracji,
3) Podmiot przetwarzający miał status certyfikowanego partnera największych globalnych firm oferujących rozwiązania z obszaru cyberbezpieczeństwa (takie jak: (…)), jak również był certyfikowanym partnerem światowych gigantów oferujących rozwiązania IT z najwyższym poziomem bezpieczeństwa IT ((…)),
4) Podmiot przetwarzający działał na rynku od (…), obsługując w czasie składania oferty ponad (…) klientów i współpracując z ponad (…) ekspertami ds. IT i bezpieczeństwa teleinformatycznego,
5) Przed podjęciem decyzji o kontynuacji współpracy Spółka zweryfikowała kompetencje zespołu dedykowanego przez podmiot przetwarzający do współpracy ze Spółką, w tym w ramach uzgadniania warunków współpracy Spółka wymogła na Podmiocie przetwarzającym złożenie następujących oświadczeń oraz podjęcie następujących zobowiązań:
- Podmiot przetwarzający zobowiązał się, że „dołoży wszelkich starań celem zagwarantowania najwyższej jakości świadczonych usług oraz będzie wykonywał wszystkie powierzone mu czynności zgodnie z jego najlepszą wiedzą, z uwzględnieniem profesjonalnego charakteru swojej działalności”,
- „Przetwarzający uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia wdrożył odpowiednie środki techniczne i organizacyjne zgodne z celem realizacji Umowy Właściwej”),
- Przedmiotem pracy wykonawcy było m.in. „Bieżąc[e] zarządzani[e] (administrowaniu) Systemem informatycznym, monitorowani[e] Systemu informatycznego, ze szczególnych uwzględnieniem bezpieczeństwa działania systemu Zleceniodawcy” oraz „Doradztw[o] w zakresie informatyzacji, doboru rozwiązań, prowadzenia projektów informatycznych”;
- Wykonawca zobowiązał się „Dołożyć należytej staranności w celu zapewnienia i utrzymania odpowiednich środków zabezpieczających ochronę Informacji Poufnych przed dostępem i bezprawnym wykorzystaniem przez osoby nieuprawnione” pod rygorem zapłaty kary umownej w wysokości 100.000 zł;
- Podmiot przetwarzający zadeklarował, że zaletą współpracy z nim jest m.in. „Przeniesienie odpowiedzialności za całą infrastrukturę informatyczną i wsparcie użytkowników na jeden podmiot”.
IV.
Prezes UODO pismem z 27 sierpnia 2020 r. zwrócił się do A. z pytaniem, czy Administrator realizował prawo kontroli, o którym mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679, pod kątem zapewnienia przez X. środków wymaganych na mocy art. 32 rozporządzenia 2016/679, a jeżeli tak, to wskazanie kiedy, w jaki sposób i jakie były wyniki takiej kontroli. Organ nadzorczy zwrócił się ponadto o przedstawienie kopii stosownej dokumentacji. W odpowiedzi na tak zadane pytanie A. w piśmie z 7 września 2020 r. wskazał, że „(…) regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków organizacyjnych i technicznych mających zapewnić bezpieczeństwo przetwarzania danych osobowych w obszarze IT zostało w części technicznej powierzone firmie X. w ramach ogólnej współpracy Administratora. Czynności te obejmowały przeglądy raportów z użytkowanych narzędzi, analizy i decyzje związane z dodatkowym zabezpieczeniem, czy badanie podatności infrastruktury IT pod kątem występowania podatności TOP10 OWASP (raport przekazany w załączeniu pisma z dnia 3 czerwca 2020 r.)”.
V.
Administrator przedstawił wyjaśnienia dotyczące zasad – obowiązujących przed wystąpieniem naruszenia ochrony danych osobowych – dokonywania regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem. W piśmie z 3 czerwca 2020 r. Administrator poinformował, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych w obszarze IT zostało powierzone X. w ramach ogólnej obsługi Administratora, dodatkowo załączając do wyjaśnień kopię umowy powierzenia przetwarzania danych z 31 lipca 2019 r. oraz zestawienie przykładowych czynności związanych z testowaniem, mierzeniem i ocenianiem skuteczności środków technicznych i organizacyjnych oraz ich wyników.
Z kolei w piśmie z 3 lutego 2021 r. Administrator wskazał, że w ramach regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa związanych z funkcjonowaniem dotychczasowej witryny (...) były realizowane działania, takie jak powierzenie X. wykonywania regularnych testów bezpieczeństwa zgodnie z wykazem czynności zawartym w ofercie i w umowie powierzenia przetwarzania danych osobowych oraz przeprowadzenie analizy bezpieczeństwa, której raport został załączony do wyjaśnień. Administrator poinformował, że „(…) czynności te obejmowały także przeglądy raportów z użytkowanych narzędzi, analizy i decyzje związane z dodatkowym zabezpieczeniem, czy badanie podatności infrastruktury IT (…)”.
VI.
Kluczową kwestią z punktu widzenia przedmiotowego naruszenia ochrony danych osobowych jest udział Podmiotu przetwarzającego w procesie przeniesienia witryny internetowej dostępnej pod adresem (...) od dotychczasowego dostawcy usług hostingowych bezpośrednio do infrastruktury A. Na wstępie należy wskazać, że Administrator za winnego zaistniałej sytuacji uznaje X., podczas gdy Podmiot przetwarzający wyraża przeciwne stanowisko i wskazuje, że nie posiadał niezbędnych informacji, które powinien otrzymać od Administratora. W celu dokładnego ustalenia stanu faktycznego Prezes UODO zwrócił się zarówno do Administratora, jak i Podmiotu przetwarzającego o przekazanie szczegółowych wyjaśnień dotyczących przeniesienia dotychczasowej strony internetowej do nowego środowiska.
W piśmie z 3 lutego 2021 r. A. wyjaśnił, że „(…) dokonanie przeniesienia dotychczasowej strony internetowej do nowego środowiska zostało przeprowadzone w związku z wykonaniem umowy głównej przez . Zakres obowiązków wskazany został w umowie głównej w paragrafie 2 oraz w przygotowanej dla A. ofercie (…) Dodatkowo według wyjaśnieniami uzyskanymi po zdarzeniu, podmiot przetwarzający potwierdził, że do zdarzenia doszło w wyniku błędu ich pracownika (…) [pisownia oryginalna]”.
W ww. piśmie Administrator wskazał ponadto, że powierzył Podmiotowi Przetwarzającemu zweryfikowanie, czy lokalizacje, w których znajdują się kopie bazy danych, zostały skonfigurowane w sposób zapewniający ich poufność, na co uzyskał od X. informację, że kopie baz danych zostały wykonane zgodnie z wymogami umowy powierzenia przetwarzania danych osobowych i z zapewnieniem odpowiedniego poziomu bezpieczeństwa. Administrator na tej podstawie przyjął, że „(…) całość zadań z obszaru bezpieczeństwa i poufności danych realizowana przez specjalistyczny podmiot przetwarzający daje dostateczne gwarancje dla ochrony danych klientów (…)”. Administrator uznał, że nie ma potrzeby angażowania innego podmiotu, który sprawowałby nadzór nad działaniami podejmowanymi przez X., natomiast sam Administrator nadzorował podejmowane prace i wyniki w ramach kwartalnych przeglądów stanu IT.
X. złożył wyjaśnienia w tym zakresie w piśmie z 15 lipca 2021 r. Wyjaśnienia Podmiotu przetwarzającego potwierdzają, że przeniesienie rzeczonej witryny internetowej zostało wykonane przez X. w ramach obowiązującej umowy. Podmiot przetwarzający wskazał, że jego zadanie polegało na przygotowaniu środowiska uruchomieniowego. X. wybrał do tego „(…) najnowszą, dostępną wówczas, wersję oprogramowania C. oraz komercyjną licencję aktualnej wersji renomowanego systemu operacyjnego do prowadzenia hostingu (…)”, a także wyposażył serwer w oprogramowanie D., które zostało umieszczone w dedykowanym VLAN w adresacji prywatnej. Przeniesienie witryny Administratora było realizowane poprzez wykonanie kopii baz danych do folderu witryny oraz skopiowanie całej struktury folderów wraz z zawartością na nowo przygotowany (zgodnie z dyspozycją Administratora) serwer. X. dokonał wstępnych oględzin i zgłosił Administratorowi fakt, że strona internetowa jest wykonana z wykorzystaniem starego systemu do zarządzania treścią oraz to, że nie była aktualizowana. W powyższym zakresie została wydana rekomendacja dotycząca wprowadzenia niezbędnej aktualizacji. Podmiot przetwarzający wskazał, że nie był uprawniony do podjęcia tego rodzaju działań, nie posiadał niezbędnych dostępów oraz, że przeprowadzenie aktualizacji nie stanowiło przedmiotu zawartej umowy o świadczenie usług. Powyższe zgłoszenia były realizowane ustnie podczas cyklicznych spotkań w obecności Prezesa Zarządu, Dyrektora Marketingu, Inspektora Ochrony Danych oraz przedstawiciela Działu IT Administratora. W trakcie tych spotkań Podmiot przetwarzający kilkukrotnie uzyskiwał informacje, że prace nad nową witryną są na ukończeniu, zaś stara zostanie wkrótce wyłączona.
Podmiot przetwarzający poinformował, że nie otrzymał od Administratora informacji o funkcjonalnościach witryny internetowej (...) (m.in. o tym, że realizuje ona proces rezerwacyjny i że sama w sobie jest zbiorem danych osobowych). Nie posiadał również informacji o tym, że baza danych witryny służy do przetwarzania danych osobowych oraz o tym, że dane te nie są przesyłane do lokalnego systemu zarządzania przedsiębiorstwem. Dodatkowo X. wskazał, że w zawartej pomiędzy stronami postępowania umowie powierzenia przetwarzania danych osobowych, w zakresie przetwarzania danych osobowych, nie została wskazana witryna (...). Wskazał również, że nie otrzymał od Administratora żadnych wytycznych dotyczących kontroli zabezpieczeń witryny uwzględniającej przetwarzane przez nią dane osobowe.
X. wyjaśnił również, że informował Administratora o tym, że jego witryna oparta jest na nieaktualnym oprogramowaniu, a także o tym, że powinna ona posiadać opiekuna merytorycznego, który zapewniłby nadzór na jej eksploatacją. Dodatkowo Podmiot przetwarzający poinformował, że rekomendował Administratorowi wdrożenie rozwiązania klasy Q. służącego do automatycznej analizy logów oraz do korelacji zdarzeń, które mogłyby umożliwić monitorowanie m.in. logów serwera www. Podmiot przetwarzający wskazał również, że Administrator informował go o tym, że przeniesienie witryny do infrastruktury A. jest tymczasowe w związku ze zmianą usługodawcy, a stara witryna zostanie zastąpiona nową i równocześnie zlecał Podmiotowi przetwarzającemu doraźne działania, np. „(…) związane z utratą plików w witrynie po prawdopodobnym włamaniu do niej (…), związane z atakiem na niezabezpieczony formularz witryny (…), czy wyjaśnieniami przekroczeń limitów w usłudze G. i blokowanie adresów wysycających usługę hostingową G. (…)”.
Zgodnie z wyjaśnieniami X., pod koniec lutego 2020 r. A. poinformowała Podmiot przetwarzający o tym, że gotowa jest nowa witryna oraz zleciła mu uruchomienie jej na serwerze dotychczas obsługującym starą witrynę. X. przekazał Administratorowi, że w jego opinii należy podjąć środki zabezpieczające oraz wykonać testy bezpieczeństwa OWASP TOP 10. Testy realizowane były w dniach 19-29 marca 2020 r. i zakończyły się sporządzeniem raportu. W wyniku przeprowadzonych testów Podmiot przetwarzający dokonał zmian zwiększających poziom bezpieczeństwa serwera. Dodatkowo Podmiot przetwarzający wskazał, że aktywnie współpracował z autorem raportu OWASP, autorami nowej witryny oraz autorem API nad implementacją zaleceń raportu. Przedmiotowy raport – jak wskazuje X. – jest istotny z uwagi na fakt, iż testy bezpieczeństwa nowej witryny były wykonywane w marcu 2020 r. na tym samym serwerze, który służył już wówczas do hostowania starej witryny i dotyczyły kontroli poprawności konfiguracji serwera oraz jego usług webowych.
Podmiot przetwarzający wskazał również, że „(…) Spółka [ X. ], przyjmując zlecenie przeniesienia witryny (...) z G. na zarządzany przez siebie serwer, nie posiadając informacji o zakresie przetwarzania realizowanego z wykorzystaniem witryny (...), uwzględniła że ma do czynienia z witryną o charakterze informacyjnym, której baza danych służy do obsługi CMS witryny, tj. wyświetlania jej zawartości i za jej pośrednictwem nie dochodzi do przetwarzania danych osobowych związanych ze świadczeniem usług przez A. A. nigdy nie wskazał, że witryna od wielu lat przetwarza dane jego klientów, zapisuje je w bazie danych systemu CMS i że wspomniana baza znajduje się w środowisku witryny. W związku z tym Spółka - nie posiadając w tym zakresie informacji przekazanych przez administratora danych (A.) - zastosowała zabezpieczenia oraz metodykę wsparcia serwera www, właściwą dla charakteru i zakresu działania witryny, zgodnie z posiadaną wiedzą i dyspozycją przekazaną przez A. (…)”.
W odpowiedzi na pytanie Prezesa UODO, w jaki sposób odbywała się weryfikacja logów serwera O., na którym znajdowała się strona (...), X. wskazał, że korzystał z systemu hostingowego L. i nie dokonywał manualnej kontroli pliku konfiguracyjnego O., gdyż plik ten był w całości zarządzany przez L. i zgodnie ze wskazaniem producenta, Podmiot przetwarzający wykorzystywał tylko funkcjonalności dostępne w interfejsie graficznym. Zgodnie z wyjaśnieniami X., manualne monitorowanie logów nie było wykonywane z uwagi na brak stosownego zlecenia ze strony Administratora oraz wysokie nakłady czasu pracy, którymi nie dysponował Podmiot przetwarzający.
W odpowiedzi na pytanie dotyczące procedur przeglądu infrastruktury sieciowej i aplikacyjnej pod kątem możliwości przełamania zabezpieczeń strony Administratora, X. poinformował, że realizował cykliczny monitoring strony z wykorzystaniem systemu W., realizował przegląd logów oraz posiadał wdrożone polityki, które były skonfigurowane tak, aby zapewnić automatyczną blokadę ruchu do/z hostów, które przekroczyły skonfigurowane w nich zasady. Podmiot przetwarzający wyjaśnił, że rejestrował anomalie w wewnętrznym ruchu sieciowym z wykorzystaniem oprogramowania antywirusowego, w które wyposażone były wszystkie serwery oraz stacje robocze. Kontrola realizowana była raz w tygodniu lub od razu po zarejestrowaniu zdarzenia. W celu umożliwienia monitorowania infrastruktury systemowej X. użyczył Administratorowi komercyjny system do tego przeznaczony, za pomocą którego kontrolowane były aktualizacje systemowe P., replikacja serwerów, replikacje AD oraz inne warunki środowiskowe infrastruktury.
Podmiot przetwarzający poinformował również, że baza danych nie była szyfrowana i do momentu wystąpienia incydentu nie znał jej zawartości. X. uznał, że baza danych witryny służyła do obsługi wyświetlenia informacji na witrynie internetowej i zrezygnował z jej szyfrowania uznając to za zbędne.
X. przekazał, że nie separował sieci management, tj. sieci służącej do zarzadzania telekomunikacją. Serwer posiadał jeden interfejs sieciowy i jeden adres IP, który obsługiwał zarówno ruch produkcyjny serwera oraz zarządzanie nim. Podmiot przetwarzający uznał, że w przypadku tego serwera nie jest potrzebny osobny management, natomiast wprowadzone zostały inne sposoby ochrony dostępu do zarządzania serwerem w ramach standardowych zabezpieczeń, które były dotychczas stosowane przez X. w zakresie przygotowywania serwera do wykonywanych zadań hostingowych. X. wskazał, że nie były ustawiane manualne aliasy oraz nie były zakładane aliasy sub domenowe. Konfiguracja była wykonana automatycznie przez skrypty L. Podmiot przetwarzający wskazał, że realizował przeglądy systemu, w wyniku których sporządzane były raporty oraz rekomendacje, i które były przedstawiane na miesięcznych spotkaniach z Zarządem A.
W piśmie z 15 lipca 2021 r. X. ustosunkował się do twierdzeń A. zawartych w dotychczas złożonych wyjaśnieniach i dokumentach, które Administrator przedłożył organowi nadzorczemu.
X. wskazał, że „(...) nie jest prawdą że popełniony został błąd konfiguracyjny do którego Spółka się przyznała wobec A. w dniu wykrycia incydentu, natomiast prawdą jest że doszło do pochopnej i błędnej jak się okazało interpretacji informacji przekazanych przez V. i taka błędna odpowiedź została sformułowana do IODO A. w dniu 24.04.2020 (…)”.
Podmiot przetwarzający odniósł się do wniosków Raportu (…). W odpowiedzi na wskazane ww. raporcie przyczyny wystąpienia incydentu: „(…) W okresie od początku kwietnia 2020 r. brak regularnej i rutynowej weryfikacji logów serwera O. przez Y. oraz brak standardowych reakcji na pojawiające się próby przełamywania zabezpieczeń. Rutynowe przeglądanie logów wykryłoby próby ataków oraz niestandardową próbę indeksacji zawartości serwera przez (…) (lub intruza) już w dniu 09 kwietnia 2020 r., a odpowiedni wpis deindeksujący w N. zapobiegły ujawnieniu już indeksowanej zawartości (…)” X. polemicznie wskazał, że „(…) w celu szybkiego odnalezienie zagrożenia w logach należało je przeglądać codziennie. Spółka [X.] w zakresie swoich podstawowych obowiązków nie miała takiej możliwości, gdyż nie dysponowała narzędziem które umożliwiłoby automatyzację wykonywania tych czynności [mimo że rekomendowała A. wdrożenie takowego w odniesieniu do wszelkich logów generowanych przez elementy infrastruktury informatycznej] oraz nie dysponowała czasem na ich manualną realizację. Podkreślenia wymaga przy tym, iż podejmowanie tego rodzaju czynności nie zostało na żadnym etapie współpracy zlecone przez A., ani też zobowiązanie do tego rodzaju działań nie wynikało z treści zawartej umowy. Przedstawiona A. oferta świadczenia usług skalkulowana została bez uwzględnienia wykonywania tego rodzaju czynności, o których również Spółka [X.] na moment składania oferty / zawierania umowy nie posiadała wiedzy (w tym czasie witryna znajdowała się w G.). Próby przełamywania zabezpieczeń widoczne były wyłącznie w wybranych okresach w logach O. i być może logach R., więc ich przeglądem powinien zajmować się również webmaster którego Administrator nie wyznaczył. Gdyby A. przekazał Spółce informacje o charakterze funkcjonalnym witryny, zawartości bazy danych i sposobie oraz zakresie przetwarzanych w niej danych, Spółka [X.] miałaby możliwość ustalenia z Administratorem dodatkowych zasad ochrony lub wdrożenia w infrastrukturze Administratora narzędzi umożliwiających ich egzekwowanie (…)”.
W odniesieniu do stwierdzenia zawartego w ww. raporcie: „(…) Przeniesienie strony www z serwisu G. na serwer (…) przez Y. bez weryfikacji podatności przenoszonej strony www. Już podstawowa weryfikacja wersji strony www wskazałaby na framework R. w wersji poniżej (…), czyli podatnej na wykonywanie skryptów zewnętrznych i przełamywanie zabezpieczeń. Dodatkowo brak weryfikacji przenoszonej strony www powoduje konieczność przeskalowania infrastruktury zdolnej do utrzymania zapytań, z których spora część to boty lub ruch wykorzystujący podatności strony www. Przekłada się na podnoszenie kosztu utrzymania rozwiązania oraz wybór nieoptymalnych rozwiązań [np. C. przy jednoczesnym wyłączaniu ruchu proxy] (…)” Podmiot przetwarzający wskazał, że „(…) Spółka nie miała obowiązku dokonywać analizy bezpieczeństwa komponentów zastosowanych w witrynie, gdyż otrzymała od Administratora jedynie polecenie jej przeniesienia. Mimo tego Spółka informowała Administratora w okresie poprzedzającym jej przeniesienie, że witryna wymaga aktualizacji, natomiast jej wykonanie nie leżało w zakresie obowiązków Spółki wynikających z Umowy Spółki z A. (…)”.
VII.
W związku z istniejącymi rozbieżnościami między wyjaśnieniami Administratora i Podmiotu przetwarzającego, 30 sierpnia 2021 r. Prezes UODO skierował do A. i X. wezwanie do złożenia wyjaśnień w zakresie wskazania bezpośredniej przyczyny nieprawidłowej konfiguracji, która doprowadziła do naruszenia ochrony danych osobowych.
Administrator w piśmie z 6 września 2021 r., które było odpowiedzią na ww. wezwanie Prezesa UODO, wskazał, że bezpośrednią przyczyną incydentu, który doprowadził do naruszenia ochrony danych osobowych był błąd konfiguracji serwera, który skutkował możliwością indeksowania plików znajdujących się na serwerze przez roboty indeksujące.
W odpowiedzi na ww. wezwanie pismem z 7 września 2021 r. Podmiot przetwarzający wyjaśnił, że w jego ocenie „(…) zaistniała sytuacja nie była następstwem nieprawidłowej konfiguracji serwera ani też konsekwencją czynności do których realizacji (…) była zobowiązana (…)”. Podmiot przetwarzający wskazał, że w jego ocenie nieprawidłowości mogły wynikać z nieprzekazania mu przez Administratora informacji o faktycznym przeznaczeniu systemu i baz danych, przygotowania wyłącznie domyślnej konfiguracji panelu hostingowego dostarczonego przez jego producenta, bez przeprowadzenia jego konfiguracji uwzględniającej specyfikę przetwarzanych danych, eksploatację na potrzeby witryny nieaktualnego systemu zarządzania treścią. X. podkreśliła w ww. piśmie, że przyczyną incydentu nie była nieprawidłowa konfiguracja serwera, gdyż żaden element konfiguracji O. czy serwera nie skutkował umożliwieniem dokonania instalacji exploitów. Podmiot przetwarzający ponownie podniósł, że w wyniku braku wytycznych ze strony Administratora samodzielnie przyjął i zastosował środki ochrony, które według niego były współmierne do znanego mu charakteru witryny.
VIII.
Prezes UODO wezwał 27 września 2021 r. A. do przedstawienia dowodów potwierdzających, że Podmiot przetwarzający był odpowiedzialny za zaistnienie incydentu.
W odpowiedzi na ww. wezwanie pismem z 6 października 2021 r. Administrator wyjaśnił, że Podmiot przetwarzający realizował zlecenie przeniesienia witryny internetowej pod adresem (...) od dotychczasowego dostawcy usług hostingowych na serwer w infrastrukturze A. w ramach czynności określonych umową z 31 lipca 2019 r. W ramach ww. umowy do Podmiotu przetwarzającego należało między innymi doradztwo w zakresie informatyzacji, dobór odpowiednich rozwiązań oraz prowadzenie projektów informatycznych. Zakres obowiązków określał załącznik do umowy i obejmował on:
- proaktywną kontrolę systemu informatycznego,
- zabezpieczenia i analizę zdarzeń,
- prowadzenie projektów informatyzacji procesów biznesowych, doradztwo IT w zakresie zapewnienia i dobór narzędzi informatycznych,
- ochronę przetwarzania informatyzacji, testy penetracyjne, analizę zagrożeń i ryzyka,
- monitorowanie zdarzeń systemowych związanych z przetwarzaniem danych, wdrażanie dedykowanych rozwiązań.
Administrator podkreślił, że w zakresie wyżej wymienionych zadań, Podmiot przetwarzający był zobowiązany do bezpiecznego, prawidłowego i wolnego od błędów wykonania zleconej i przyjętej do realizacji usługi. Administrator wskazał, że X. miał w swoich obowiązkach analizę logów w taki sposób, aby możliwe było bieżące monitorowanie, czy przy realizowanych zadaniach nie dochodziło do żadnych anomalii, które mogłyby zagrozić bezpieczeństwu informatycznemu Administratora.
Administrator w ww. piśmie wskazał ponadto, że „(…) wyjaśnienia podmiotu przetwarzającego odnośnie jego niewiedzy, że witryna (...) jest również zbiorem danych, pozostają dla niniejszego postępowania bez znaczenia, gdyż kluczowym faktem w sprawie jest zrealizowana przez podmiot przetwarzający błędna konfiguracja serwera, która umożliwiła w konsekwencji ujawnienie danych zawartych w plikach witryny osobom do tego nieupoważnionym. Fakt, że były to dane osobowe jest kwestią wtórną [choć z uwagi na charakter tych danych niezwykle wrażliwą i o bardzo dużym ciężarze gatunkowym], gdyż nigdy nie powinno się bez jakiejkolwiek kontroli i świadomości dopuścić indeksowania jakichkolwiek plików witryny, niezależnie od ich zawartości. Ponadto wskazać należy, że tłumaczenie podmiotu przetwarzającego o braku wiedzy na temat zawartości witryny świadczy tym bardziej o braku należytej staranności tego podmiotu, który realizował przeniesienie witryny nie mając dostatecznego zasobu informacji pozwalającego wykonać te czynności w sposób prawidłowy i bezpieczny dla administratora. To podmiot przetwarzający winien podjąć niezbędne czynności zmierzające do ustalenia w sposób dostateczny co jest przedmiotem przeniesienia, a w przypadku braku dostatecznych informacji dokonać oceny ryzyka i ewentualnie odmówić realizacji zlecenia. Ale, co należy podkreślić ponownie, nawet, gdyby podmiot przetwarzający miał wiedzę o tym, że pliki witryny zawierają dane osobowe [choć powinien tę wiedzę mieć] - nie zmieniłoby to okoliczności wykonania błędnej konfiguracji przed podmiot przetwarzający (…) Podmiot przetwarzający, jako profesjonalista i podmiot, któremu powierzono opiekę nad całością systemów administratora miał w swoich obowiązkach analizę logów w taki sposób, aby na bieżąco monitorować czy przy realizowanych zadaniach nie dochodzi do żadnych anomalii, które mogłyby zagrozić bezpieczeństwu informatycznemu administratora. Po stronie podmiotu przetwarzającego leżał ciężar doboru takich rozwiązań monitorujących, aby w sposób odpowiednio zaawansowany i wystarczający zidentyfikować potencjalne ryzyka i zagrożenia. Wyjaśnienia podmiotu przetwarzającego, że nie posiadał odpowiednich zasobów czasowych oraz ludzkich, aby w sposób właściwy dokonywać analizy logów nie mogą być uznane za należyte usprawiedliwienie, gdyż organizacja pracy podmiotu przetwarzającego stanowi jego wewnętrzną kwestię, a administrator miał prawo oczekiwać należycie wykonanych usług (…)”.
IX.
Prezes UODO wezwał Administratora do udzielenia informacji, czy przeprowadził analizę ryzyka w celu zapewnienia odpowiedniego stopnia bezpieczeństwa odpowiadającemu temu ryzyku zgodnie z art. 32 ust. 1 i 2 rozporządzenia 2016/679 oraz czy informował Podmiot przetwarzający o tym, że przeniesienie witryny internetowej (...) od dotychczasowego dostawcy usług hostingowych na serwer w infrastrukturze A. związane jest z przetwarzaniem danych osobowych klientów.
W odpowiedzi na ww. wezwanie, Administrator w dniu 25 kwietnia 2022 r. poinformował, że nie przeprowadził analizy ryzyka wskazując, że „(…) zgodnie z przyjętym na siebie zobowiązaniem, wynikającym z § (...) ust. (…) umowy powierzenia przetwarzania danych osobowych, znajdującej się w aktach odnośnej sprawy, przeprowadzenie analizy ryzyka w imieniu Administratora było wyłącznym obowiązkiem Podmiotu przetwarzającego. Mając na względzie charakter usługi i profesjonalny charakter Podmiotu przetwarzającego, obowiązek analizy ryzyka związany z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, związanych z przeniesieniem witryny internetowej od dotychczasowego dostawcy usług hostingowy na serwer w infrastrukturze A., bezwzględnym obowiązkiem Podmiotu przetwarzającego było wdrożenie odpowiednich środki technicznych i organizacyjnych, zapewniających stopień bezpieczeństwa odpowiadającemu temu ryzyku (…)”.
W ww. piśmie Administrator wskazał, że rola Podmiotu przetwarzającego w organizacji polegała na monitorowaniu systemów IT w sposób kompleksowy i całościowy oraz ścisłej współpracy z Administratorem w zakresie wdrożenia i utrzymania tych systemów. W piśmie Administrator poinformował, że „(…) nawet gdyby Podmiot Przetwarzający nie wiedział, że przenoszenie danych dotyczy danych osobowych, co zasadniczo uznać należy za wysoce nieprawdopodobne, to jako profesjonalista powinien dochować należytej staranności, aby dowiedzieć się, co objęte jest usługą przenoszenia danych na serwer Administratora (…)”.
X.
W dniu 9 maja 2022 r. Prezes UODO skierował do Administratora kolejne pismo zwracając się o informacje, czy umowy z 31 lipca 2019 r. obejmowały zarządzanie stroną internetową oraz przeniesienie witryny internetowej, wskazanie, które oprogramowanie wymienione w załączniku do umowy powierzenia przetwarzania danych służyło do przetwarzania danych osobowych zawartych na stronie (...) oraz wskazanie, w jaki sposób i kiedy zlecił Podmiotowi przetwarzającemu przeniesienie strony internetowej do nowego środowiska.
W odpowiedzi na ww. wezwanie Administrator poinformował, że umowa o świadczenie usług informatycznych oraz umowa powierzenia przetwarzania danych osobowych zawarte z Podmiotem przetwarzającym niewątpliwie obejmowały zarządzanie stroną internetową, a co za tym idzie działanie polegające na przeniesieniu witryny internetowej. Zlecenie obsługi miało charakter kompleksowy i dotyczyło całości obszaru IT. Administrator poinformował, że z uwagi na okoliczność, że wsparcie Podmiotu przetwarzającego było bardzo szerokie oraz, że był odpowiedzialny za obszar IT, zakres danych osobowych określono wskazując na dane zawarte we wskazanych systemach informatycznych. Powyższe w ocenie Administratora było zgodne z konstrukcją umowy powierzenia, która przewidywała określenie zakresu, celu oraz powierzonych operacji w odrębnym załączniku. Zakres przetwarzanych danych za pomocą strony (...) nie był szerszy niż zakres danych przetwarzanych we wskazanych systemach IT. Spółka wskazała ponadto, że „(…) podmiot przetwarzający przyjmując zlecenie przeniesienia strony internetowej miało zrealizować, to zgodnie z należytą starannością jako profesjonalista w tym zakresie. W tym celu podmiot przetwarzający otrzymał dostęp do strony (...). w celu odpowiedniego przygotowania migracji [okoliczność potwierdzona w wyjaśnieniach podmiot przetwarzający złożonych w UODO w niniejszej sprawie]. Oczywistym jest, iż jedną z okoliczności jakie podmiot przetwarzający musiał wziąć pod uwagę była kwestia czy za pomocą nowej strony internetowej będą przetwarzane dane osobowe [pisownia oryginalna](…)”.
XI.
Podmiot przetwarzający złożył wyjaśniania w zakresie podejmowanych działań w związku ze wzmożonym ruchem i przekroczeniem limitów na serwerze Administratora, informowania Administratora o ewentualnych efektach działań sprawdzających w ww. zakresie, a także przedłożył informację dotyczące jego udziału w procesie administrowania witryną internetową – z niezaszyfrowaną bazą danych – która znajdowała się w pierwotnej lokalizacji. Pismem z 4 października 2022 r. Podmiot przetwarzający wyjaśnił, że nie prowadził „(…) działań mających na celu dokonywanie jakiejkolwiek weryfikacji sposobu, zakresu lub faktycznego przetwarzania danych osobowych. Pomiędzy Spółką [X.] a A. (…) nie została zawarta umowa, na podstawie której Spółka byłaby [X.] zobowiązana do podejmowania działań tego rodzaju (…) Spółka [X.] w całości podtrzymuje dotychczasowe stanowisko w sprawie, podkreślając przy tym, że proces zmierzający do przeniesienia platformy teleinformatycznej A. wykonano w sposób prawidłowy, bezpieczny [w zakresie realizowanych przez Spółkę czynności] i wolny od błędów. Kopie robocze plików sporządzono na te potrzeby migracji bazy danych oraz plików występujących u hostingodawcy (G.), a pozostawienie ww. kopii na serwerze po zakończeniu procesu przenoszenia platformy nie może zostać uznane za działanie nieprawidłowe (…) Kopia zrealizowana została również z uwagi na fakt, że poprawność działania witryny po przeniesieniu miało zostać sprawdzone przez A. oraz z uwagi na skasowanie, w nieodległym od przeniesienia czasie, konta hostingowego przez G. [zakończenie świadczenia usługi]. Nie bez znaczenia pozostaje w tym zakresie fakt, iż - zgodnie z informacjami uzyskanymi przez Spółkę od A., witryna - a co za tym idzie można wnioskować że również jej baza danych, służyła wyłącznie do obsługi treści publikowanych za pośrednictwem platformy, nie zaś do przechowywania danych osobowych czy jakiegokolwiek ich przetwarzania oraz miała zostać finalnie w bardzo krótkim czasie wyłączona w związku z uruchomieniem nowej witryny o którym A. informował Spółkę [co efektywnie nie nastąpiło w związku z opóźnieniem w przygotowaniu nowego serwisu].
Przedmiot przetwarzający wskazał, że dobrał oraz zastosował środki organizacyjne i techniczne (zabezpieczenia) odpowiednie do rzetelnego i prawidłowego zrealizowania zakresu współpracy – utrzymania w ruchu witryny (...) (witryny informacyjnej) – na przygotowanym przez X. serwerze. Podmiot przetwarzający podniósł, że całodobowe monitorowanie logów nie było nigdy przedmiotem zawartej przez strony umowy. Dalej X. wyjaśnił, że „(…) podobnie nie było nim przygotowanie serwera [<środowiska uruchomieniowego>] dla witryny przetwarzającej dane osobowe. Witryna (...) nie znalazła się na liście systemów lub zbiorów danych objętych umową powierzenia danych osobowych ani zleceniem dotyczącym ich przetwarzania (…) Spółka [X.] nie posiadała uprawnień, zgody A. ani też obowiązku dokonywania jakichkolwiek aktualizacji bazy danych witryny w toku jej przenosin na nowy serwer lub po zakończeniu tego procesu, w szczególności na potrzeby ewentualnego poszukiwania określonych struktur baz danych [tabel] mogących zawierać dane osobowe (…) Z punktu widzenia prowadzonego przez UODO postępowania istotne wydaje się nadto, iż A. nie poinformował Spółki [X.] w toku współpracy o faktycznej zawartości platformy [przetwarzaniu za jej pośrednictwem danych osobowych] oraz nie podjął żadnych działań zmierzających do umożliwienia Spółce [X.] nawiązania kontaktu z autorem witryny (...) lub osobami tę stronę internetową obsługującymi (pomimo że Spółka [X.] bezpośrednio wnosiła o przekazanie danych kontaktowych] (…)”.
Prezes UODO pismem z 26 września 2022 r. zwrócił się do A. wskazanie, czy Podmiot przetwarzający podejmował działania sprawdzające w związku z ww. wzmożonym ruchem i przekroczeniem limitów na serwerze. Administrator w odpowiedzi na ww. pismo, 5 października 2022 r. poinformował, że Podmiot przetwarzający nie wykonywał działań sprawdzających i wbrew obowiązkom wynikającym z umów z 31 lipca 2019 r. nie monitorował i nie analizował logów serwera www. Administrator wskazał, że Podmiot przetwarzający sprawował kompleksową opiekę nad środowiskiem informatycznym A. i w wielu przypadkach Podmiot przetwarzający działał samodzielnie, dokonując bieżącej oceny, jakie czynności są potrzebne lub niezbędne. Administrator podniósł, że Podmiot przetwarzający w swoich wyjaśnieniach nie jest spójny z uwagi na to, że jednocześnie zarzuca Administratorowi brak umowy, która zobowiązywałaby go do analizy logów, jednocześnie wskazując, że nie wykonywał ww. analizy, ponieważ nie jest ona wskazana z przyczyn technicznych.
XII.
A. przedstawił wyjaśnienia dotyczące wprowadzenia środków bezpieczeństwa mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia ochrony danych osobowych, których wprowadzenia zadeklarowała w pkt 9B zgłoszenia naruszenia ochrony danych osobowych. W piśmie z 3 czerwca 2020 r. Administrator poinformował m.in. że:
- podjął decyzję o całkowitym wyeliminowaniu przetwarzania danych w witrynach internetowych czasowo nieaktywnych lub dezaktywowanych,
- zaktualizował procedurę wykonywania i przechowywania kopii zapasowych,
- dokonał przeglądu infrastruktury sieciowej i aplikacyjnej pod kątem możliwych podatności oraz możliwości przełamania zabezpieczeń,
- wprowadził nowe standardy szyfrowania baz danych,
- zweryfikował wpisy w pliku konfiguracyjnym O.,
- podjął decyzję o wprowadzeniu nowego rozwiązania w zakresie badania nietypowego ruchu,
- zatrudnił osobę odpowiedzialną za weryfikację realizacji określonych rozwiązań technologicznych oraz opisał stosowane zasady zabezpieczenia haseł osób, których dotyczy naruszenie.
Na wniosek organu nadzorczego o przedłożenie dodatkowych wyjaśnień w zakresie wprowadzenia środków bezpieczeństwa mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia ochrony danych osobowych, Administrator w piśmie z 7 września 2020 r. wyjaśnił m.in., że:
1) weryfikacja i analiza architektury sieci, systemów i aplikacji została dokonana i wyciągnięto z niej następujące wnioski:
- (…)
2) Administrator wprowadził zmiany w zakresie badania nietypowego ruchu w sieci poprzez:
- (…)
Organ nadzorczy dokonał oceny materiału dowodowego pod kątem zbadania jego wiarygodności i mocy dowodowej. Prezes UODO uznał przedłożone przez Administratora i Podmiot przetwarzający dowody za wiarygodne, bowiem – z uwagi na indywidualne cechy tych dowodów i obiektywne okoliczności ich powstania – nie ma podstaw do kwestionowania ich wiarygodności. Jednocześnie wskazać należy, że stanowiska prezentowane przez Administratora i Podmiot przetwarzający są ze sobą sprzeczne. Brak spójności wyjaśnień Administratora i Podmiotu przetwarzającego dotyczy przede wszystkim kwestii odpowiedzialności za brak wdrożenia środków technicznych i organizacyjnych gwarantujących bezpieczeństwo w procesie przetwarzania danych osobowych. W toku przeprowadzonego postępowania administracyjnego A. próbował udowodnić, że to Podmiot przetwarzający był odpowiedzialny za wdrożenie adekwatnych środków zapewniających bezpieczeństwo w procesie przetwarzania danych osobowych. Przeciwnie X. wskazywał, że odpowiedzialność za naruszenie ochrony danych osobowych ponosił Administrator.
Prezes UODO stwierdził, że moc dowodowa części dokumentów przedłożonych przez Administratora, w szczególności umowy (…) zawarta między A. a X. oraz (…) zawarta między A. a X. jest ograniczona, tzn. część dowodów przedłożonych przez Administratora (wbrew stanowisku A.) nie potwierdza tezy, że Podmiot przetwarzający otrzymał od A. wszystkie niezbędne informacje dotyczące przeniesienia strony internetowej (...), których otrzymanie było niezbędne dla wdrożenia adekwatnych środków bezpieczeństwa dla procesu przetwarzania danych osobowych związanego z przeniesieniem ww. strony internetowej. Szczegółowe uzasadnienie siły przekonywania ww. dowodów zostało zawarte w uzasadnieniu decyzji.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781; zwanej dalej: ustawą z dnia 10 maja 2018 r.), Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.
I. Zasady bezpieczeństwa przetwarzania danych osobowych.
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, stanowią dalsze przepisy tego aktu prawnego. Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
W ustalonym stanie faktycznym i prawnym Prezes UODO stwierdził, że doszło do naruszenia ochrony danych osobowych, które nastąpiło na skutek uzyskania dostępu do pliku bazy danych klientów A. zawartych na stronie internetowej (...). przez osoby nieuprawnione (fakt ten potwierdza raport z analizy incydentu bezpieczeństwa – por. pkt I uzasadnienia faktycznego). Wskutek powyższego A. naruszył zasadę poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Do naruszenia doszło w wyniku dopuszczenia indeksacji plików baz danych przez robota Z.. Proces przeniesienia strony internetowej zawierającej bazę danych osobowych od dotychczasowego dostawy usług hostingowych do nowego środowiska został przeprowadzony na zlecenie A. przez X..
Administrator w złożonych wyjaśnieniach informował, że powierzył X. zweryfikowanie, czy lokalizacja, w których znajdują się kopie bazy danych jest skonfigurowana w sposób prawidłowy i wskazał, że uzyskał od X. potwierdzenie, że kopie baz danych zostały wykonane prawidłowo i z zapewnieniem odpowiedniego poziomu bezpieczeństwa. W oparciu o te informacje Administrator przyjął, że całość zadań z obszaru bezpieczeństwa IT, realizowanych przez wykwalifikowany podmiot, daje ostateczne gwarancje dla ochrony danych osobowych klientów. Podkreślić należy, że Administrator pomimo posiadanej wiedzy jak zgodnie z powszechnie stosowanymi praktykami powinno przebiegać wdrożenie zmian w systemie informatycznym na żadnym etapie nie prowadził nadzoru nad tym, czy wdrożenie przebiega zgodnie z powszechnie obowiązującymi standardami oraz umową powierzenia przetwarzania danych osobowych pomimo, że jak wskazał utrzymywał „kompetencje nadzoru i przeglądu wyników prac wykonawcy”.
Administrator nie podjął samodzielnych działań i nie zweryfikował, czy lokalizacja, w których znajdują się kopie bazy danych, jest skonfigurowana w sposób zapewniający ich poufność. Według przekazanych wyjaśnień, Administrator na podstawie informacji otrzymanych od X. przyjął, że całość wykonanych przez „specjalistyczny podmiot” zadań z obszaru bezpieczeństwa i poufności danych, daje dostateczne gwarancje ochrony dla klientów. Jak zostanie uzasadnione w dalszej części decyzji, to niewłaściwe działanie Administratora walnie przyczyniło się wystąpienia naruszenia poufności danych osobowych.
Ze zgromadzonego materiału dowodowego wynika, że A. zawarł 31 lipca 2019 r. umowę (…). Analiza postanowień tej umowy wskazuje na fakt, że X. zobowiązał się do wykonywania bieżącej obsługi oraz sprawowania nadzoru nad systemem informatycznych A. Kwestię przetwarzania danych osobowych związanego z wykonywaniem ww. umowy regulował odrębny dokument, tj. umowa (…)(por. pkt II uzasadnienia faktycznego).
II. Zarządzanie ryzykiem naruszenia ochrony danych osobowych.
Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych. Zarządzanie ryzykiem ma charakter ciągłego procesu wymuszającego na administratorze danych nie tylko zapewnienie zgodności z przepisami rozporządzenia 2016/679 poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale także zapewnienie ciągłości monitorowania poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Wobec powyższego koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma zatem przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiego podejścia jest konieczność samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Podkreślić należy, że administratorom nie są wskazywane konkretne środki i procedury w zakresie bezpieczeństwa.
W kontekście powyższego wskazać należy, że analiza ryzyka przeprowadzana przez administratora danych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora danych, albowiem w zależności właśnie od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych.
Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego naruszenia ochrony danych osobowych. Jest oczywistym, że szeroki zakres danych osobowych lub przetwarzanie danych osobowych, o których mowa w art. 9 lub art. 10 rozporządzenia 2016/679, może spowodować (w przypadku wystąpienia naruszenia ochrony danych osobowych) daleko idące negatywne skutki dla osób, których dane dotyczą, więc winny one być oceniane jako aktywa o wysokiej wartości, a co za tym idzie stopień ich ochrony powinien być odpowiednio wysoki.
Określenie istniejących lub stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego, po pierwsze, może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.
Podatność jest określana powszechnie jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia i z jakiego kierunku (powodu) mogą się pojawić.
Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Zazwyczaj wykorzystuje się macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, przedstawiając poziomy ryzyka, dla których organizacja definiuje odpowiednie działania.
Podkreślić należy, że zarządzanie ryzykiem (przeprowadzenie analizy ryzyka i na tej podstawie wdrożenie odpowiednich zabezpieczeń) jest jednym z podstawowych elementów systemu ochrony danych osobowych i ma charakter ciągłego procesu. Winna więc następować okresowa weryfikacja zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, stosownie do wymogu przewidzianego w art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Administrator danych powinien zatem regularnie testować, mierzyć i oceniać skuteczność środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania.
Nowe ryzyka lub zagrożenia mogą zmaterializować się lub zostać ujawnione również samoistnie, w sposób całkowicie niezależny od administratora i jest to fakt, który również powinien być brany pod uwagę zarówno podczas budowania systemu ochrony danych osobowych, jak i w czasie jego realizowania. To zaś z kolei definiuje konieczność prowadzenia regularnej weryfikacji całego systemu ochrony danych osobowych zarówno pod kątem adekwatności, jak i skuteczności wdrożonych rozwiązań organizacyjnych i technicznych.
Podkreślić również należy, że badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.
W tym kontekście należy wskazać, że WSA w Warszawie w wyroku z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19 (utrzymanym wyrokiem NSA z 28 lutego 2024 r., sygn. akt II OSK 3839/21), podniósł, że „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych.”
Biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez Administratora w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, a także działań zmierzających do optymalnego zabezpieczenia i konfiguracji wykorzystywanych zasobów, narzędzi i urządzeń (w tym sprzętu komputerowego) poprzez regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych w postaci testów bezpieczeństwa w zakresie infrastruktury informatycznej oraz aplikacji. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Jak podkreślił WSA w Warszawie w wyrokach z 13 maja 2021 r., sygn. akt II SA/Wa 2129/20, oraz z 5 października 2023 r., sygn. akt II SA/Wa 502/23, „Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”.
Prowadzenie prac związanych z przenoszeniem systemu informatycznego służącego do przetwarzania danych osobowych do innej lokalizacji powinno być poprzedzone dokonaniem szczegółowych analiz pod kątem ustalenia wpływu tej czynności na bezpieczeństwo danych przetwarzanych w tym systemie. Szczególnie istotne jest zweryfikowanie, czy do wykonania tej operacji wykorzystane zostały odpowiednie środki techniczne i organizacyjne zapewniające poufność danych. Obowiązki w tym zakresie dla Administratora i Podmiotu przetwarzającego wynikają wprost z art. 32 ust. 1 i 2 rozporządzenia 2016/679.
W stanie faktycznym niniejszej sprawy, jak wynika z pisma z 25 kwietnia 2022 r., Administrator nie przeprowadził analizy ryzyka przed przeniesieniem witryny internetowej od dotychczasowego dostawcy usług hostingowych na serwer w infrastrukturze A., informując, że zgodnie z § (…) ust. 1 lit.(…) umowy (…) przeprowadzanie takiej analizy było obowiązkiem Podmiotu przetwarzającego.
Organ nadzorczy dokonując oceny mocy dowodowej przedłożonych umów regulujących kwestię współpracy między A. a X. (umowa (…) oraz umowa (…) – omówione szczegółowo w pkt II uzasadnienia faktycznego) uznał, że nie wskazują one jednoznacznie, że Podmiot przetwarzający otrzymał od Administratora wystarczające informacje niezbędne dla przeniesienie strony internetowej do nowego środowiska w sposób gwarantujący bezpieczeństwo dla procesu przetwarzania danych osobowych. Brak przekonywujących dowodów potwierdzających właściwą komunikację między Administratorem a Podmiotem przetwarzającym dotyczy także współpracy między tymi podmiotami związanej z koniecznością przeprowadzenia analizy ryzyka. Podkreślić zatem leży, że deficyt właściwej komunikacji objawia się już na samym początku procesu przetwarzania danych osobowych, który był realizowany na polecenie Administratora przez Podmiot przetwarzający. Omawiane umowy (a szczególnie umowa powierzenia przetwarzania danych osobowych) są skonstruowane w sposób bardzo ogólny (por. pkt II uzasadnienia faktycznego). Administrator, konstruując umowę powierzenia, w gruncie rzeczy przepisał treść niektórych artykułów rozporządzenia 2016/679 i nie odniósł jej postanowień do konkretnych czynności związanych z procesem przetwarzania danych osobowych, które odbywało się w imieniu Administratora przez Podmiot przetwarzający. Organ nadzorczy nie kwestionuje, że przedłożona w toku postępowania administracyjnego umowa powierzenia została zawarta. Niemniej jednak moc dowodowa tego dokumentu w odniesieniu do konkretnych faktów, które – zdaniem Administratora –miały miejsce, jest znikoma.
W omawianym przypadku należy podkreślić, że analiza ryzyka oraz zarządzanie ryzykiem są procesami wymagającymi współpracy wszystkich zainteresowanych stron i jako takie wymagają przede wszystkim zaplanowania, zorganizowania, kierowania oraz kontrolowania zasobów wykorzystywanych do przetwarzania, realizacji samych czynności przetwarzania oraz badania i wykrywania ewentualnych podatności oraz luk. W szczególności konieczne jest analizowanie wpływu każdej zmiany na poziom bezpieczeństwa przetwarzanych danych. Co za tym idzie, przed wykonaniem jakichkolwiek działań, zwłaszcza polegających np. na przenoszeniu zasobu obejmującego dane osobowe z jednej lokalizacji do innej lokalizacji, Administrator i Podmiot przetwarzający winni zachować jak najdalej posuniętą ostrożność, zaś przed wdrożeniem samej zmiany winni określić zasady jej wprowadzenia, zwłaszcza w kontekście zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych, oraz sprawdzić, czy operacja została zakończona całkowitym sukcesem nie tylko pod kątem sprawności działania aplikacji lub systemu, ale również pod kątem zrealizowania wymagań przepisów prawa, w tym przepisów rozporządzenia 2016/679 nakładających obowiązki w zakresie zapewnienia odpowiedniego poziomu bezpieczeństwa danych. Biorąc powyższe pod uwagę wskazać należy, że Administrator zobowiązany był do dokonania weryfikacji, czy dane osobowe są odpowiednio zabezpieczone przed dostępem do nich osób nieuprawnionych.
Nie zasługują na uwzględnienie tezy A. zawarte w piśmie z 27 września 2021 r., zgodnie z którymi fakt, że witryna (...) jest zbiorem danych pozostaje dla niniejszego postępowania bez znaczenia, a fakt, że były to dane osobowe jest kwestią wtórną (por. pkt VIII uzasadnienia faktycznego). To właśnie fakt, że rzeczona strona internetowa zawierała bazę danych osobowych jest kluczowy z punktu widzenia ochrony danych osobowych, bowiem fakt ten decyduje o konieczności wdrożenia określonych (adekwatnych) środków technicznych mających na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych. Organ nadzorczy nie wskazuje administratorom, jakie warunki techniczne powinni oni spełniać, aby nie dochodziło do naruszeń ochrony danych osobowych. To Administrator, mając świadomość, że przetwarza dane osobowe, znając ich charakter i zakres, po rzetelnie przeprowadzonej analizie ryzyka decyduje o tym, jakie adekwatne środki organizacyjne i techniczne powinny zostać przez niego wdrożone. Co więcej, powinien być w stanie – przed organem nadzorczym – wykazać, że takie środki rzeczywiście wdrożył. Jak wskazał WSA w Warszawie w wyroku z 5 października 2023 r., sygn. akt II SA/Wa 502/23, „organ nadzorczy nie jest zobowiązany do wskazywania Administratorowi rozwiązań technicznych i organizacyjnych, które powinien on wdrożyć, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. To zadaniem Administratora jest wprowadzenie tych środków, a następnie – jeżeli pojawi się taka konieczność – wykazanie, że przestrzega on zasad przetwarzania danych osobowych określonych w rozporządzeniu 2016/679, zgodnie z zasadą rozliczalności (art. 5 ust. 2 ww. rozporządzenia)”. Z kolei NSA w wyroku z 9 lutego 2023 r., sygn. akt III OSK 3945/21, wskazał, że „Na gruncie RODO prawodawca odszedł od statycznego określenia wymaganych od administratora środków technicznych i organizacyjnych na rzecz dynamicznej oceny przyjętych środków bezpieczeństwa. Powyższe oznacza, że to na administratorze i podmiocie przetwarzającym spoczywa obowiązek określenia odpowiednich (adekwatnych) środków bezpieczeństwa, z zachowaniem kompetencji organu nadzorczego do weryfikacji przyjętego poziomu zabezpieczeń”.
Powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu nie zwalnia Administratora z obowiązków wynikających z art. 32 ust. 1 i 2 rozporządzenia 2016/679. Zatem – wbrew stanowisku A. wskazanym w piśmie z 27 września 2021 r. – kluczową kwestią jest fakt, że przenoszona strona internetowa zawierała bazę danych osobowych klientów Spółki.
Zgodnie z art. 4 pkt 7 rozporządzenia 2016/649 "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Z kolei art. 4 pkt 8 rozporządzenia 2016/679 stanowi, że "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Wskazując na relację między administratorem a podmiotem przetwarzającym podkreślić należy, że obowiązek przeprowadzenia rzetelnej analizy ryzyka wynika także z powołanych już powyżej przepisów prawa zawartych w art. 24 i 25 rozporządzenia 2016/679 – te zaś odnoszą się tylko do administratora. A zatem korzystanie z usług podmiotu przetwarzającego nie zwalnia administratora z obowiązków doboru adekwatnych środków gwarantujących bezpieczeństwo w procesie przetwarzania danych osobowych i nie może stanowić argumentu za przeniesieniem odpowiedzialności za dobór i wdrożenie środków, o których mowa wyżej, na rzecz podmiotu przetwarzającego.
Trzeba zaznaczyć, że dla właściwego przeprowadzenia analizy ryzyka niezbędne jest posiadanie całego spektrum informacji. Nawet gdyby przyjąć, że z tego ogólnego postanowienia umowy powierzenia wynika, że obowiązek przeprowadzenia analizy ryzyka ciążył tylko na podmiocie przetwarzającym (co w samo w sobie jest sprzeczne z art. 32 ust. 1 rozporządzenia 2016/679) to podmiot przetwarzający, by móc taką analizę ryzyka przeprowadzić, powinien mieć wiedzę dotyczącą chociażby tego, że na przenoszonej stronie internetowej znajdują się dane osobowe o konkretnych zakresie, przetwarzanym w konkretnym celu. Administrator w toku postępowania administracyjnego nie uwiarygodnił – zgodnie z zasadą rozliczalności – że przekazał Podmiotowi przetwarzającemu informacje, że na przenoszonej witrynie internetowej znajduje się baza danych osobowych o konkretnych właściwościach.
Potwierdzeniem braku skutecznej komunikacji jest przedłożony w toku postępowania raport z analizy incydentu przeprowadzony dla A., w którym wskazano, że przeniesienie strony internetowej do nowego środowiska nastąpiło z pominięciem weryfikacji podatności przenoszonej strony www (por. pkt I uzasadnienia faktycznego). Podkreślić należy, że identyfikacja tych podatności powinna nastąpić w ramach przeprowadzonej analizy ryzyka, a A. nie przedłożył przekonywujących dowodów, które potwierdzałyby, że przekazał Podmiotowi przetwarzającemu wszystkie niezbędne informacje dla jej wykonania, a jednocześnie samodzielnie takiej analizy też nie przeprowadził.
Według unormowanego w przepisach rozporządzenia 2016/679 podejścia opartego na ryzyku (risk based approach), powierzenie przetwarzania Podmiotowi Przetwarzającemu nie wyłącza odpowiedzialności Administratora za zapewnienie bezpieczeństwa przetwarzania. Wskazać tutaj należy, że w motywie 74 rozporządzenia 2016/679 postuluje się, aby nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz że są one skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. W literaturze przedmiotu podnosi się, że „przepisy nakładają na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie. W komentowanym rozporządzeniu można zaobserwować tendencję do zapewnienia administratorom większej swobody w zakresie stosowanych zabezpieczeń, z jednoczesnym zwiększeniem odpowiedzialności za naruszenia przepisów o ochronie danych. Administrator danych powinien przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia, aby móc zastosować odpowiednie środki pozwalające skutecznie zabezpieczyć przetwarzane dane.” P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5.
Odnosząc powyższe do przedmiotowej sprawy wskazać należy, że wobec nieprzeprowadzenia przed wystąpieniem naruszenia ochrony danych osobowych analizy ryzyka dla operacji przetwarzania danych osobowych w związku z prowadzeniem prac związanych z przenoszeniem systemu informatycznego służącego do przetwarzania danych osobowych do innej lokalizacji – Administrator nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, wbrew nie tylko obowiązkom wynikającym z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, ale także zasadzie rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
Organ nadzorczy pragnie w tym miejscu podkreślić jak niezbędne – dla ochrony danych osobowych – jest monitorowania przestrzegania przez Administratora zasady rozliczalności. W orzecznictwie wskazuje się, że „biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679” (wyrok WSA w Warszawie z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19). „(…) Rozporządzenie 2016/679 nie przesądza jednak o tym, jak administrator powinien realizować obowiązki wynikające z zasady rozliczalności zawartej w art. 5 ust. 2 ww. rozporządzenia, niemniej jednak wskazuje na konieczność rozliczania się z przestrzegania przepisów, raportowania ich realizacji oraz przedstawiania dowodów świadczących o prawidłowym wykonywaniu obowiązków. Zasada rozliczalności zobowiązuje administratorów do demonstrowania podjęcia wszelkich środków mających na celu zapewnienie zgodności z obowiązkiem ochrony danych osobowych. W świetle ww. zasady to administrator, a nie organ nadzorczy zajmujący się ochroną danych osobowych, odpowiada za opracowanie, aktualizowanie i utrzymywanie wszystkich procedur i dokumentów związanych z ochroną danych osobowych, a także za stworzenie możliwości dowodowych wykazujących zgodność przetwarzania z przepisami (…)” (wyrok WSA w Warszawie z 1 lutego 2022 r., sygn. akt II SA/Wa 2106/21, LEX nr 3392761). Powyższe potwierdza orzeczenie WSA w Warszawie z 10 lutego 2021 r., sygn. akt II SA/Wa 2378/20: „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych .”
W toku prowadzonego postępowania administracyjnego A. podejmował próbę przeniesienia odpowiedzialności za naruszenia ochrony danych osobowych na X., powołując się przy tym na dokumenty, tj. „Raport (…)”, umowę (…) zawartą między A. a X. oraz umowę (…) zawartą między A. a X.. Analiza przedłożonych dokumentów nie potwierdza, że wyłączną odpowiedzialność za skutki naruszenia ochrony danych osobowych ponosi Podmiot przetwarzający. § (…) ust. (…) umowy (…) zawiera uregulowania dotyczące odpowiedzialności X. oraz jej wyłączenia. Wskazać należy, że wyłączenia odpowiedzialności X. nie dotyczą tylko tych systemów informatycznych, które były zaimplementowane przez podmioty trzecie. Zgodnie z § (…) ust. (…) pkt (…) ww. umowy, X. nie podnosi odpowiedzialności za szkody powstałe w wyniku uzyskania dostępu do systemu przez osoby nieuprawnione na skutek błędów konfiguracyjnych lub niedoskonałości zabezpieczeń (por. pkt II uzasadnienia faktycznego). Prezes UODO nie kwestionuje legalności zawartej umowy, niemniej jednak ta umowa, a także umowa powierzenia przetwarzania danych osobowych, nie określa precyzyjnie obszarów odpowiedzialności Administratora i Podmiotu przetwarzającego. W konsekwencji z ww. dokumentów nie wynika, aby Administrator wywiązał się obowiązków nałożonych na niego rozporządzeniem 2016/679.
III. Rola Administratora i Podmiotu przetwarzającego w procesie przetwarzania danych osobowych.
Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, to zgodnie z brzmieniem art. 28 ust. 1 rozporządzenia 2016/679, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Zgodnie z art. 28 ust. 3 rozporządzenia 2016/679 przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmuje wszelkie środki wymagane na mocy art. 32;
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
Na konieczność weryfikacji podmiotu przetwarzającego zwracają uwagę wytyczne EROD 7/2020 dotycząc pojęć administratora i podmiotu przetwarzającego zawartych w RODO[1]. Wskazuje się w nich, że „(…) gwarancje <zapewniane> przez podmiot przetwarzający to te, które podmiot przetwarzający jest w stanie wykazać w sposób zadowalający administratora, ponieważ są to jedyne gwarancje, które administrator może skutecznie uwzględnić przy ocenie wypełniania swoich obowiązków. Często będzie to wymagało wymiany odpowiedniej dokumentacji [np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000] (...) Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych. W związku z tym EROD nie może przedstawić wyczerpującej listy dokumentów lub działań, które podmiot przetwarzający musi wykazać lub udowodnić w danym scenariuszu, ponieważ w dużej mierze zależy to od konkretnych okoliczności przetwarzania (...)”.
W toku postępowania administracyjnego A. wskazał, w jaki sposób zweryfikował, czy Podmiot przetwarzający zapewnia gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych dla spełnienia wymogów bezpieczeństwa procesu przetwarzania danych osobowych. Szczegółowy opis tej weryfikacji został zawarty w pkt III uzasadnienia faktycznego. W tym zakresie organ nadzorczy dał wiarę przedłożonym przez Administratora wyjaśnieniom i nie dostrzegł podstaw do kwestionowania, że A. – przed podjęciem współpracy z Podmiotem przetwarzającym – dokonał weryfikacji X. w obszarze zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych osobowych spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Jednakże należy podkreślić, że – analogicznie jak w przypadku konieczności przeprowadzenia analizy ryzyka – obowiązek tej weryfikacji jest obowiązkiem ciągłym. Podnieść należy, że konsekwencje zaniedbania obowiązku ciągłej weryfikacji przez administratora gwarancji, o których mowa w art. 28 ust. 1 rozporządzenia 2016/679, mogą dotknąć bezpośrednio osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu. Na konieczność ciągłości weryfikacji podmiotu przetwarzającego wskazują Wytyczne EROD 07/2020, w których podnosi się, że „(…) 99: Obowiązek korzystania wyłącznie z usług podmiotów przetwarzających „zapewniających wystarczające gwarancje” zawarty w art. 28 ust. 1 RODO jest obowiązkiem ciągłym. Nie kończy się w momencie zawarcia umowy lub innego aktu prawnego przez administratora i podmiot przetwarzający. Administrator powinien raczej w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje (…)”.
Jak już wyżej wskazano, Administrator przed zawarciem umowy powierzenia przetwarzania danych osobowych przeprowadził weryfikację Podmiotu przetwarzającego, a okolicznością uwzględnioną w tym procesie przez A. był fakt wcześniejszej współpracy z X., w ramach której Spółka nie stwierdziła żadnych zastrzeżeń dotyczących jakości wykonywanej pracy, ani też jakichkolwiek innych problemów dotyczących przetwarzania danych osobowych czy kwestii związanych z bezpieczeństwem informacji lub zarządzanych systemów informatycznych. Z uwagi na to, że weryfikacja podmiotu przetwarzającego musi posiadać charakter procesu ciągłego wskazać należy, że długotrwała współpraca stron nie poparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji nie gwarantuje, iż podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia.
W przedmiotowej sprawie weryfikacja przez Administratora sposobu realizacji przez Podmiot przetwarzający zmian związanych z przeniesieniem strony internetowej do nowego środowiska, znacząco obniżyłoby ryzyko uzyskania dostępu przez osoby nieuprawnione do danych osobowych przetwarzanych na stronie internetowej (...). Efektem powyższego zaniechania był brak działań A. w celu zapewnienia bezpieczeństwa danych osobowych swoich klientów, do czego był zobowiązany zgodnie z wyżej przywołanymi przepisami rozporządzenia 2016/679, jako administrator tych danych. Podkreślić również należy, że z realizacji tych obowiązków nie zwalnia Administratora fakt korzystania z usług podmiotu przetwarzającego. Obowiązki w tym zakresie spoczywają bowiem przede wszystkim na administratorze danych. Analizując działania (a właściwe brak działań Administratora w tym zakresie), można wysnuć wniosek, że poprzestał na zgłoszeniu Podmiotowi Przetwarzającemu potrzeby przeniesienia strony internetowej do nowego środowiska, nie podejmując jakichkolwiek działań w zakresie zweryfikowania, czy w procesie dokonywania zmian w systemie zapewnione zostało bezpieczeństwo przetwarzania danych osobowych klientów.
Na podstawie art. 28 ust. 3 lit. h) rozporządzenia 2016/679 administrator ma prawo przeprowadzanie audytów, w tym inspekcji, w podmiocie przetwarzającym. Celem tych działań administratora powinna być stała weryfikacja podmiotu przetwarzającego, czy ten wywiązuje się ze wszystkich obowiązków określonych w art. 28 ust. 3 rozporządzenia 2016/679. W kontekście niniejszej sprawy, biorąc pod uwagę charakter zleconego X. przez A. działania polegającego na przeniesieniu strony internetowej (...) do nowego środowiska, szczególnie istotna była weryfikacja, czy Podmiot przetwarzający podejmuje wszelkie środki wymagane na mocy art. 32 rozporządzenia 2016/679. Prezes UODO zwrócił się do Administratora o wskazanie, czy ten realizował prawo kontroli, o którym mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679. W odpowiedzi na precyzyjnie sformułowane pytanie organu nadzorczego, A. udzielił wymijającej odpowiedzi, która nie miała w gruncie rzeczy żadnego związku z zapytaniem organu nadzorczego (por. pkt IV uzasadnienia faktycznego). Biorąc pod uwagę powyższe stwierdzić należy, że A. nie korzystał z uprawnienia przeprowadzania w podmiocie przetwarzającym audytów, w tym inspekcji, w celu sprawdzenia, czy X. w sposób prawidłowy realizuje swoje obowiązki wynikające z rozporządzenia 2016/679. Bez znaczenia dla kwestii przeprowadzenia przez A. kontroli w X. są wyjaśnienia Administratora wskazujące na to, że „(…) regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków organizacyjnych i technicznych mających zapewnić bezpieczeństwo przetwarzania danych osobowych w obszarze IT zostało w części technicznej powierzone firmie X. w ramach ogólnej współpracy Administratora. Czynności te obejmowały przeglądy raportów z użytkowanych narzędzi, analizy i decyzje związane z dodatkowym zabezpieczeniem, czy badanie podatności infrastruktury IT pod kątem występowania podatności TOP10 OWASP (raport przekazany w załączeniu pisma z dnia 3 czerwca 2020 r.)”.
Należy w tym miejscu uwypuklić, jak istotnym elementem procesu weryfikacji podmiotu przetwarzającego jest możliwości jego kontroli. Art. 28 ust. 3 lit. h) rozporządzenia 2016/679 daje administratorowi narzędzia, dzięki którym może zapewnić, że proces przetwarzania danych podlegających powierzeniu będzie zgodny z normami określonymi w rozporządzeniu 2016/679, a przedłożenie dowodów potwierdzających wykonanie takich działań kontrolnych – zgodnie z zasadą rozliczalności – może dowodzić, że Administrator podjął działania mające na celu weryfikację podmiotu przetwarzającego, że ten wdrożył odpowiednie środki techniczne i organizacyjne, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Podkreślić należy, że omawiane uprawnienie administratora należy traktować jako jeden z istotniejszych środków bezpieczeństwa, jakie powinien on zastosować w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 rozporządzenia 2016/679. Administrator powinien bowiem w czasie korzystania przez niego z usług podmiotu przetwarzającego dysponować wiedzą, czy i w jaki sposób podmiot, któremu powierzył przetwarzanie danych osobowych, spełnia wymogi określone w rozporządzeniu 2016/679. Co warte uwagi, przedłożona przez Administratora umowa (…) zawierała unormowania dopuszczające przeprowadzania takich kontroli i precyzyjnie określała zasady ich przeprowadzenia (por. pkt II uzasadnienia faktycznego), a mimo tego A. nie przedłożył dowodów, że takie działania kontrolne zostały przez niego podjęte.
Co więcej, jak już wykazano wyżej, stosowanie ww. środków jest powiązane z obowiązkiem administratora danych wynikającym z art. 28 ust. 1 rozporządzenia 2016/679, co z kolei oznacza, iż jego wykonanie ma także potwierdzić, czy podmiot przetwarzający w dalszym ciągu daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Brak realizacji audytów, w tym inspekcji, w Podmiocie przetwarzającym oznacza w konsekwencji naruszenie przez Administratora nie tylko przepisu art. 28 ust. 1 rozporządzenia 2016/679, lecz także przepisu art. 25 ust. 1 rozporządzenia 2016/679, który obliguje go do wdrażania odpowiednich środków technicznych i organizacyjnych, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania. Ciągłość wpisana w ten obowiązek może więc w praktyce przejawiać się m.in. w konieczności zapewnienia regularnego monitoringu zastosowanych zabezpieczeń oraz prowadzenia stałego nadzoru nad podmiotem przetwarzającym poprzez np. audyty i inspekcje, o których mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679, i których w okolicznościach niniejszej sprawy zabrakło.
Wbrew wytycznym EROD 7/2020, Administrator w toku trwającego postępowania starał się uzasadnić fakt, iż zawarcie umowy powierzenia danych osobowych z podmiotem zewnętrznym specjalizującym się w zakresie bezpieczeństwa IT zwalnia go z odpowiedzialności za wdrożenie środków organizacyjnych i technicznych (o których mowa w art. 32 rozporządzeniu 2016/679), a odpowiedzialność ta leży wyłącznie po stronie Podmiotu przetwarzającego.
Zgodnie z wytycznymi EROD 7/2020 wskazać należy, że: 135: Przechodząc do konkretnych obowiązków, podmiot przetwarzający ma obowiązek, po pierwsze, pomagać administratorowi w wywiązywaniu się z obowiązku przyjęcia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania. Chociaż może to w pewnym stopniu pokrywać się z wymogiem, zgodnie z którym podmiot przetwarzający sam przyjmuje odpowiednie środki bezpieczeństwa, w przypadku gdy operacje przetwarzania prowadzone przez podmiot przetwarzający wchodzą w zakres RODO, pozostają one dwoma odrębnymi obowiązkami, ponieważ jeden odnosi się do własnych środków podmiotu przetwarzającego, a drugi odnosi się do administratora danych. 138: Obowiązek pomocy nie polega na przeniesieniu odpowiedzialności, ponieważ obowiązki te są nakładane na administratora danych. Na przykład, chociaż ocena skutków dla ochrony danych może być w praktyce przeprowadzana przez podmiot przetwarzający, administrator pozostaje odpowiedzialny za obowiązek przeprowadzenia oceny, a podmiot przetwarzający jest zobowiązany do udzielenia pomocy administratorowi „w razie potrzeby i na żądanie”. W związku z tym to administrator musi podjąć inicjatywę w celu przeprowadzenia oceny skutków dla ochrony danych, a nie podmiot przetwarzający.
Z art. 32 rozporządzenia 2016/679, interpretowanego w świetle wyżej zacytowanych wytycznych, wynika, że obowiązki wdrożenia środków organizacyjnych i technicznych nałożono zarówno na podmioty przetwarzające, jak i na administratorów danych. Fakt zawarcia umowy i powierzenia pewnych czynności przetwarzania danych osobowych podmiotowi przetwarzającemu nie zwalnia zatem administratora z obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie zwalnia również administratora danych z obowiązku prowadzenia stałego nadzoru nad podmiotem przetwarzającym w tym zakresie.
W konsekwencji, w ocenie Prezesa UODO, zastosowane przez Administratora środki techniczne i organizacyjne jedynie w bardzo ograniczonym stopniu odpowiadały wymogom określonym w art. 32 rozporządzenia 2016/679, w związku z faktem, że Administrator nie egzekwował od X. realizacji postanowień łączących ich umów oraz nie weryfikował Podmiotu przetwarzającego w zakresie prowadzonych przez niego działań mających na celu przeniesienie starej witryny. Administrator na żadnym etapie prac prowadzonych na systemach informatycznych nie prowadził nadzoru nad tym, czy wdrożenie faktycznie przebiega zgodnie z powszechnie obowiązującymi standardami i umową powierzenia przetwarzania danych osobowych. W toku prowadzonego postępowania Administrator nie wykazał, że zlecając Podmiotowi przetwarzającemu przeniesienie historycznej witryny internetowej (...) do nowego środowiska poinformował Podmiot przetwarzający, że dane osobowe jego klientów są przetwarzane w środowisku witryny. Podmiot przetwarzający w wyjaśnieniach z 15 lipca 2021 r. wskazał, że w okresie współpracy nie otrzymał od Administratora informacji o funkcjonalności witryny, a w szczególności, że realizacja zadania przeniesienia witryny wiąże się z przetwarzaniem danych osobowych klientów A., że powyższe dane nie są przesyłane do lokalnego systemu zarządzania przedsiębiorstwem a gromadzone bezpośrednio w bazie witryny www. W konsekwencji, stosownie do złożonych wyjaśnień, Podmiot przetwarzający do momentu wystąpienia naruszenia ochrony danych osobowych nie znał zawartości bazy przenoszonej witryny i tym samym nie podejmował żadnych działań w celu ich zabezpieczenia, np. poprzez ich zaszyfrowanie. Podejmowane przez X. czynności koncentrowały się wyłącznie na zabezpieczeniu witryny m.in. poprzez umieszczenie jej na zaktualizowanym serwerze, skomunikowanie serwera z siecią publiczną, które umożliwiło realizację połączeń przychodzących na portach wskazanych przez producenta oprogramowania L. oraz aktywowaniu filtrowania ruchu do serwera, a także uruchomienie dla witryny dodatkowej zapory sieciowej.
Administrator zlecając Podmiotowi przetwarzającemu czynności, które wiążą się z przetwarzaniem danych, powinien je określić w sposób niebudzący jakichkolwiek wątpliwości, z czym zlecone czynności się wiążą. W trakcie trwającego postępowania Administrator wskazywał, że Podmiot przetwarzający jako profesjonalny podmiot musiał wiedzieć o tym, że operacja przeniesienia wiąże się z przeniesieniem również danych klientów. Administrator nie przedstawił jednak dowodów, które potwierdziłyby przekazanie przez niego informacji dotyczących przetwarzania w bazie witryny danych osobowych swoich klientów. Administrator w wyjaśnieniach powoływał się na okoliczność, iż wsparcie Podmiotu przetwarzającego było bardzo szerokie oraz że Podmiot przetwarzający był odpowiedzialny za obszar IT, a zakres danych osobowych określono w załączniku do umowy powierzenia przetwarzania danych, wskazując na dane zawarte w systemach informatycznych, które nie obejmowały witryny internetowej (...). Administrator w swoich wyjaśnieniach wskazywał, że zakres przetwarzanych danych za pomocą strony (...) nie był szerszy niż zakres danych przetwarzanych we wskazanych systemach IT. W związku z powyższym należy podkreślić, że niedopuszczalne jest pozostawienie przez Administratora tych kwestii domysłowi Podmiotowi przetwarzającemu tylko z uwagi na to, że była z nim podpisana umowa powierzenia przetwarzania danych. Zwłaszcza w sytuacji, gdy czynność przeniesienia witryny internetowej była jedną z wielu usług, które Podmiot przetwarzający świadczył na rzecz Administratora stosownie do umowy o (…).
Trzeba również zaznaczyć, że w ramach współpracy między A. i X., Podmiot przetwarzający przekazywał Administratorowi swoje wątpliwości, co do poziomu zabezpieczeń infrastruktury informatycznej. Jak wynika z wyjaśnień przedłożonych przez Podmiot przetwarzający, X. informował Administratora, że witryna internetowa oparta była na nieaktualnym oprogramowaniu, a także o tym, że powinna ona posiadać opiekuna merytorycznego, który zapewniłby nadzór nad jej eksploatacją. Tego rodzaju komunikaty powinny prowadzić do zwiększenia czujności po stronie Administratora. A. powinien co najmniej dokonać przeglądu procedur określających zakres odpowiedzialności Podmiotu przetwarzającego, tzn. powinien ustalić z X., kto ponosi odpowiedzialność za zabezpieczenie strony internetowej (w tym aktualizację oprogramowania), na której znajduje się baza danych osobowych. Tymczasem w omawianym przypadku umowa powierzenia została skonstruowana w taki sposób, że nawet Podmiot przetwarzający w ramach niniejszego postępowania administracyjnego prezentował stanowisko, że w omawianej umowie powierzenia nie uwzględniono kwestii powierzenia przetwarzania danych osobowych w ramach funkcjonowania strony internetowej (...) (por. pkt VI uzasadniania faktycznego). Nawet gdyby przyjąć, że wyjaśnienia X. w tym obszarze zostały złożone przez ten podmiot w celu uniknięcia odpowiedzialności za naruszenie przepisów rozporządzenia 2016/679, to nie zmienia to faktu, że omawiana umowa powierzenia przetwarzania danych została skonstruowana w sposób budzący wątpliwości co do zakresu powierzonych danych osobowych oraz zakresu czynności, które Podmiot przetwarzający zobowiązał się wykonywać w związku z przetwarzaniem tych danych. Odpowiedzialność w tym przypadku ponosi nade wszystko Administrator, bowiem to A. podjął decyzję o wyborze konkretnego podmiotu gospodarczego. To bowiem Administrator powinien wybrać podmiot przetwarzający, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. To Administrator powinien dołożyć właściwej staranności przy zawieraniu umów (w tym umowy powierzenia przetwarzania danych osobowych), tak aby ta umowa precyzyjnie określała przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa jej stron.
Nie może jednak umknąć uwadze, że w związku z brakiem polecenia ze strony Administratora, w jaki sposób serwer w związku z przeniesieniem witryny internetowej powinien być skonfigurowany, Podmiot przetwarzający dla usunięcia jakichkolwiek wątpliwości powinien zweryfikować, czy w trakcie realizacji tego zadania będzie przetwarzał dane osobowe oraz ustalić, jakie funkcje pełni przedmiotowa witryna, czy i jakie dane są za jej pomocą przetwarzane i dostosować zabezpieczenia do powziętych informacji. Podmiot przetwarzający w przypadku braku dostatecznych informacji powinien dokonać analizy ryzyka we własnym zakresie i wtedy zdecydować, czy podejmie się realizacji danego zlecenia.
Jednocześnie należy wskazać, że biorąc pod uwagę okres współpracy X. z Administratorem (w tym fakt, że X. i A. zawarły umowę powierzenia przetwarzania danych osobowych), znajomość jego infrastruktury informatycznej oraz charakteru prowadzonej przez niego działalności, Podmiot przetwarzający dla szeroko pojętego bezpieczeństwa oraz dla wypełnienia obowiązku staranności, który spoczywa na nim jako wykwalifikowanym podmiocie, mógł dopytać się o zawartość bazy danych oraz miejsce zapisywania danych przetwarzanych w witrynie.
Zgodnie z wyrokiem Wojewódzkiego Sądu Administracyjnego w Warszawie z 5 października 2021 r., sygn. akt II SA/Wa 528/21, „(…) zastępca [reprezentant] administratora jest odrębnym podmiotem prawa, działającym za reprezentowanego, na podstawie umocowania udzielonego w zawartej z administratorem umowie o powierzeniu przetwarzania. Jeżeli czynności przetwarzania wykonuje podmiot przetwarzający, a nie administrator, to co do zasady do działania tego zastępcy należałoby odnosić przepisy określające obowiązki związane z przetwarzaniem. Rozporządzenie nr 2016/679 rozkłada jednakże te obowiązki pomiędzy administratora i podmiot przetwarzający, co oznacza, że administrator powierzając przetwarzanie danych innemu podmiotowi nie jest zwolniony całkowicie z odpowiedzialności za niedopełnienie prawnych wymagań dotyczących przetwarzania. Przepisy rozporządzenia kierują niektóre obowiązki do administratora danych (art. 5 ust. 2), inne zaś są adresowane jednocześnie do administratora i do podmiotu przetwarzającego (art. 32 ust. 1 i 2). Ponadto podmiot przetwarzający ma odrębne obowiązki w tym zakresie (art. 28 rozporządzenia). Co prawda te obowiązki podmiotu przetwarzającego powinny być umieszczone w zawartej między stronami umowie o przetwarzanie danych. Niemniej jednak obligatoryjne dla stron wprowadzenie ich do umowy nie odbiera im charakteru publicznoprawnego, nie czyni obowiązkami wyłącznie obligacyjnymi, co ma oczywiście zasadnicze znaczenie dla określenia odpowiedzialności za ich naruszenie i co znajduje potwierdzenie w art. 83 ust. 4 lit. a rozporządzenia. Trzeba podkreślić, że podmiot przetwarzający jest obowiązany do współdziałania z administratorem, a nawet do udzielania mu pomocy w wywiązywaniu się z jego obowiązków określonych w art. 32-36 (art. 28 rozporządzenia). Nałożenie zarówno na administratora, jak i na podmiot przetwarzający dość ogólnego obowiązku zapewnienia bezpieczeństwa danych (art. 32 ust. 1) nie implikuje oczywiście konieczności podejmowania przez te podmioty działań tego samego rodzaju i nie rodzi po ich stronie odpowiedzialności za naruszenia, niezależnie od tego, któremu z nich można je przypisać. Nie ma tu mowy o jakimkolwiek solidarnym, w rozumieniu prawnym wykonywaniu przez strony obowiązków dotyczących zapewnienia bezpieczeństwa przetwarzania danych i solidarnej odpowiedzialności za naruszenie tych obowiązków (…)”.
W odniesieniu do powyższego wskazać należy, że brak działań X. polegających na odpowiedniej komunikacji z A. (np. dopytaniu, czy na przenoszonej stronie internetowej znajdują się dane osobowe) świadczy o braku należytej staranności Podmiotu przetwarzającego w zakresie realizacji działania, które powinno być wykonane w sposób bezpieczny, prawidłowy i wolny od błędów. Skutkiem omawianej nierzetelności było naruszenie przez X. art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679.
IV. Obowiązek prowadzenia regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa przetwarzania danych osobowych.
Kolejnym aspektem ochrony danych osobowych, który jest istotny z punktu widzenia rozstrzygnięcia zawartego w przedmiotowej decyzji, jest konieczność prowadzenia regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa przetwarzania danych osobowych (art. 32 ust. 1 lit. d) rozporządzenia 2016/679). W tym zakresie Administrator złożył wyjaśnienia, z których wynika, że regularne testowanie, mierzenie i ocenianie skuteczności środków bezpieczeństwa, które były związane z funkcjonowaniem dotychczasowej witryny (...), powierzył Podmiotowi przetwarzającemu. Działanie te miały być prowadzone przez X. w ramach podstawowych zadań realizowanych w związku ze świadczoną usługą na rzecz A. (por. pkt V uzasadnienia faktycznego). Jak wynika ze zgormadzonego materiału dowodowego, Administrator we własnym zakresie nie dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Administrator wskazał, że z wykazu czynności załączonego do akt sprawy wynika, że testy na stronie były robione przed wystąpieniem incydentu, co w jego ocenie potwierdza, że działania związane z przetwarzaniem danych oraz z bezpieczeństwem informatycznym były monitorowane.
Wskazać należy, że przedstawione dowody dotyczące monitorowania oraz badania podatności strony internetowej oraz przeprowadzone testy były wykonywane wyłącznie przez Podmiot przetwarzający i dotyczyły samej witryny internetowej oraz jej funkcjonalności, a nie zagrożeń wynikających z przetwarzania przy jej wykorzystaniu danych osobowych klientów, o których Podmiot przetwarzający nie zdawał sobie sprawy. Dodatkowo, pomimo przedstawionych przez Administratora dowodów potwierdzających dokonywanie przez Podmiot przetwarzający regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa podatność, która doprowadziła do naruszenia ochrony danych osobowych klientów, nie została wykryta. Podkreślić także należy, że fakt przeprowadzenia regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa przetwarzania danych osobowych przez Podmiot przetwarzający nie zwalnia Administratora z obowiązku przeprowadzenia tego rodzaju czynności. A. powinien co najmniej sprawdzić, czy działania X. w tym zakresie były przeprowadzone prawidłowo.
Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora i podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d ) rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych, na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk i proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, świadomie zaplanowany, zorganizowany i udokumentowany (w związku z zasadą rozliczalności - art. 5 ust. 2 rozporządzenia 2016/679) w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych, spowodowanych np. powierzeniem przetwarzania danych osobowych podmiotowi przetwarzającemu. Takich działań A. nie podejmował (a był do nich uprawniony na podstawie art. 28 ust. 3 lit. h) rozporządzenia 2016/679), co przesadza o naruszeniu tego przepisu rozporządzenia 2016/679.
W podobnym stanie faktycznym Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 21 października 2021 r., sygn. akt II SA/Wa 272/21 „(…) rację miał również Prezes UODO, wskazując w uzasadnieniu zaskarżonej decyzji, że brak w przyjętych przez Spółkę procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych przyczynił się do wystąpienia naruszenia ochrony danych osobowych. Trafnie także wskazuje organ, że w postępowaniu wykazano, że Spółka nie przeprowadzała testów nastawionych na weryfikację zabezpieczeń aplikacji (…) oraz WebAPI systemu (...), dotyczących podatności systemu informatycznego związanej z zaistniałym naruszeniem danych osobowych (…) dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające. Spółka bowiem, jak wynika ze zgromadzonego materiału, mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów wdrożonego przez Spółkę systemu (…) Nie sposób w tym kontekście zakwestionować więc ocen Prezesa UODO, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d RODO (…)”.
V. Podsumowanie stwierdzonego naruszenia przepisów rozporządzenia 2016/679.
Dokonane ustalenia nie dają zatem podstawy do stwierdzenia, że stosowane przez Administratora i Podmiot Przetwarzający środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych. W konsekwencji, w ocenie Prezesa UODO, zarówno A., jak i X., nie wdrożyły odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się w przenoszonej witrynie, co stanowi naruszenie art. 32 ust. 1 i 2 rozporządzenia 2016/679.
Wskazać ponadto należy, że obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi rozporządzenia 2016/679, zostały nałożone na Administratora (i tylko na Administratora) przepisami art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679. Wobec braku zastosowania przez A. adekwatnych środków bezpieczeństwa, o czym wyżej mowa, uznać należy, że Administrator naruszył także i te przepisy rozporządzenia 2016/679. Konsekwencją zaś ich naruszenia jest konieczność stwierdzenia, że naruszona została również przez A. zasada poufności wyrażona w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a w konsekwencji również zasada rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
Podkreślić należy, że prawidłowe i skuteczne zabezpieczenie danych podniesione zostało w rozporządzeniu 2016/679 do rangi ogólnej zasady, co świadczy o tym, że kwestia zapewnienia poufności danych powinna być traktowana w sposób szczególny i priorytetowy przez Administratora. Tymczasem, jak już wykazano w uzasadnieniu niniejszej decyzji, zarówno Administrator, jak i Podmiot przetwarzający, nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, co doprowadziło do naruszenia ich poufności w związku z wystąpieniem naruszenia ochrony danych osobowych.
Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz, że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez Administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości.
W celu monitorowania i egzekwowania stosowania przepisów rozporządzenia 2016/679 Prezes UODO został wyposażony w instrumenty, które służą doprowadzeniu do sytuacji, w której administrator i/lub podmiot przetwarzający wywiąże się z obowiązków nałożonych na niego niniejszym rozporządzeniem. Jednocześnie, zarówno A., jak i X. muszą ponieść odpowiedzialność za stwierdzone naruszenia przepisów rozporządzenia 2016/679.
VI. Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej.
Na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze ustalenia stanu faktycznego, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego we wskazanym wyżej przepisie rozporządzenia 2016/679 stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na A. oraz na X. administracyjnej kary pieniężnej.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków Administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 –39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli Administrator lub Podmiot Przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
W niniejszej sprawie administracyjna kara pieniężna wobec A. nałożona została za naruszenie art. 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie kara w wysokości stanowiącej równowartość 350 000 EUR nałożona na A. łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Z kolei administracyjna kara pieniężna wobec Podmiotu przetwarzającego nałożona została za naruszenie art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679 na podstawie art. 83 ust. 4 lit. a) rozporządzenia 2016/679, które stosownie do tego przepisu prawa podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
VI. a) Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej na A.
Decydując o nałożeniu administracyjnej kary pieniężnej na A. Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).|
W niniejszej sprawie stwierdzono naruszenie przepisów: art. 24 ust. 1, 25 ust. 1, art. 28 ust. 1 i 3, art. 32 ust. 1 i 2, art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679. Naruszenie ww. przepisów związane było ze zdarzeniem polegającym na ujawnieniu danych osobowych klientów A. o szerokim zakresie. Przy wymierzaniu kary istotne znaczenie miała okoliczność, że naruszenie przepisów rozporządzenia 2016/679, nakładających na Administratora obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie poufności danych ponad 21 tysięcy klientów Administratora. Ma ono zatem znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Ponadto należy wziąć pod uwagę ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem, dużej liczby podmiotów danych, a także dużą skalę i profesjonalny charakter przetwarzania danych. Podkreślić należy, że w stosunku do osób, których dane zostały naruszone w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoby nieuprawnione weszły w posiadanie pliku zawierającego bazę danych klientów Administratora. Osoby, których dane dotyczą, mogą więc w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z dnia 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.
Za okoliczność obciążającą Prezes UODO uznaje także długi czas trwania naruszenia przez A. przepisów rozporządzenia 2016/679. W przypadku naruszenia art. 28 ust. 1 rozporządzenia 2016/679 przyjąć należy, że naruszenie trwało od daty zawarcia umowy powierzenia przetwarzania danych osobowych (31 lipca 2019 r.) do daty zakończenia świadczenia usług przez X. na rzecz A. (30 września 2020 r.). W przypadku naruszenia pozostałych przepisów rozporządzenia 2016/679 podnieść należy, że trwało ono od daty rozpoczęcia współpracy między A. a X. (31 lipca 2019 r.) do dnia wprowadzenia środków technicznych i organizacyjnych mających na celu zagwarantowanie bezpieczeństwa w procesie przetwarzania danych osobowych, których wdrożenie Administrator zadeklarował już po wystąpieniu naruszeniu ochrony danych osobowych w piśmie z 3 czerwca 2020 r.
2. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zgodnie z Wytycznymi Grupy Roboczej ds. Ochrony Danych Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (dalej jako Wytyczne WP253) potwierdzonymi Wytycznymi 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (dalej jako Wytyczne 04/2022)[2] umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”.
Administrator był świadomy, że w przypadku dopuszczenia przetwarzania danych osobowych w systemach informatycznych, powinien przetwarzać dane osobowe w taki sposób, aby zapewnić im odpowiednie bezpieczeństwo, a wiec w taki sposób, aby zapewnić przestrzeganie zasady „integralności i poufności” wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.
Należy w tym miejscu podkreślić, że istotny wpływ na wystąpienie przedmiotowego naruszenia miało rażące niedbalstwo A. i lekceważenie obowiązków administratora danych przez Spółkę. Administrator mimo świadomości zagrożenia dla bezpieczeństwa w procesie przetwarzania danych osobowych nie wdrożył adekwatnych środków mających gwarantować to bezpieczeństwo, a w toku postępowania administracyjnego starał się przenieść odpowiedzialność za naruszenie ochrony danych osobowych na Podmiot przetwarzający. Ze zgromadzonego materiału dowodowego wynika jednoznacznie, że A. posiadał wiedzę, że – jako administrator danych – powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679, czego dowodem jest chociażby zawarcie umowy powierzenia przetwarzania danych osobowych, która – na marginesie rzecz ujmując – zawiera zapisy bezpośrednio skopiowane z art. 28 ust. 3 rozporządzenia 2016/679. Pomimo posiadania tej wiedzy Administrator nawet nie przeprowadził samodzielnie analizy ryzyka dla procesu związanego z przeniesieniem strony internetowej do nowego środowiska i powierzył cały ten proces X., wobec którego – jeszcze raz należy to podkreślić – nie stosował środków kontrolnych, a których możliwość zastosowania wynika nie tylko z art. 28 ust. 3 lit. h) rozporządzenia 2016/679, ale nawet z Umowy (…) (§ (…) ust. (…) lit. (…)) – por. pkt II uzasadnienia faktycznego).
Tym samym, A. nieumyślnie naruszył przepisy o ochronie danych osobowych - art. 5 ust. 1 li. f) rozporządzenia 2016/679 w zw. z art. 24 ust. 1, 25 ust. 1, 32 ust. 1 i 2 oraz art. 28 ust. 1 rozporządzenia 2016/679 i w konsekwencji również art. 5 ust. 2 rozporządzenia 2016/679.
3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Przy podejmowaniu decyzji o nałożeniu i wysokości administracyjnej kary pieniężnej, organ nadzorczy zobowiązany jest do zwrócenia uwagi na wszelkie wcześniejsze naruszenia rozporządzenia 2016/679. EROD w Wytycznych 04/2022 wprost wskazuje: „Istnienie wcześniejszych naruszeń można uznać za czynnik obciążający przy obliczaniu wysokości kary pieniężnej. Waga przypisywana temu czynnikowi powinna być ustalana z uwzględnieniem charakteru i częstotliwości wcześniejszych naruszeń. Brak wcześniejszych naruszeń nie może jednak zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów [rozporządzenia 2016/679] stanowi normę”. I choć jak wskazują ww. wytyczne „większe znaczenie należy przypisać naruszeniom dotyczącym tego samego przedmiotu, ponieważ są one bliższe naruszeniu będącemu przedmiotem obecnego postępowania, w szczególności gdy administrator lub podmiot przetwarzający dopuścili się wcześniej tego samego naruszenia (powtarzające się naruszenia)” (pkt 88 wytycznych), to jednak „wszystkie wcześniejsze naruszenia mogą stanowić informację o ogólnym podejściu administratora lub podmiotu przetwarzającego do przestrzegania przepisów rozporządzenia 2016/679”.
Organ nadzorczy stwierdzając w innych wydawanych decyzjach administracyjnych naruszenie przez Administratora przepisów o ochronie danych osobowych korzystał już względem A. z uprawnień naprawczych i upominawczych. Prezes UODO wydał następujące skierowane do Administratora decyzje:
- decyzja z 9 lipca 2021 r. (…), upomnienie za naruszenie art. 6 ust. 1 rozporządzenia 2016/679,
- decyzja z 14 września 2023 r. (…), upomnienie za naruszenie art. 12 ust. 3 i 4 w zw. z art. 21 ust. 2 rozporządzenia 2016/679 i nakaz zaprzestania przetwarzania danych osobowych.
Wskazane powyżej wcześniejsze naruszenia, stwierdzone przez organ w wyniku przeprowadzenia postępowań administracyjnych, zainicjowanych wniesieniem przez osoby fizyczne skarg na nieprawidłowości w procesie przetwarzania ich danych osobowych przez A., świadczą o występowaniu w strukturach Administratora problemów z realizacją obowiązków wynikających z przepisów rozporządzenia 2016/679. Administrator nie był bowiem w stanie w ww. indywidualnych sprawach wykazać przed organem nadzorczym legalności przetwarzania oraz właściwej realizacji przysługującego osobie fizycznej prawa do sprzeciwu wobec przetwarzania dotyczących jej danych osobowych – co skutkowało zastosowaniem wobec A. odpowiednich środków naprawczych. Jednakże należy stwierdzić, że zidentyfikowane problemy nie miały charakteru systemowego czy powtarzającego się, lecz dotyczyły sytuacji jednostkowych. Nie bez znaczenia dla oceny przedmiotowej przesłanki pozostaje również fakt, że naruszenia stwierdzone w ww. postępowaniach przedmiotowo różniły się od tych poddanych badaniu w niniejszej sprawie. Tym samym Prezes UODO stanął na stanowisku, że dotychczasowa postawa Administratora wskazująca na istniejące trudności w respektowaniu przepisów o ochronie danych osobowych – o ile poczytywana jest na niekorzyść Administratora i uzasadnia obecnie nałożenie na niego administracyjnej kary pieniężnej – o tyle nie wpływa w znacznym stopniu na zwiększenie jej wymiaru.
4. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe, których dotyczyło naruszenie przepisów rozporządzenia 2016/679, nie należą wprawdzie do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich zakres, tj. imię i nazwisko, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, numer telefonu, zaszyfrowane hasło wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, że fakt objęcia naruszeniem ochrony danych osobowych takich kategorii danych jak nr ewidencyjny PESEL wraz z imieniem i nazwiskiem, które jednoznacznie identyfikują osobę fizyczną, może realnie i negatywnie wpływać na ochronę praw lub wolności tej osoby. Wskazać należy, że numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.
W tym kontekście warto przywołać Wytyczne 04/2022, w których to wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) [rozporządzenia 2016/679]), w [rozporządzeniu 2016/679] wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 [rozporządzenia 2016/679] oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większa wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.
Pogląd ten podzielony został także przez ww. Sąd w wyrokuz21 czerwca 2023 r. w sprawie o sygn. akt II SA/Wa 150/23, gdzie WSA w Warszawie wskazał: „Reasumując Sąd stoi na stanowisku, że ujawnienie numeru PESEL, wskazuje na wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Administratora z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Należy w tym miejscu wskazać, że poza prawidłowym wywiązywaniem się z ciążących na Administratorze obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji, Administrator podjął działania mające na celu zwiększenie poziomu bezpieczeństwa w procesie przetwarzania danych osobowych przez A. (por. pkt XII uzasadnia faktycznego). W ocenie Prezesa UODO wykonanie ww. czynności należy uznać za okoliczność łagodzącą mającą wpływ na obniżenie wysokości wymierzonej kary.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie Administratora, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO nie odnotował w niniejszym przypadku tego typu działań Administratora. Samo przekazanie osobom, których dotyczą ujawnione dane, informacji o zdarzeniu nie może być w przedmiotowej sprawie uznane za działanie w celu zminimalizowania szkody poniesionej przez te osoby.
2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Ustalenia dokonane przez Prezesa UODO pozwalają na stwierdzenie, że Administrator pomimo zawartej umowy z Podmiotem Przetwarzającym, przyjęcia odpowiednich wewnętrznych regulacji oraz wiedzy w zakresie sposobu realizacji zmian w systemach informatycznych, nie realizował swoich obowiązków w zakresie nadzoru nad Podmiotem Przetwarzającym w trakcie realizacji zmian w systemie informatycznym wykorzystywanym do przetwarzania danych osobowych, co w konsekwencji doprowadziło do swobody w działaniu Podmiotu Przetwarzającego, tj. dokonywania wdrożenia zmian w systemie informatycznym bez uprzedniego odpowiedniego przetestowania zastosowanych zabezpieczeń w fazie testowej wdrażanego rozwiązania. Brak jakiegokolwiek nadzoru nad procesem wdrażania zmian w systemie informatycznym, w którym przetwarzane były dane osobowe, skutkuje wysokim stopniem odpowiedzialności Administratora za naruszenie poufności danych osobowych.
W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia przepisów rozporządzenia 2016/679; nie jest jedynie czynnikiem wpływającym – łagodząco lub obciążająco – na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na A. administracyjnej kary pieniężnej.
3.Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie przepisów rozporządzenia 2016/679 w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi 04/2022 „(…) przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze – na przykład – skargi lub dochodzenia. Okoliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń (jak np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33). W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną (…)”.
4. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
5. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
6. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.
7. Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, iż nałożenie administracyjnej kary pieniężnej na Administratora jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych temu podmiotowi naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, że zastosowanie wobec tego podmiotu jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że ww. podmiot w przyszłości nie dopuści się podobnych, co w sprawie niniejszej zaniedbań.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), dalej jako u.o.d.o., równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 u.o.d.o., za naruszenie opisane w sentencji niniejszej decyzji, nałożył na A. – stosując średni kurs euro z dnia 29 stycznia 2024 r. (1 EUR = 4,3653 PLN) – administracyjną karę pieniężną w kwocie 1 527 855,00 zł (co stanowi równowartość 350 000 EUR).
W ocenie Prezesa UODO, zastosowana kara pieniężna w wysokości 1 527 855,00 zł (słownie: jeden milion pięćset dwadzieścia siedem tysięcy osiemset pięćdziesiąt pięć złotych), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej A. administracyjnej kary pieniężnej, Prezes UODO uznał, że jest ona proporcjonalna do sytuacji finansowej Administratora i nie będzie stanowiła dla niego nadmiernego obciążenia.
Z przedstawionego przez Administratora „Sprawozdania (…)” wynika, że całkowity roczny obrót z poprzedniego roku obrotowego, tj. w 2023 r., wyniósł (…) zł, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. (…) % ww. kwoty wpływów. Jednocześnie warto podkreślić, że kwota nałożonej kary to jedynie ok. 1,75 % maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 5 rozporządzenia 2016/679 statyczne maksimum kary w wysokości do 20 000 000 EUR – nałożyć na A. za stwierdzone w niniejszej sprawie naruszenia.
Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów A. Zdaniem Prezesa UODO, A. powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby „Sprawozdanie (…)”. Co więcej, organ nadzorczy miarkując wysokość kary wziął pod uwagę sytuacją finansową Administratora na dzień wydania niniejszej decyzji administracyjnej, tzn. fakt, w (…) w A. toczyło się postępowanie o (…), a od 11 czerwca 2024 r. toczy się (…).
Na koniec koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:
1. Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenia przepisów ochrony danych osobowych należą zarówno do kategorii naruszeń zagrożonych karą wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa, jak i do kategorii naruszeń zagrożonych karą wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) oraz ust. 2 rozporządzenia 2016/679 – stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Zostało więc ono in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za bardziej poważne niż naruszenia wskazane w art. 83 ust. 4 rozporządzenia 2016/679.
2. Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenia jako naruszenia o wysokim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonych w niniejszej sprawie naruszeń traktowanych w całości prowadzi do wniosku, że poziom ich powagi również in concreto jest wysoki (w skali powagi naruszeń przedstawionej w pkt 60 Wytycznych 04/2022). Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 20 do 100% maksymalnej wysokości kary możliwej do orzeczenia wobec A. Zważywszy, że przepis art. 83 ust. 5 rozporządzenia 2016/679 zobowiązuje Prezesa UODO do przyjęcia jako maksymalnej wysokości kary za naruszenia wskazane w tym przepisie kwoty 20 000 000 EUR lub – o ile wartość ta jest wyższa niż 20 000 000 EUR – kwoty stanowiącej 4% obrotu A. z poprzedniego roku obrotowego, Prezes UODO uznał, że zastosowanie w niniejszej sprawie ma tzw. statyczna maksymalna kwota kary, tj. 20 000 000 EUR. Mając do dyspozycji przedział od 0 do 20 000 000 EUR, Prezes UODO przyjął, jako adekwatną i uzasadnioną okolicznościami sprawy, kwotę wyjściową do obliczenia wysokości kary wynoszącą 10 000 000 EUR (stanowiącą 50% statycznej maksymalnej wysokości kary).
3. Stosownie do pkt 66 Wytycznych 04/2022 (w odniesieniu do przedsiębiorstw, których roczny obrót zawiera się w przedziale od 10 000 000 EUR do 50 000 000 EUR) Prezes UODO uznał za zasadne skorzystanie z możliwości obniżenia przyjętej w oparciu o ocenę powagi naruszenia kwoty wyjściowej do kwoty 500 000 EUR.
4. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznościami obciążającymi w niniejszej sprawie, i w związku z tym dodatkowo zwiększającymi wymiar orzeczonej niniejszą decyzją kary, są stwierdzone przez Prezesa UODO stosowne wcześniejsze naruszenia ze strony A. (art. 83 ust. 2 lit. e) rozporządzenia 2016/679). Z kolei okolicznościami mającymi łagodzący wpływ na wysokość kary pieniężnej jest stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), h), i), j), k) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie więc w sprawie dodatkowych okoliczności obciążających i łagodzących, związanych ze stroną podmiotową naruszeń, za zasadne Prezes UODO uznał pozostawienie kwoty kary pieniężnej w wysokości 500 000 EUR.
5. Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia (vide Rozdział 6 Wytycznych 04/2022).
6. Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedna z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości 500 000 EUR byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno A., jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Biorąc jednak pod uwagę aktualną kondycję finansową Administratora (tzn. fakt, że (…)) kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną zarówno w stosunku do wagi stwierdzonych naruszeń (która in abstracto i in concreto jest niska – vide pkt 1 i 2 powyżej), jak i ze względu na swoją nadmierną – w odniesieniu do tej wagi – dolegliwość. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ administracyjny środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Mając więc na uwadze wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia jej wysokości – do kwoty 350 000 EUR (równowartość 1 527 855,00 zł). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego – w odniesieniu do innych organów nadzorczych oraz EROD – rozumienia, stosowania i egzekwowania rozporządzenia 2016/679 oraz zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
Podsumowując powyższe, w ocenie Prezesa UODO orzeczona w niniejszej sprawie wobec Administratora administracyjna kara pieniężna spełnia w świetle całokształtu indywidualnych okoliczności sprawy przesłanki (funkcje kar), o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
VI. b) Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej na X..
Decydując o nałożeniu administracyjnej kary pieniężnej na X. Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
W niniejszej sprawie stwierdzono naruszenie przez Podmiot przetwarzający przepisów: art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679. Naruszenie ww. przepisów związane było ze zdarzeniem polegającym na ujawnieniu danych osobowych klientów A. o szerokim zakresie. Przy wymierzaniu kary istotne znaczenie miała okoliczność, że naruszenie przepisów rozporządzenia 2016/679, nakładających na Podmiot przetwarzający obowiązki w zakresie zastosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanym danym osobowym, miało wpływ na naruszenie poufności danych ponad 21 tys. klientów Administratora. Ma ono zatem znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Ponadto należy wziąć pod uwagę ryzyko wynikające z szerokiego zakresu danych objętych naruszeniem, dużej liczby podmiotów danych, a także dużą skalę i profesjonalny charakter przetwarzania danych. Podkreślić należy, że w stosunku do osób, których dane zostały naruszone w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoby nieuprawnione weszły w posiadanie pliku zawierającego bazę danych klientów Administratora. Osoby, których dane dotyczą, mogą więc w dalszym ciągu doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmiot danych może bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z dnia 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.
Za okoliczność obciążającą Prezes UODO uznaje także długi czas trwania naruszenia przez X. przepisów rozporządzenia 2016/679. W przypadku naruszenia art. 28 ust. 1 rozporządzenia 2016/679 przyjąć należy, że naruszenie trwało od daty zawarcia umowy powierzenia przetwarzania danych osobowych (31 lipca 2019 r.) do daty zakończenia świadczenia usług przez X. na rzecz A. (30 września 2020 r.). W przypadku naruszenia pozostałych przepisów rozporządzenia 2016/679 podnieść należy, że trwało ono od daty rozpoczęcia współpracy między A. a X. (31 lipca 2019 r.) do dnia wprowadzenia środków technicznych i organizacyjnych mających na celu zagwarantowanie bezpieczeństwa w procesie przetwarzania danych osobowych, których wdrożenie Administrator zadeklarował już po wystąpieniu naruszeniu ochrony danych osobowych w piśmie z 3 czerwca 2020 r.
2. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Podmiot przetwarzający był świadomy, że w przypadku dopuszczenia przetwarzania danych osobowych w systemach informatycznych, powinien przetwarzać dane osobowe w taki sposób, aby zapewnić im odpowiednie bezpieczeństwo, do czego zobowiązuje go art. 32 ust. 1 i 2 rozporządzenia 2016/679. X. z uwagi na charakter działalności gospodarczej powinien być świadomy konieczności realizacji obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679.
Należy w tym miejscu podkreślić, że do wystąpienia przedmiotowego naruszenia przyczyniła się niewłaściwa komunikacja między Administratorem a Podmiotem przetwarzającym. Dowodem niewłaściwej komunikacji między ww. podmiotami jest fakt, że w toku niniejszego postępowania A. i X. wzajemnie przerzucali się odpowiedzialnością za przedmiotowe zdarzenie. Mimo, że to Administrator jest w pierwszej kolejności odpowiedzialny z wdrożenie adekwatnych środków bezpieczeństwa w procesie przetwarzania danych odosobowych, to nie zmienia jednak to faktu, że długotrwała współpraca między Administratorem i Podmiotem przetwarzającym oraz fakt wykonania dodatkowego zadania (przeniesienia strony internetowej do nowego środowiska) wymaga dodatkowego współdziałania Podmiotu przetwarzającego z Administratorem. Podmiot przetwarzający mimo świadomości zagrożenia dla bezpieczeństwa w procesie przetwarzania danych osobowych nie podjął dodatkowych działań w tym zakresie, a w toku postępowania administracyjnego starał się przenieść odpowiedzialność za naruszenie ochrony danych osobowych na Administratora, zapominając, że na nim również ciążą określone obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe. Podmiot przetwarzający nie przeprowadził samodzielnie analizy ryzyka dla procesu związanego z przeniesieniem strony internetowej do nowego środowiska i nie wziął pod uwagę, że na przenoszonej stronie internetowej znajdowały się dane osobowe.
Tym samym, X. nieumyślnie naruszył przepisy o ochronie danych osobowych – art. 32 ust. 1 i 2 oraz art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679.
3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe, których dotyczy naruszenie przepisów rozporządzenia 2016/679, nie należą wprawdzie do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich zakres, tj. imię i nazwisko, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, numer telefonu, zaszyfrowane hasło wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, że fakt objęcia naruszeniem ochrony danych osobowych takich kategorii danych jak nr ewidencyjny PESEL wraz z imieniem i nazwiskiem, które jednoznacznie identyfikują osobę fizyczną, może realnie i negatywnie wpływać na ochronę praw lub wolności tej osoby. Wskazać należy, że numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.
W tym kontekście warto przywołać Wytyczne 04/2022, w których to wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) [rozporządzenia 2016/679]), w [rozporządzeniu 2016/679] wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 [rozporządzenia 2016/679] oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większa wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.
Pogląd ten podzielony został także przez ww. Sąd w wyroku z dnia 21 czerwca 2023 r. w sprawie o sygn. II SA/Wa 150/23, gdzie Wojewódzki Sąd Administracyjny w Warszawie wskazał: „Reasumując Sąd stoi na stanowisku, że ujawnienie numeru PESEL, wskazuje na wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Podmiotu przetwarzającego z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Podmiot przetwarzający udzielał wyczerpujących odpowiedzi na pytania organu nadzorczego i w miarę swoich możliwości, biorąc pod uwagę jego rolę w procesie przetwarzania danych osobowych, przyczynił się do usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. W ocenie Prezesa UODO wykonanie ww. czynności należy uznać za okoliczność łagodzącą mającą wpływ na obniżenie wysokości wymierzonej kary.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie Podmiotu przetwarzającego, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO nie odnotował w niniejszym przypadku tego typu działań Podmiotu przetwarzającego.
2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Ustalenia dokonane przez Prezesa UODO pozwalają na stwierdzenie, że Podmiot przetwarzający mimo nieotrzymania od Administratora informacji, że na przenoszonej stornie internetowej znajdują się dane osobowe, nie realizował swoich obowiązków w zakresie wdrożenia adekwatnych środków bezpieczeństwa w procesie przetwarzania danych osobowych. Brak właściwej komunikacji Podmiotu przetwarzającego z Administratorem przesądza o konieczności stwierdzenia, że X. ponosi współodpowiedzialność za naruszenie poufności danych osobowych.
W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia przepisów rozporządzenia 2016/679; nie jest jedynie czynnikiem wpływającym – łagodząco lub obciążająco – na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na X. administracyjnej kary pieniężnej.
Natomiast w przypadku obowiązków wynikających z art. 25 rozporządzenia 2016/679 wskazać należy, że dotyczą one administratorów, a wobec tego omawiana przesłanka w tym zakresie nie może być traktowana jako obciążająca lub łagodząca dla wysokości administracyjnej kary pieniężnej nałożonej na podmiot przetwarzający.
3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Przy podejmowaniu decyzji o nałożeniu i wysokości administracyjnej kary pieniężnej, organ nadzorczy zobowiązany jest do zwrócenia uwagi na wszelkie wcześniejsze naruszenia rozporządzenia 2016/679. EROD w Wytycznych 04/2022 wprost wskazuje: „Istnienie wcześniejszych naruszeń można uznać za czynnik obciążający przy obliczaniu wysokości kary pieniężnej. Waga przypisywana temu czynnikowi powinna być ustalana z uwzględnieniem charakteru i częstotliwości wcześniejszych naruszeń. Brak wcześniejszych naruszeń nie może jednak zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów [rozporządzenia 2016/679] stanowi normę”. I choć jak wskazują ww. wytyczne „większe znaczenie należy przypisać naruszeniom dotyczącym tego samego przedmiotu, ponieważ są one bliższe naruszeniu będącemu przedmiotem obecnego postępowania, w szczególności gdy administrator lub podmiot przetwarzający dopuścili się wcześniej tego samego naruszenia (powtarzające się naruszenia)” (pkt 88 wytycznych), to jednak „wszystkie wcześniejsze naruszenia mogą stanowić informację o ogólnym podejściu administratora lub podmiotu przetwarzającego do przestrzegania przepisów rozporządzenia 2016/679”.
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Podmiot przetwarzający, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego podmiotu przetwarzającego jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.
4.Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie przepisów rozporządzenia 2016/679 w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora. Okoliczność ta nie ma jednak charakteru obciążającego lub łagodzącego dla ustalenia wysokości administracyjnej kary pieniężnej nałożonej na Podmiot przetwarzający, bowiem obowiązek zgłoszenia naruszenia ochrony danych osobowych został nałożony na Administratora i to on ponosi odpowiedzialność za realizację tego obowiązku.
5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Podmiotu przetwarzającego w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Podmiot przetwarzający nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Podmiot przetwarzający nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Podmiotu przetwarzającego. Na korzyść Podmiotu przetwarzającego natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
7. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby Podmiot przetwarzający w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Podmiot przetwarzający. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Podmiot przetwarzający takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Podmiotu przetwarzającego. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.
8. Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, że nałożenie administracyjnej kary pieniężnej na Podmiot przetwarzający jest konieczne i uzasadnione wagą oraz charakterem i zakresem zarzucanych temu podmiotowi naruszeń przepisów rozporządzenia 2016/679. Stwierdzić należy, iż zastosowanie wobec tego podmiotu jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b) rozporządzenia 2016/679), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że ww. podmiot w przyszłości nie dopuści się podobnych, co w sprawie niniejszej zaniedbań.
Stosownie do treści art. 103 u.o.d.o., równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 u.o.d.o., za naruszenie opisane w sentencji niniejszej decyzji, nałożył na X. – stosując średni kurs euro z dnia 29 stycznia 2024 r. (1 EUR = 4,3653 PLN) – administracyjną karę pieniężną w kwocie 20 037,00 zł (co stanowi równowartość 4 590 EUR).
W ocenie Prezesa UODO, zastosowana kara pieniężna w wysokości 20 037,00 zł (słownie: dwadzieścia tysięcy trzydzieści siedem złotych), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 - ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej X. administracyjnej kary pieniężnej, Prezes UODO uznał, iż jest ona proporcjonalna do sytuacji finansowej Podmiotu przetwarzającego i nie będzie stanowiła dla niego nadmiernego obciążenia.
Z dostępnego na stronie internetowej (...)„Sprawozdania (…)” wynika, że osiągnięty przez X. przychód netto ze sprzedaży za rok 2023 wyniósł (…) zł. W związku z powyższym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. (…) % ww. kwoty wpływów. Jednocześnie warto podkreślić, że kwota nałożonej kary to jedynie ok. 0,05% maksymalnej wysokości kary, którą Prezes UODO mógł - stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary w wysokości do 10 000 000 EUR - nałożyć na X. za stwierdzone w niniejszej sprawie naruszenia.
Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów X.. Zdaniem Prezesa UODO, X. powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby „Sprawozdanie (…)”.
Na koniec koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:
1. Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenia przepisów ochrony danych osobowych należą zarówno do kategorii naruszeń zagrożonych karą wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
2. Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenia jako naruszenia o wysokim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonych w niniejszej sprawie naruszeń traktowanych w całości prowadzi do wniosku, że poziom ich powagi również in concreto jest wysoki (w skali powagi naruszeń przedstawionej w pkt 60 Wytycznych 04/2022). Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 20 do 100% maksymalnej wysokości kary możliwej do orzeczenia wobec X. Zważywszy, że przepis art. 83 ust. 4 rozporządzenia 2016/679 zobowiązuje Prezesa UODO do przyjęcia jako maksymalnej wysokości kary za naruszenia wskazane w tym przepisie kwoty 10 000 000 EUR lub – o ile wartość ta jest wyższa niż 10 000 000 EUR – kwoty stanowiącej 2% obrotu X. z poprzedniego roku obrotowego, Prezes UODO uznał, że zastosowanie w niniejszej sprawie ma tzw. statyczna maksymalna kwota kary, tj. 10 000 000 EUR. Mając do dyspozycji przedział od 0 do 10 000 000 EUR, Prezes UODO przyjął, jako adekwatną i uzasadnioną okolicznościami sprawy, kwotę wyjściową do obliczenia wysokości kary wynoszącą 4 000 000 EUR (stanowiącą 40% statycznej maksymalnej wysokości kary).
3. Stosownie do pkt 66 Wytycznych 04/2022 (w odniesieniu do przedsiębiorstw, których roczny obrót zawiera się w przedziale od 0 EUR do 2 000 000 EUR) Prezes UODO uznał za zasadne skorzystanie z możliwości obniżenia przyjętej w oparciu o ocenę powagi naruszenia kwoty wyjściowej do kwoty 12 000 EUR.
4. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznościami mającymi łagodzący wpływ na wysokość kary pieniężnej jest stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), h), i), j), k) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie więc w sprawie dodatkowych okoliczności obciążających i łagodzących, ze stroną podmiotową naruszeń, za zasadne Prezes UODO obniżenie pozostawienie kwoty kary pieniężnej do wysokości 10 200 EUR.
5. Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia (vide Rozdział 6 Wytycznych 04/2022)
6. Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedna z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości 10 200 EUR byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno X., jak i innych podmiotów przetwarzających do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną zarówno w stosunku do wagi stwierdzonych naruszeń (która in abstracto i in concreto jest wysoka – vide pkt 1 i 2 powyżej), jak i ze względu na swoją nadmierną – w odniesieniu do tej wagi – dolegliwość. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ administracyjny środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz).
Mając więc na uwadze wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia wysokości kary – do kwoty 4 590,00 EUR (równowartość 20 037 zł). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego – w odniesieniu do innych organów nadzorczych oraz EROD – rozumienia, stosowania i egzekwowania rozporządzenia 2016/679, oraz zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.
Podsumowując powyższe, w ocenie Prezesa UODO orzeczona w niniejszej sprawie wobec Podmiotu przetwarzającego administracyjna kara pieniężna spełnia w świetle całokształtu indywidualnych okoliczności sprawy przesłanki (funkcje kar), o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów rozporządzenia 2016/679.
Mając powyższe na uwadze Prezes UODO rozstrzygnął jak w sentencji niniejszej decyzji.
Mirosław Wróblewski
2024-11-12
Wioletta Golańska
2024-11-20 10:15:09
Karolina Jastalska
2024-12-23 11:17:19