Decyzja
DKN.5131.13.2022
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775) w związku z art. 7, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 2 lit. i), a także art. 83 ust. 1 – 2 i art. 83 ust. 4 lit. a) w związku z art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez S7Health Sp. z o.o. z siedzibą we W. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych
stwierdzając naruszenie przez S7Health Sp. z o.o. z siedzibą we W. przepisów art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35.), zwanego dalej: „rozporządzeniem 2016/679”, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, w tym zapewniających zdolność do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia lub utraty danych osobowych przechowywanych lub w inny sposób przetwarzanych w systemie informatycznym XXX i przechowywanych na serwerach, który uległ zniszczeniu, nakłada na S7Health Sp. z o.o. z siedzibą we W. administracyjną karę pieniężną w kwocie 117 900 zł (słownie: sto siedemnaście tysięcy dziewięćset złotych).
Uzasadnienie
S7Health Sp. z o.o. z siedzibą we W. przy ul. (…)(zwana dalej również „Spółką” lub „S7Health”), prowadząca działalność gospodarczą polegającą na pośredniczeniu w świadczeniu usług medycznych, 22 marca 2021 r. dokonała zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej także „Prezesem UODO”) naruszenia ochrony danych osobowych polegającego na zniszczeniu serwerowni w wyniku pożaru, czym został naruszony atrybut dostępności danych osobowych, których administratorem był S7Health. Zgłoszone naruszenie ochrony danych osobowych zostało zarejestrowane przez Prezesa UODO pod sygnaturą DKN.5130.2892.2021. W związku z przesłaniem zgłoszenia naruszenia ochrony danych osobowych pismem z 17 lutego 2022 r. Prezes UODO zwrócił się do Spółki o udzielenie wyjaśnień i przesłanie dowodów na ich potwierdzenie m.in. w zakresie:
- czy Spółka dysponowała kopią zapasową danych zlokalizowanych w serwerowni, która uległa zniszczeniu na skutek pożaru, a jeżeli tak, to czy odzyskano utracone dane i w jakim zakresie;
- czy przed wystąpieniem naruszenia Spółka posiadała opracowaną i wdrożoną procedurę tworzenia oraz testowania kopii zapasowych systemów objętych naruszeniem; jeśli tak, to proszę przedłożyć kopię tej procedury ze wskazaniem częstotliwości tworzenia kopii zapasowych oraz daty wykonania ostatniej kopii zapasowej poprzedzającej zgłaszane naruszenie;
- czy Spółka dokonała analizy ryzyka i wpływu braku dostępności do danych przetwarzanych przy użyciu systemów informatycznych objętych naruszeniem na prawa lub wolności osób, których dane dotyczą.
W odpowiedzi S7Health pismem z 9 marca 2022 r. udzieliła wyjaśnień informując, że:
- nie dysponowała kopią zapasową danych zlokalizowanych w serwerowni, która uległa zniszczeniu na skutek pożaru,
- przed wystąpieniem naruszenia ochrony danych osobowych nie posiadała opracowanej i wdrożonej procedury tworzenia oraz testowania kopii zapasowych systemów objętych naruszeniem,
- dokonała analizy ryzyka, na dowód czego, jako załącznik do ww. pisma, przedstawiła „Analizę (…) z 31 grudnia 2020 r. Przedstawiona przez Spółkę „analiza ryzyka” nie stanowiła jednak „analizy ryzyka i wpływu braku dostępności do danych przetwarzanych przy użyciu systemów informatycznych objętych naruszeniem na prawa lub wolności osób, których dane dotyczą”, o przedstawienie której Prezes UODOD zwrócił się do Spółki.
W związku ze złożonymi przez S7Health wyjaśnieniami w dniu 15 marca 2022 r. Prezes UODO wszczął postępowanie administracyjne w zakresie możliwości naruszenia przez S7Health, jako administratora danych, obowiązków wynikających z art. 32 ust. 1 i 2 rozporządzenia 2016/679, w związku z naruszeniem ochrony danych osobowych zgłoszonym Prezesowi UODO. Postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych osobowych zostało zarejestrowane pod numerem DKN.5131.13.2022.
W odpowiedzi na wszczęcie postępowania administracyjnego, pismem z 29 marca 2022 r. S7Health wniosła o przeprowadzenie dowodu z dokumentów, tj. „Polityki (…).” – na fakt opracowania, wdrożenia i przestrzegania stosownych procedur ochrony danych osobowych oraz „Umowy (…) ” na fakt powierzenia przetwarzania danych osobowych O. Ponadto, pismem z 29 marca 2022 r. S7Health wniosła o umorzenie postępowania jako bezprzedmiotowego w całości, wyjaśniając, iż zdarzenie miało wyłącznie charakter incydentu ze względu na brak ryzyka naruszenia praw lub wolności osób fizycznych oraz informując, że „na podstawie uzyskanych informacji przez S7Health, dane osobowe zapisane na serwerach, które uległy spaleniu na skutek pożaru, zostały utracone bezpowrotnie, toteż wykluczona jest możliwość ich bezprawnego wykorzystania”.
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes UODO pismami z: 22 czerwca 2022 r., 9 listopada 2022 r., 27 grudnia 2022 r. oraz 26 września 2023 r. wezwał S7Health do złożenia wyjaśnień i przedstawienia dowodów na ich potwierdzenie.
Następnie Prezes UODO pismem z 10 listopada 2023 r., poinformował S7Health o zgromadzeniu materiału dowodowego wystarczającego do wydania decyzji administracyjnej w przedmiotowej sprawie oraz o prawie do wypowiedzenia się co do zebranych w toku postępowania dowodów i materiałów oraz zgłoszonych żądań. Ponadto poinformował, że strona jest uprawniona do przeglądania akt sprawy oraz sporządzania z nich notatek, kopii lub odpisów. Strona skorzystała z powyższych uprawnień dokonując przeglądu akt w dniu 21 listopada 2023 r. oraz pismem z 22 listopada 2023 r. przedstawiła stanowisko strony, w którym powtórzyła argumentację przedstawioną w toku prowadzonego postępowania wyjaśniającego.
Na podstawnie wyjaśnień i dowodów na ich potwierdzenie złożonych przez S7Health w pismach z: 9 marca 2022 r., 29 marca 2022 r., 14 lipca 2022 r., 27 listopada 2022 r., 7 grudnia 2022 r.,16 stycznia 2023 r., 26 października 2023 r. oraz 22 listopada 2023 r., jak również na podstawie zgłoszenia naruszenia ochrony danych osobowych dokonanego przez S7Health z 22 marca 2021 r., organ nadzorczy ustalił następujący stan faktyczny.
1. 10 marca 2021 r. w siedzibie O. w S. doszło do pożaru serwerów, w skutek czego Spółka utraciła dostęp do systemu informatycznego o nazwie XXX, służącego do zarządzania kontaktami z klientami i wykorzystywanego do przetwarzania danych osobowych (brak możliwości korzystania z systemu oraz brak dostępu do danych osobowych) oraz utraciła dokumenty z danymi, w tym faktury oraz skierowania na medycynę pracy pracowników podmiotów, które współpracowały ze Spółką, zapisane w tym systemie. Serwery uległy całkowitemu zniszczeniu, bez możliwości przywrócenia utraconych danych. Przybliżona liczba osób, których mogło dotyczyć naruszenie, została oszacowana przez Spółkę na około 14 000 osób; kategoria osób wskazana przez Spółkę to użytkownicy systemu XXX oraz pacjenci, jak również kategoria wskazana jako „nowi użytkownicy oraz dotychczasowi, z przedziału od 01.03.2020 do 10.03.2021 – osoby rejestrujące się w systemie XXX”, a zakres danych osobowych, który uległ naruszeniu, to: nazwiska, imiona, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail oraz numery telefonów. Spółka charakter naruszenia ochrony danych osobowych odniosła do naruszenia dostępności danych, gdzie została przedstawiona informacja o następującej treści „brak możliwości wykorzystania danych na żądanie, w założonym czasie przez osobę do tego uprawnioną”. Natomiast jako możliwe konsekwencje naruszenia ochrony danych osobowych dla osób, których dane dotyczą, wskazała utratę kontroli nad własnymi danymi osobowymi. Ponadto, 22 marca 2021 r. zawiadomiła indywidulanie (w formie elektronicznej) oraz w formie komunikatu dostępnego na stronie internetowej o naruszeniu ochrony danych osobowych osoby, których naruszenie dotyczy, w liczbie około 14 000 osób.
2. S7Health w dniu 25 maja 2018 r. zawarła z O. umowę powierzenia przetwarzania danych osobowych. Przedmiotem umowy było przechowanie danych osobowych na serwerach, które uległy spaleniu. Na podstawie umowy, S7Health była odpowiedzialna m.in. za tworzenie kopii zapasowych niezbędnych do zabezpieczenia danych osobowych, w szczególności przed zakończeniem lub wygaśnięciem usług i przed przystąpieniem do operacji usunięcia, aktualizacji lub przeinstalowania usługi.
3. 17 listopada 2010 r. S7Health zawarła z P. z siedzibą w S. (dalej jako: „P”) „Umowę (…)”. Na podstawie powyższej umowy, S7Health zlecała P. realizację świadczenia usług medycznych na rzecz swoich klientów (osób, których dane dotyczą), którym zaoferowała abonamentową opiekę medyczną. P. w celu realizacji usługi medycznej otrzymywał od S7Health do 25 dnia każdego miesiąca aktualizację – wykaz klientów (osób, których dane dotyczą) uprawnionych do korzystania z usług medycznych, w ramach wybranych pakietów.
4. W dniu 9 marca 2021 r., a więc w dniu poprzedzającym wystąpienie naruszenia ochrony danych osobowych, S7Health dokonała zgłoszenia aktualizacji listy klientów (osób, których dane dotyczą) do P.
5. S7Health w ramach działalności o profesjonalnym charakterze, zawierała z osobami, których dane dotyczą, oraz z pracodawcami tych osób, umowy na realizację świadczeń zdrowotnych, wykonywanych przez P. Przy czym, jak wynika z załączonych do pisma Spółki z 16 stycznia 2023 r. wzorów umów dla klienta indywidualnego i firmowego (karta 149 i 151), S7Health wydawała osobom, których dane dotyczą, „kartę pacjenta” w terminie do 30 dni od wyboru i opłacenia pakietu na usługę medyczną. Do czasu otrzymania karty pacjenta, osoba, której dane dotyczą, mogła korzystać z usług medycznych za uprzednią rejestracją telefoniczną na podstawie wpisu w systemie informatycznym. Jak wyjaśniła S7Health, „korzystanie z usług dostarczanych przez S7 wymaga wcześniejszego ich opłacenia w drodze przelewu. Pomimo okoliczności utracenia danych znajdujących się na serwerze, S7 dysponuje danymi na koncie bankowym oraz na skrzynkach poczty e-mail. W przypadku jakichkolwiek wątpliwości możliwe było sprawdzenie i zweryfikowanie kto opłacił daną usługę. Dodatkowo S7Health posiadała bazy klientów na skrzynkach poczty e-mail, z uwagi na fakt, że co miesiąc do P. przesyłana była aktualna lista klientów.” Ponadto S7Health wyjaśniła, że naruszenie „w szczególności utrudniło przywrócenie rozliczeń z klientami w systemie XXX oraz uniemożliwiło wystawienie duplikatu faktur, a także, że naruszenie nie uniemożliwiło odtworzenia danych na jednorazowe żądanie klienta – na podstawie historii płatności widocznej na rachunku bankowym oraz korespondencji elektronicznej, dodatkowo w powiązaniu z możliwością skonsultowania sprawy z biurem księgowym. Jednocześnie wskazała, że niemożliwe jest podanie dokładnej liczby osób fizycznych, których naruszenie dotyczyło. Spółka bezpowrotnie utraciła dokumenty z danymi, w tym faktury i skierowania na medycynę pracy pracowników firm, które współpracują z S7Health.
6. S7Health na serwerach, które uległy spaleniu, gromadziła i przetwarzała dane osobowe osób, których dane dotyczą, w celu zawarcia i realizacji umowy pomiędzy S7Health a osobą, której dane dotyczą oraz operatorem medycznym P, polegającej na świadczeniu usług medycznych tym osobom. Jednocześnie mając na uwadze wyjaśnienia Spółki, że naruszenie „w szczególności utrudniło przywrócenie rozliczeń z klientami w systemie XXX”, należy stwierdzić, że w ramach tego celu Spółka dokonywała również rozliczeń z klientami. Jak wynika z przedstawionego przez Spółkę wzoru umowy „opieka medyczna S7Health dla klienta Indywidualnego” - z tytułu opieki medycznej osoby, której dane dotyczą zobowiązane były płacić S7Healtth, roczną opłatę ryczałtową. Należność była płatna w ratach, przy czym pierwsza rata płatna była wraz z podpisaniem umowy, a kolejne raty nie później niż do 20 dnia miesiąca poprzedzającego miesiąc za który są należne. Po upływie roku umowa przekształcała się w umowę na czas nieokreślony, zaś ryczałtowa opłata roczna zostawała zastąpiona comiesięcznymi opłatami. Z chwilą stwierdzenia, że wpłata za wybrany pakiet usługi medycznej nie wpłynęła w wymaganym terminie, S7Health mógł tymczasowo unieważnić kartę pacjenta, począwszy od pierwszego dnia okresu, którego miała dotyczyć opłata. Po uregulowaniu należności, możliwość korzystania ze świadczeń medycznych następowała, począwszy od kolejnego miesiąca następującego po miesiącu, w którym S7Health odnotował spłatę zaległych opłat, a także terminową wpłatę.
Ponadto, w ramach realizacji powyższego celu przetwarzania, Spółka przynajmniej za pomocą systemu XXX przekazywała od pracodawcy do P. skierowania na medycynę pracy pracowników będących osobami, których danych osobowych naruszenie dotyczy oraz przekazywała P. aktualizację listy klientów. Podstawa prawna przetwarzania danych w tym celu została wskazana przez Spółkę, jako art. 6 ust. 1. lit. b) rozporządzenie 2016/679, a okres retencji danych wskazany „do zakończenia umowy oraz jej rozliczenia z klientem”.
Ponadto, Spółka przetwarzała dane osobowe osób, których naruszenie dotyczy poprzez ich przechowanie na serwerze, który uległ spaleniu, w celu archiwizacji dokumentów realizując swój obowiązek prawny. Podstawa prawna takiego przetwarzania została wskazana przez S7Health jako art. 6 ust. 1 lit. c) rozporządzenia 2016/679 w związku z obowiązkiem przechowania danych z art. 86 § 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa oraz art. 74 ustawy z 29 września 1994 r. o rachunkowości. Natomiast okres retencji został wskazany przez administratora na „5 lat licząc od pierwszego stycznia roku następnego po tym, w którym zakończyła się umowa”.
7. Liczba osób objętych naruszeniem to około 14 000 osób określonych zbiorczo jako użytkownicy systemu XXX, w tym około 500 osób, to osoby, których dokumenty z danymi – w tym faktury oraz „skierowania na medycynę pracy pracowników firm, które współpracują z S7Health” uległy zniszczeniu.
Jednocześnie Prezes UODO nie uznał wiarygodności wyjaśnień S7Health z pisma z 16 stycznia 2023 r. (karta 134) i nie nadał im mocy dowodowej, że „liczba osób objętych naruszeniem to nie 1400 a około 500, co stwierdziliśmy na podstawie danych z kont bankowych i wiadomości e-mail”, uznając je nie tylko jako niewynikające ze zgromadzonego materiału dowodowego, ale również jako z nim sprzeczne. Ponadto, powyższe wyjaśnienia nie korespondują z pozostałymi wyjaśnieniami Spółki dotyczącymi liczby osób objętych naruszeniem ochrony danych osobowych. Podkreślić również należy, że Spółka uchylała się od udzielenia konkretnych odpowiedzi zmierzających do ustalenia liczby i kategorii osób objętych naruszeniem.
Mając na uwadze powyższe należy wyjaśnić, że Spółka w formularzu zgłoszenia naruszenia ochrony danych osobowych poinformowała Prezesa UODO, że naruszenie ochrony danych osobowych dotyczy około 14 000 osób. Prezes UODO nie miał podstaw do odmówienia wiarygodności informacjom zawartym w ww. formularzu, ponieważ w przeciwieństwie do późniejszych wyjaśnień Spółki były logiczne, nawzajem się uzupełniały i uwzględniały zasady doświadczenia życiowego. Równocześnie Spółka w formularzu zgłoszenia naruszenia ochrony danych osobowych poinformowała, że o naruszeniu ochrony danych osobowych zawiadomiła 14 000 osób, na dowód czego przedstawiła treść tego zawiadomienia (karta 6). Z treści zawiadomienia korespondującej z treścią formularza zgłoszenia naruszenia ochrony danych osobowych wynika, że Spółka zawiadomiła wszystkich użytkowników. Ponadto podkreślić należy, że jak wynika z pisma z 27 listopada 2022 r. liczba 500 osób objętych naruszeniem dotyczyła wyłącznie jednej kategorii osób, tj. osób oznaczonych w zawiadomieniu o naruszeniu ochrony danych osobowych jako osoby, których dokumenty z danymi, w tym faktury oraz skierowania na medycynę pracy pracowników firm, które współpracują z S7Health, uległy zniszczeniu. Tym samym S7Health błędnie odniosła tą liczbę osób do wszystkich kategorii osób objętych naruszeniem.
Ponadto, pismem z 27 grudnia 2022 r. Prezes UODO zwrócił się do Spółki o wskazanie liczby osób, których dotyczyło naruszenia, a których „dane zgodnie z art. 86 § 1 ordynacji podatkowej oraz art. 74 ustawy o rachunkowości” S7Health przechowywała, zgodnie z wyjaśnieniami zawartymi w piśmie z 27 listopada 2022 r. W odpowiedzi Spółka pismem z 16 stycznia 2023 r. poinformowała, że „niemożliwe jest wskazanie dokładnej liczby osób fizycznych, których naruszenie dotyczyło”. Jednocześnie w tym piśmie ponownie wskazała, że „liczba osób objętych naruszeniem to nie 1400, a około 500, co stwierdziliśmy na podstawie danych z kont bankowych i wiadomości e-mail” (karta 134). Tak przedstawione twierdzenia są nawzajem sprzeczne, pozbawione zasad logicznego rozumowania i niezgodne ze zgromadzonym materiałem dowodowym. Spółka nie przedstawiła również jakiegokolwiek dowodu na ww. okoliczność.
Prezes UODO nie ma zatem wątpliwości, że w związku ze zniszczeniem serwerów i bezpowrotną utratą bazy danych, w tym danych osobowych, i systemu XXX, Spółka utraciła dane osobowe wszystkich użytkowników, a nie tylko poszczególnych kategorii osób, tj. dane około 14 000 osób, co jest zgodne z liczbą osób wskazaną w zgłoszeniu naruszenia ochrony danych osobowych.
Wobec powyższego Prezes UODO ustalił, że naruszenie ochrony danych osobowych dotyczyło około 14 000 osób określonych zbiorczo jako użytkownicy systemu XXX, w tym 500 osób, „których dokumenty z danymi – w tym faktury oraz skierowania na medycynę pracy pracowników firm, które współpracują z S7Health” uległy zniszczeniu. W tym miejscu należy wyjaśnić, że Prezes UODO oceniając wagę naruszenia odniósł ją do wyżej wymienionych 500 osób wskazując, że i tak jest to już bardzo duża liczba osób, których naruszenie ochrony danych osobowych dotyczy.
8. S7 Health nie dysponowała kopią zapasową danych zlokalizowanych w serwerowni, która uległa zniszczeniu na skutek pożaru oraz przed wystąpieniem naruszenia nie posiadała opracowanej i wdrożonej procedury tworzenia oraz testowania kopii zapasowych systemów objętych naruszeniem.
9. S7Health nie przeprowadziła i nie przedstawiła na wezwanie Prezesa UODO analizy ryzyka wpływu braku dostępności do danych przetwarzanych przy użyciu systemów informatycznych objętych naruszeniem na prawa lub wolności osób, których dane dotyczą.
10. S7Health po naruszeniu ochrony danych osobowych nadal przetwarzała dane osobowe w tych samych celach i tych samych kategorii osób przy użyciu systemów informatycznych. W celu zmniejszenia prawdopodobieństwa wystąpienia podobnego naruszenia ochrony danych osobowych (dotyczącego atrybutu dostępności) w przyszłości, S7Health rozpoczęła korzystanie z usług innego dostawcy serwera (serwer główny) oraz przeprowadza na innym serwerze (znajdującym się w innej lokalizacji) cykliczny backup plików. Ponadto S7Health zatrudniła specjalistę w dziedzinie ochrony danych osobowych, którego zadaniem będzie zapewnić stały rozwój środków bezpieczeństwa w obszarze przetwarzania danych osobowych.
11. W S7Health obowiązywała „Polityka (…) , której treść stanowi załącznik nr 2 do pisma S7Health z 29 marca 2022 r. (dalej jako: „Polityka bezpieczeństwa”).
12. S7Health przeprowadziła analizę ryzyka „dla zasobów przetwarzających dane osobowe”, której treść stanowi załącznik do pisma S7Health z 9 marca 2022 r., w oparciu o „metodykę przeprowadzenia oszacowania ryzyka dla zasobów przetwarzających dane osobowe”, której treść stanowi załącznik do pisma S7Health z 27 listopada 2022 r.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) - zwanej dalej: ustawą z dnia 10 maja 2018 r., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
W motywie 76 rozporządzenia 2016/679 zostało wskazane, że „prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania wiąże się ryzyko lub wysokie ryzyko.”
Natomiast motyw 75 rozporządzenia 2016/679 wskazuje, że „ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogących prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi”.
W pierwszej kolejności należy wskazać, że S7Health dokonała zgłoszenia naruszenia ochrony danych osobowych jako administrator danych, które uległy naruszeniu oraz w wewnętrznych procedurach zdefiniował się jako administrator. Ponadto gromadząc dane osobowe w klauzuli informacyjnej wskazywała, że jest administratorem, jak również zawarła umowy powierzenia przetwarzania danych, gdzie występowała w roli administratora. Podkreślić należy, że status administratora zależy od okoliczności faktycznych i przypisany jest podmiotowi, który decyduje o celach i sposobach przetwarzania danych osobowych, zgodnie z definicją administratora danych wyrażoną w art. 4 pkt 7 rozporządzenia 2016/679, w której „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
W okolicznościach przedmiotowej sprawy oczywistym było, że S7Health jest administratorem danych, które uległy naruszeniu bowiem to Spółka gromadząc dane osobowe wyznaczała cele i decydowała się na przetwarzanie danych osobowy we własnych celach ustalonych w ramach stanu faktycznego, jak również decydowała o sposobach przetwarzania tych danych. Jednocześnie należy podkreślić, że norma przepisu art. 32 rozporządzenia 2016/679 jest skierowana zarówno do administratora, jak i podmiotu przetwarzającego.
Jednocześnie należy wyjaśnić, że przedmiotem postępowania administracyjnego była możliwość naruszenia przepisów o ochronie danych osobowych w postaci naruszenia art. 32 ust. 1 i 2 rozporządzenia 2016/679, a nie odpowiedzialność Spółki za wystąpienie naruszenia ochrony danych osobowych. Wystąpienie naruszenia ochrony danych osobowych, które zostało zgłoszone Prezesowi UODO stanowiło przyczynek do podjęcia postępowania wyjaśniającego wobec Spółki w związku z wątpliwościami co do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanym danym osobowym. Ponadto, dla szerszego wyjaśnienia, wskazać należy, że Prezes UODO uprawniony jest do stwierdzenia naruszenia przepisów o ochronie danych osobowych dotyczących zapewnienia bezpieczeństwa tym danym, nawet jeśli do naruszenia ochrony danych osobowych nie dojdzie. Powyższe znajduje swoje potwierdzenie w orzeczeniu Naczelnego Sądu Administracyjnego z dnia 9 lutego 2023 r., sygn. III OSK 3945/21, w którym Sąd wskazał, że „sankcji administracyjnej podlega administrator nie za to, że doszło w jego organizacji do naruszenia ochrony danych osobowych, ale za to, że nie zapewnił adekwatnego standardu bezpieczeństwa przetwarzanym danym osobowym (…)”.
W toku prowadzonego postępowania Spółka wielokrotnie wyjaśniała, że naruszenie nie powoduje ryzyka naruszenia praw lub wolności osób fizycznych, gdyż nie doszło do naruszenia atrybutu poufności danych wskazując m.in., że „zgłoszone zdarzenie miało charakter incydentu ze względu na brak ryzyka naruszenia praw lub wolności osób fizycznych. Na podstawie bowiem uzyskanych przez Spółkę informacji, dane osobowe zapisane na serwerach, które uległy spaleniu na skutek pożaru, zostały utracone bezpowrotnie, toteż wykluczona jest możliwość ich bezprawnego wykorzystania”. Niniejsze postępowanie administracyjne, co należy ponownie podkreślić, nie odnosi się jednak do odpowiedzialności S7Health za naruszenie ochrony danych osobowych, a do oceny, czy Spółka zapewniła odpowiednie bezpieczeństwo przetwarzanym danym w związku z naruszeniem atrybutu dostępności danych, a nie atrybutu ich poufności.
Biorąc pod uwagę w szczególności szeroki zakres danych, dużą liczbę osób, których dane były przetwarzane w systemie XXX, charakter prowadzonej działalności Spółki w postaci pośredniczenia w świadczeniu usług medycznych, cele przetwarzania danych związane z realizacją usług medycznych oraz obowiązek Spółki przechowania danych osobowych, korespondujący z koniecznością zapewnienia przysługujących na podstawie rozporządzenia 2016/679 praw osobom, których dane dotyczą, w szczególności prawa dostępu do swoich danych osobowych, ich poprawiania, sprostowania oraz uzyskania kopii, wskazać należy, że z operacjami przetwarzania danych, których dotyczy naruszenie, wiązała się możliwość wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. W związku z powyższym, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Spółka była zobowiązana do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, w tym zmierzających do zapewnienia zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa.
Spółka taką analizę ryzyka co prawda przeprowadziła, ale zidentyfikowała w niej w sposób bardzo ogólny zagrożenia związane z utratą dostępności danych, a także nie ustaliła jakiejkolwiek podatności, poprzez wykorzystanie których mogłaby nastąpić materializacja tych zagrożeń i w konsekwencji nie określiła środków bezpieczeństwa mających takie ryzyka zminimalizować.
Wobec powyższego wskazać należy, że jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679 jest obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator lub podmiot przetwarzający powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych, dla którego łącznie ocenia się prawdopodobieństwo wystąpienia i wagę zagrożenia, należy również uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.
W stanie faktycznym przedmiotowej sprawy, ryzyko dotyczyło zagrożenia polegającego na utracie danych osobowych przechowywanych na serwerze w następstwie pożaru. Jak ustalono, w wyniku zniszczenia na skutek pożaru serwerów, na których Spółka przechowywała dane osobowe, dane te zostały bezpowrotnie utracone. W odniesieniu do powyższego zagrożenia, w celu przeciwdziałania potencjalnym skutkom naruszenia ochrony danych osobowych i zapobieżenia naruszenia atrybutu dostępności danych osobowych przechowywanych na serwerze, Spółka, stosownie do ww. przepisu rozporządzenia 2016/679, zobowiązana była zastosować odpowiednie zabezpieczenia. Określenie tych zabezpieczeń powinno nastąpić w wyniku przeprowadzonej analizy ryzyka, po prawidłowej identyfikacji zagrożeń dla danych osobowych przetwarzanych w systemie XXX, czego Spółka, co należy ponownie podkreślić, nie uczyniła.
Wobec powyższego, Spółka przeprowadzając analizę ryzyka powinna zgodnie z art. 32 ust. 2 rozporządzenia 2016/679 uwzględnić ryzyko wiążące się z przetwarzaniem, wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, czy utraty danych i w oparciu o kryteria określone w art. 32 ust. 1 rozporządzenia 2016/679, w tym charakter i cel (cele) przetwarzania danych osobowych, określić i zastosować odpowiednie środki techniczne i organizacyjne mające na celu odpowiednie zabezpieczenie danych w celu zapewnienia ich ochrony, w tym, jak stanowi art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679, zadbać o zdolność do ciągłego zapewnienia poufności danych, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, a więc np. w przypadku wystąpienia pożaru.
Jednak Spółka takich środków bezpieczeństwa w przeprowadzonej analizie ryzyka przed wystąpieniem naruszenia ochrony danych osobowych nie określiła i nie wdrożyła, co stanowi o naruszeniu przez nią art. 32 ust. 1lit. b) i c) oraz art. 32 ust. 2 rozporządzenia 2016/6/79.
Określenie pewnych środków bezpieczeństwa nastąpiło natomiast w Polityce bezpieczeństwa, w której Spółka przewidziała tworzenie kopii zapasowych, oraz w umowie powierzenia przetwarzania danych osobowych podpisanej z O., gdzie przyjęła na siebie odpowiedzialność za tworzenie kopii zapasowych niezbędnych do zabezpieczenia danych osobowych. Pomimo postanowień zawartych w tych dokumentach, takich środków bezpieczeństwa S7Health jednak nie wdrożyła.
Podnieść również należy, że analiza ryzyka mająca na celu dobór odpowiednich do ryzyka środków technicznych i organizacyjnych nie została przeprowadzona przez S7Health w sposób obiektywny, a jak zostało wyjaśnione w motywie 76 rozporządzenia 2016/679 „prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania wiąże się ryzyko lub wysokie ryzyko.” Spółka oceniając, czy stopień bezpieczeństwa jest odpowiedni, nie uwzględniła prawidłowo ryzyka wiążącego się z przetwarzaniem, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia czy utraty danych osobowych. W pierwszej kolejności wskazać należy, że zastrzeżenia Prezesa UODO co do rzetelności i obiektywizmu przeprowadzenia analizy ryzyka związane są z brakiem przedstawienia przez Spółkę kompletnej metodyki sporządzenia analizy ryzyka, pomimo wezwania wystosowanego Prezesa UODO w tym zakresie. Przesłana przez Spółkę analiza ryzyka wraz z metodyką jej przeprowadzenia jest bowiem niekompletna, w szczególności z uwagi na brak macierzy ryzyka, a brak udzielenia odpowiedzi przez S7Health na pytania Prezesa UODO m.in. w zakresie wartości podstawionych do wzoru dla obliczenia ryzyka akceptowalnego w istocie uniemożliwia jej zwrotne odtworzenie w celu jej weryfikacji.
Powyższe stanowi o braku podstaw do przyjęcia przez Spółkę końcowej oceny, uprawniającej do uznania, że ryzyko ma poziom akceptowalny, a w związku z tym uznania, że Spółka zwolniona była z zastosowania jakiegokolwiek środka bezpieczeństwa odnoszącego się do atrybutu dostępności danych osobowych.
Wskazać bowiem należy, że już sama okoliczność stwierdzenia, że z operacjami przetwarzania wiąże się ryzyko naruszenia praw lub wolności osób fizycznych stanowi o konieczności odpowiedniego zastosowania środków bezpieczeństwa, o których mowa w art. 32 ust. 1 lit. a)-d) rozporządzenia 2016/679. Natomiast ustalona na podstawie analizy ryzyka końcowa wartość ryzyka wyznacza poziom standardu odpowiednich środków bezpieczeństwa. Tym samym Spółka ustalając, że z operacjami wiąże się ryzyko, nawet błędnie przyjmując, że jest ono akceptowalne, nie był uprawniony do zrezygnowania z jakiegokolwiek środka bezpieczeństwa (co w istocie zrobił), mającego na celu zagwarantować zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
Ponadto, zastrzeżenia Prezesa UODO co do przeprowadzonej analizy ryzyka dotyczą: wagi ryzyka naruszenia praw lub wolności osób, których dane dotyczą; kontekstu przetwarzania – w ramach którego Spółka nie ustaliła podatności dla konkretnych zagrożeń oraz dokonała bezpodstawnej oceny kryteriów odnoszących się do zastosowanych środków bezpieczeństwa, co jako okoliczności błędnie ustalone lub nie ustalone w ogóle, wspólnie miało wpływ na nieprawidłową ocenę prawdopodobieństwa.
Mając na uwadze powyższe wyjaśnić należy, że wagę ryzyka naruszenia praw lub wolności osób fizycznych Spółka odniosła do następstw ewentualnego zmaterializowania się zagrożenia oddziałowującego na prawa i wolności osób fizycznych z uwagi na utratę dostępności danych. Zgodnie z metodyką analizy ryzyka, S7Health wskazała, że takie zdarzenie będzie miało „umiarkowany wpływ” na „oddziaływanie na prawa lub wolności osób, których dane dotyczą”, oceniając je na 3 w skali od 1 do 5. Ustalając je na tym poziomie pominęła, że naruszenie atrybutu dostępności danych osobowych przetwarzanych w systemie XXX bezpośrednio ogranicza prawa lub wolności osób fizycznych poprzez brak możliwości realizacji ich praw w postaci m.in. dostępu do danych osobowych, których Spółka była obowiązana przechowywać, czy też może utrudnić lub uniemożliwić świadczenie usługi medycznej. Tym samym Spółka, zgodnie z własną metodyką, powinna w kryterium „identyfikowanie następstw”, odnoszącym się do wagi naruszenia, uzasadnić, że zdarzenie spowodowuje „bezpośrednie naruszenie praw lub wolności osób, których dane dotyczą” i w konsekwencji wartość punktową dla oceny oddziaływania na prawa lub wolności osób, których dane dotyczą, ocenić na 1, w skali od 1 do 5, która to ocena odpowiada powyższemu uzasadnieniu zgodnie z przyjętą metodyką (Spółka przyjęła następujące wartości punktowe dla oceny odziaływania na prawa lub wolności osób, których dane dotyczą: 5 – brak oddziaływania, 4 – nieznaczne oddziaływanie, 3 – umiarkowane oddziaływanie, 2- znaczne oddziaływanie, 1 – bezpośrednie naruszenie praw lub wolności osób, których dane dotyczą). Ponadto, Spółka następstwa naruszenia atrybutu dostępności odniosła dodatkowo do takich okoliczności, jak możliwe finansowe i wizerunkowe skutki naruszeń. Tym samym dokonując oceny następstw naruszenia ochrony danych osobowych, 2 z 3 okoliczności, które należy ocenić zgodnie z przyjętą metodyką, odnoszą się do następstw dla Spółki, a nie osób, których dane dotyczą. Wobec powyższego podkreślić należy, że następstwa dla Spółki będące konsekwencją naruszenia atrybutu dostępności danych, nie powinny być uwzględniane w przeprowadzonej analizie ryzyka, jeśli będą powodowały obniżenie ryzyka, a w konsekwencji np. rezygnację z zastosowania środka bezpieczeństwa lub obniżenie jego standardu. Podejście, w którym większą wagę przykłada się do oceny następstw dla administratora, a nie osób, których dane dotyczą, nie jest zgodne z zasadą rzetelnego przetwarzania danych i podejściem mającym na celu zapewnienie jak najlepszej ochrony danych osobowych. Administrator decydując się na przetwarzanie danych nie może bowiem swojego interesu przedkładać nad ochronę danych osobowych. Ponadto, wskazanie, że następstwa zdarzenia będą miały umiarkowany wpływ na finanse nie koresponduje z oceną wartości zasobu, zgodnie z którą serwery (które uległy spaleniu) są wykorzystywane do przetwarzania danych w procesie o kluczowym lub średnim znaczeniu dla realizacji celów biznesowych. Podnieść również należy, że Spółka dokonując oceny oddziaływania na reputację uznała, że naruszenie atrybutu dostępności danych spowoduje „zwiększoną liczbę skarg, wniosków, listów, telefonów do organizacji”, a zatem działań bezpośrednio związanych z naruszeniem praw lub wolności osób fizycznych, co tylko potwierdza, że kryterium oddziaływania na prawa lub wolności osób fizycznych było zaniżone.
Zastrzeżenia Prezesa UODO budzi również brak podstawy do nadania najwyższej pozytywnej oceny w przeprowadzonej analizie ryzyka dla takich kryteriów jak „Identyfikowanie zabezpieczeń” – „Zabezpieczenia techniczne”; „Identyfikowanie zabezpieczeń” – „Zabezpieczenia organizacyjne”; „Ocena efektywności zabezpieczeń” – „Efektywności zabezpieczeń technicznych (uzasadnienie)”; „Ocena efektywności zabezpieczeń” - „Efektywności zabezpieczeń organizacyjnych (uzasadnienie)”, w oparciu o stwierdzenia, których Spółka nie była wstanie uzasadnić, że „do zabezpieczeń wykorzystywane są nowoczesne rozwiązania, posiadające certyfikacje bezpieczeństwa”; „zabezpieczenia organizacyjne są wdrożone i podlegają okresowym, niezależnym przeglądom”; „zabezpieczenia są testowane, zostały ocenione jako skuteczne i nie wykryto nieprawidłowości (w odniesieniu do zabezpieczeń technicznych i organizacyjnych)”, w szczególności z uwagi na brak zastosowania podstawowego dla zabezpieczenia się przed utratą dostępności danych środka w postaci wykonywania kopii zapasowych (wskazanego, jak wyżej podniesiono, w Polityce bezpieczeństwa i w umowie powierzenia przetwarzania danych osobowych zawartej z O.). Ponadto, Spółka nie udzieliła odpowiedzi, na podstawie jakich informacji i okoliczności w kryterium „identyfikowanie podatności” przyjęła „brak podatności zasobu na wystąpienie zagrożenia”. Wskazać bowiem należy, że S7Health pomimo wezwania Prezesa UODO do szczegółowego wskazania, na podstawie jakich konkretnych informacji przyjęła wyżej przedstawione założenia (nie tylko w odniesieniu do kryterium „identyfikowanie podatności”), informacji takich nie przedstawiła. Jedynie w sposób lakoniczny wskazała na stronę internetową podmiotu przetwarzającego (O.), informując, że „Spółka przyjęła w kryteriach wymienionych w pkt. a) - e) powyżej przedmiotowe wnioski na podstawie informacji udostępnianych przez podmiot świadczący usługi dzierżawy przestrzeni serwerowej https://(...) (data dostępu do strony internetowej: 15.01.2023 r.)”.
Powyższe w świetle zasady rozliczalności wyrażonej w art. 5 ust. 2 rozporządzenia 2016/6/79 uprawnia do przyjęcia, że wskazane założenia były bezpodstawne. Wobec braku wywiązania się z obowiązku wykazania (na wezwanie Prezesa UODO), na podstawie jakich informacji, czy okoliczności Spółka przyjął w analizie ryzyka przedstawione założenia, uznać należy, że zostały one przyjęte w sposób zupełnie dowolny, jako przepisane z metodyki analizy ryzyka (bowiem tam taki opis się znajduje), bez przeprowadzenia ich weryfikacji w odniesieniu do operacji przetwarzania danych osobowych, w ramach których doszło do naruszenia ochrony danych osobowych, co w konsekwencji stanowi o braku rzetelności i o dowolności dokonanej oceny.
W przeprowadzonej analizie ryzyka Spółka zidentyfikowała takie zagrożenia jak: zniszczenia fizyczne, utrata usługi i awarie techniczne, naruszenie bezpieczeństwa informacji, nieautoryzowane działania, naruszenie bezpieczeństwa funkcji i oceniła prawdopodobieństwo ich wystąpienia na najniższą możliwą wartość w przyjętej skali, zgodnie ze swoją metodyką, uzasadniając, że wystąpienie tych zdarzeń jest mało realne, gdyż nie wystąpiły w ciągu ostatnich trzech lat. Podkreślić jednak należy, że odniesienie stopnia prawdopodobieństwa tylko do okoliczności, czy zdarzenie miało miejsce w przeszłości, nie jest prawidłowym działaniem.
Spółka oceny prawdopodobieństwa powinna dokonać w oparciu o wewnętrzne i zewnętrzne okoliczności dotyczące w szczególności kontekstu przetwarzania danych w swojej organizacji, a zatem prawdopodobieństwo należy odnieść nie tylko do doświadczenia (występowania bądź nie określonych zdarzeń w przeszłości), ale również istniejących zabezpieczeń i ich skuteczności, które w przedmiotowej sprawie zostały dowolnie ocenione, a przede wszystkim do podatności, które w przedmiotowej sprawie nie zostały przez Spółkę w ogóle ustalone. Również przyjęty okres „ostatnich trzech lat” jest zupełnie dowolny i niczym nie uzasadniony, zwłaszcza, że waga zasobu objętego naruszeniem ochrony danych osobowych została oceniona przez Spółkę na najwyższym stopniu w przyjętej skali. Jak już wyżej wskazano, Spółka oceniła, że serwery, które uległy spaleniu i przy wykorzystaniu których przetwarzane były dane osobowe w systemie XXX, stanowią zasób wykorzystywany przez S7Health do przetwarzania danych w procesie o kluczowym lub średnim znaczeniu dla realizacji celów biznesowych.
Ponadto, co należy również ponownie podnieść, w umowie powierzenia przetwarzania danych zawartej z O. (której przedmiotem było przetwarzanie danych na serwerach, które uległy spaleniu) znalazło się postanowienie, zgodnie z którym zakończenie lub wygaśnięcie usługi z jakiegokolwiek powodu, jak również niektóre operacje aktualizacji lub przeinstalowania usług, powodują automatyczne i nieodwracalne usunięcie całej zawartości (w tym informacji, danych, plików, systemów, aplikacji, stron internetowych i innych elementów), która jest powielana, przechowywana, instalowana lub w inny sposób używana przez S7Health w ramach usług. Tym samym zasób, tak istotny dla prowadzonej przez Spółkę działalności, był obarczony podatnością mogącą skutkować utratą dostępności danych, o której Spółka została poinformowana, i dla której nie przewidziała w przeprowadzonej analizie ryzyka żadnych środków bezpieczeństwa, nawet tych, które były w tej umowie wskazane, a więc sporządzania kopii zapasowych.
Tym samym należy uznać, że Spółka była świadoma zagrożeń mogących skutkować utratą dostępności danych oraz wagi zagrożenia dla danych osobowych przetwarzanych w systemie XXX oraz konieczności zastosowania środków bezpieczeństwa zdolnych do ciągłego zapewnienia poufności danych, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolnych do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, które zostały przez S7Health zdefiniowane w Polityce bezpieczeństwa i umowie powierzenia przetwarzania danych osobowych zawartej z O. jako tworzenie kopii zapasowych.
Działania polegające na zapewnieniu ciągłości dostępu uprawnionym użytkownikom, regularne wykonywanie i testowanie zapasowych kopii, zgodnie z ustaloną polityką kopii zapasowych, to wzorcowe elementy bezpieczeństwa, na które wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06 (obowiązująca w dacie stwierdzenia naruszenia ochrony danych osobowych). Jak wynika z art. 32 ust. 1 rozporządzenia 2016/679, jednym z czynników, jakie należy brać pod uwagę przy doborze właściwych środków technicznych i organizacyjnych, jest stan wiedzy technicznej, który powinno się oceniać z uwzględnieniem warunków rynkowych, w szczególności dostępności i akceptowalności rynkowej danego rozwiązania technicznego. Wskazówek konkretyzujących w tym przedmiocie dostarczają obowiązujące standardy i normy, w szczególności normy ISO, które ulegają również ciągłym przeglądom i zmianom warunkowanym postępem technologicznym.
PN-EN ISO/IEC 27002:2017-06 zalecała regularne wykonywanie i testowanie zapasowych kopii informacji, oprogramowania i obrazów systemów zgodnie z ustaloną polityką kopii zapasowych. Podczas opracowania planu kopii zapasowych zaleca się m.in. przechowywanie kopii zapasowych w innej lokalizacji, w odległości pozwalającej uniknąć uszkodzeń spowodowanych katastrofą, która dotknęła ośrodek podstawowy.
Natomiast Spółka pomimo powyższych okoliczności takiego środka bezpieczeństwa przed wystąpieniem naruszenia ochrony danych osobowych nie wdrożyła, dopiero po jego wystąpieniu zaczęła wykonywać kopie zapasowe, jako środek bezpieczeństwa mający zmniejszyć prawdopodobieństwo wystąpienia naruszenia ochrony danych osobowych w przyszłości.
Efektem braku określenia w analizie ryzyka adekwatnych środków bezpieczeństwa zapewniających realizację wymogów z art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/6/79 (i w rezultacie ich niewdrożenie) było zmaterializowanie się zagrożenia w postaci zniszczenia serwerów, na których byłych przechowywane dane, „bez możliwości przywrócenia utraconych danych”.
Tym samym nie można uznać, aby Spółka uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst, a przed wszystkim cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożyła środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi zdolność do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego i technicznego, oraz nie można uznać aby, Spółka oceniając, czy stopień bezpieczeństwa jest odpowiedni prawidłowo uwzględniła w szczególności ryzyko wiążące się z przetwarzaniem, wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, czy utraty danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, co stanowi o naruszeniu art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 rozporządzenia 2016/679.
Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością”, a także „Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka.” Podnieść należy, że rozporządzenie 2016/679 zrezygnowało z list wymagań w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.
Jak bowiem wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych.”
Podsumowując, Spółka przeprowadzając analizę ryzyka powinna zgodnie z art. 32 ust. 2 rozporządzenia 2016/679 uwzględnić ryzyko wiążące się z przetwarzaniem, wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, czy utraty danych i w oparciu o elementy z art. 32 ust. 1 rozporządzenia 2016/679 ustalić m.in., że brak realizacji celu przetwarzania lub jego realizacja, ale po pewnym czasie, z uwagi na utratę dostępności danych spowodowaną np. pożarem, lub wystąpienie okoliczności opisanych w umowie powierzenia przetwarzania danych zawartej z O., mogących skutkować zaprzestaniem świadczenia usług przez ten podmiot, może powodować utrudnienie świadczenia usług medycznych dla klientów Spółki, a w przypadku obowiązku przechowania danych, uniemożliwić realizację praw osobom, których dane dotyczą, co niewątpliwie ma wpływ na ocenę, że z przetwarzaniem danych osobowych w tych celach wiązała się możliwość wystąpienia ryzyka naruszenia praw lub wolności osób, których dane dotyczą – i w związku z tą okolicznością powinien zastosować odpowiednie środki techniczne i organizacyjne mające na celu odpowiednie zabezpieczenie dostępności danych osobowych, w tym jak stanowi art. 32 ust. 1 lit. b) i c) – zdolność do ciągłego zapewnienia poufności danych, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
Natomiast Spółka takich środków bezpieczeństwa przed wystąpieniem naruszenia ochrony danych osobowych nie wdrożyła, a w przeprowadzonej analizie ryzyka mającej na celu ustalenie adekwatnych środków technicznych i organizacyjnych mających na celu zapewnienie odpowiedniego bezpieczeństwa przetwarzania danych osobowych, nie uwzględniła celów przetwarzania, a samą analizę przeprowadziła w sposób rażąco nieprawidłowy, co swoje odniesienie miało w szczególności do takich kryteriów jak waga ryzyka naruszenia praw lub wolności osób fizycznych oraz kontekst przetwarzania, w tym brak ustalenia podatności i konkretnych zagrożeń oraz dowolną ocenę efektywności zabezpieczeń i ich identyfikacji, co również miało wpływ na prawdopodobieństwo, które nie zostało prawidłowo ustalone. Powyższe stanowi o naruszeniu przez Spółkę art. 32 ust. 1 oraz art. 32 ust. 2 rozporządzenia 2016/6/79.
Podnieść należy, że jak wynika z ustalonego stanu faktycznego, w dniu 9 marca 2021 r., a więc w dniu poprzedzającym wystąpienie naruszenia ochrony danych osobowych, S7Health dokonała zgłoszenia aktualizacji listy klientów (osób, których dane dotyczą) do P. Tym samym, jak wyjaśniła Spółka, zapewniła osobom, których dane dotyczą, dostęp do usługi świadczonej przez P., pomimo trwania awarii i zapewniła ten dostęp również w kolejnych dniach, a zatem nie dopuściła się przerwy w dostępie do sprzedanych wcześniej usług dla swoich klientów. Wobec powyższego wyjaśnić należy, że okoliczność, iż w miesiącu, w którym doszło do zniszczenia serwera, dane osobowe zostały przekazane operatorowi medycznemu, nie ma znaczenia dla oceny, czy Spółka wdrożyła adekwatne środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa przetwarzanym danym osobowych, bowiem okoliczność ta nie wynikała z zastosowania jakiegokolwiek zabezpieczenia. Dane osobowe zostały przekazane 9 marca 2021 r., a do spalenia serwerowni doszło 10 marca 2021 r., tym samym gdyby pożar nastąpił kilka dni wcześniej Spółka nie byłaby wstanie przekazać zgromadzonych danych. Natomiast przedmiotem postępowania administracyjnego jest możliwość naruszenia przez S7Health art. 32 ust. 1 i 2 rozporządzenia 2016/6/779 i jak już zostało wyjaśnione, odpowiedzialność Administratora oceniana jest w kontekście braku zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanym danym osobowym, a nie wystąpienia naruszenia ochrony danych osobowych. Przedmiotowe postępowanie wykazało, że Spółka nie zapewniła danym osobowym osób, których dane były przetwarzane w systemie XXX odpowiedniego bezpieczeństwa, narażając te osoby m.in. na brak możliwości lub trudności w realizacji usługi medycznej oraz realizacji praw, przysługującym im m.in. na podstawie rozporządzenia 2016/679. Natomiast potwierdzeniem naruszenia art. 32 ust 1 i 2 rozporządzenia 2016/679 jest właśnie wystąpienie naruszenia ochrony danych osobowych, gdzie w wyniku materializacji zagrożenia, Spółka utraciła bezpowrotnie bazę danych obejmującą dane osobowe około 14 000 osób, uniemożliwiając tym osobom sprawowanie kontroli nad tymi danymi osobowymi i realną utratę możliwości realizacji swoich praw lub wolności.
W tym miejscu należy odnieść się do wniosku Spółki z pisma z 29 marca 2022 r. o przeprowadzenie dowodu z „Polityki (…)” – na fakt opracowania, wdrożenia i przestrzegania stosownych procedur ochrony danych osobowych.
Jak wynika z Polityki bezpieczeństwa, stanowiącej załącznik nr 1 do pisma Spółki z 29 marca 2022 r., dokument ten miał za zadanie określić środki techniczne i organizacyjne obowiązujące w S7Health Sp. z o.o., które uznać należy za niezbędne dla zgodności z prawem, rzetelności i przejrzystości, prawidłowości, integralności i poufności oraz rozliczalności przetwarzania danych osobowych w obliczu zagrożeń, przed którymi dane osobowe muszą być chronione (§ (…) ust. (…) Polityki). Polityka bezpieczeństwa została opracowana w celu zapewnienia standardów bezpieczeństwa danych osobowych w S7Health ze szczególnym uwzględnieniem ich zgodności z przepisami prawa (§ (…) ust. (…) Polityki). Zgodnie z § (…) ust. (…), Polityka opisuje zabezpieczenia techniczne i organizacyjne zastosowane celem ochrony danych osobowych i stanowi podstawowy dokument ochrony danych osobowych wewnątrz S7Health. Polityka obowiązuje w zakresie wszystkich operacji związanych z przetwarzaniem danych osobowych, niezalenie od formy i sposobu ich przetwarzania oraz tego kogo dane są przetwarzane. Jak stanowi § (…) ust. (…) pkt (…) i (…) – zapewnienie bezpieczeństwa danych polega na zagwarantowaniu dostępności danych, zapewnieniu dostępu do danych osobom, których dane dotyczą, realizacji praw jednostki oraz umożliwieniu osobom, których dane Administrator przetwarza, wykonywanie swoich praw i realizację tych praw. Natomiast zgodnie z § (…) ust. (…) Polityki, celem zapewnienia bezpieczeństwa danych osobowych w S7Health wprowadzono mechanizmy ochronne w postaci zabezpieczeń fizycznych, środków sprzętowych, procedur organizacyjnych i oprogramowania systemowego. Mechanizmy ochronne są wdrażane adekwatnie do czynności przetwarzania – uwzględniając charakter, zakres, kontekst, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, a także stan wiedzy technicznej i koszty wdrożenia. Dobór odpowiednich mechanizmów ochronnych w odniesieniu do czynności przetwarzania odbywa się w szczególności na podstawie przeprowadzenia analizy ryzyka naruszenia danych osobowych, szacowanie ryzyka odbywa się nie rzadziej niż raz na rok. Ponadto, zgodnie z § (…) ust. (…) Polityki, dane osobowe są przetwarzane przez Administratora w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym m.in. ochronę przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Natomiast § (…) Polityki bezpieczeństwa odnosi się do praw osób, których dane dotyczą, i zasad ich realizacji, w tym prawa dostępu do danych, uzyskania ich kopii oraz ich sprostowania.
W oparciu o powyższą Politykę bezpieczeństwa organ nadzorczy ustalił, że została opracowana, jednak nie miał podstaw do przyjęcia, że postanowienia tego dokumentu zostały wdrożone i Spółka na jej podstawie przestrzegała „stosownych procedur ochrony danych osobowych”, w tym opracowanie tej polityki nie mogło stanowić o wywiązaniu się z obowiązku określonego w art. 32 ust. 1 i 2 rozporządzenia 2016/679. Polityka bezpieczeństwa nie odnosi się w sposób szczegółowy do sposobów zapewnienia dostępności danych osobowych, odsyłając do konieczności przeprowadzenia analizy ryzyka i na jej podstawie ustalenia odpowiednich środków technicznych i organizacyjnych o treści korespondującej z art. 32 ust. 1 rozporządzenia 2016/6/79, bezpośrednio wskazując na elementy, których uwzględnienie było konieczne dla ustalenia tego ryzyka, m.in. cel przetwarzania danych osobowych. I jak zostało to szczegółowy wyjaśnione w niniejszej decyzji administracyjnej, elementy te nie zostały uwzględnione i w konsekwencji Spółka nie wdrożyła środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzanym danym odpowiednio do ryzyka.
Odnosząc się do wniosku S7Health o przeprowadzenie dowodu z „Umowy (…)” – na fakt powierzenia przetwarzania danych osobowych w O., Prezes UODO fakt powierzenia ustalił, co znajduje swoje potwierdzenie w pkt 2 opisu stanu faktycznego.
Jednocześnie, co należy ponownie podnieść, oba te dokumenty przewidywały obowiązek i zadania w postaci wykonywania kopii zapasowych, które to jednak do czasu wystąpienia naruszenia ochrony danych osobowych nie były tworzone przez Spółkę.
W tym miejscu należy również odnieść się do wniosku Spółki z ww. pisma „o umorzenie postępowania jako bezprzedmiotowego w całości zgodnie z art. 105 § 1 ustawy Kodeks postępowania administracyjnego, wobec faktu, iż zgłoszenie miało charakter incydentu ze względu na brak ryzyka naruszenia praw lub wolności osób fizycznych. Na podstawie bowiem uzyskanych przez Spółkę informacji, dane osobowe zapisane na serwerach, które uległy spaleniu na skutek pożaru, zostały utracone bezpowrotnie, toteż wykluczona jest możliwość ich bezprawnego wykorzystania.”Wskazać należy, że uzasadnienie ww. wniosku Spółki odnosi się do braku ryzyka naruszenia praw lub wolności osób fizycznych w przypadku naruszenia poufności ich danych osobowych, podczas gdy przedmiotem niniejszego postępowania było naruszenie przepisów rozporządzenia 2016/679 z uwagi na niezapewnienie przez S7Health odpowiednich środków chroniących przez utratą dostępności danych osobowych. Tym samym wniosek Spółki jest z oczywistych przyczyn bezzasadny.
Na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze ustalenia stanu faktycznego, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego we wskazanym wyżej przepisie rozporządzenia 2016/679 stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na S7Health administracyjnej kary pieniężnej.
Wedle art. 83 ust. 4 lit. a) rozporządzenia 2016/679 naruszenia przepisów kształtujących obowiązki administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Po przeprowadzeniu postępowania administracyjnego Prezes UODO stwierdził naruszenie obowiązków Spółki wynikających z przepisów art. 32 ust. 1 i 2 rozporządzenia 2016/679, których kategoria zgodnie z ich charakterem została określona w art. 83 ust. 4 lit. a) rozporządzenia 2016/679. Wobec powyższego charakter naruszenia przepisów o ochronie danych osobowych jest poważny, zaszeregowany do kategorii przepisów, których naruszenie zagrożone jest administracyjną karą pieniężną w wysokości do 10 000 000 EUR.
Podkreślić należy, że Spółka naruszyła te przepisy rozporządzenia 2016/679, które wprowadzają podstawowe obowiązki dotyczące zastosowania odpowiednich środków bezpieczeństwa w celu zapewnienia ochrony przetwarzanych danych osobowych m.in. w zakresie zagwarantowania zdolności do ciągłego zapewnienia dostępności danych i szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego, a więc np. w wyniku pożaru serwerów wykorzystywanych do ich przetwarzania. W efekcie nie był w stanie odtworzyć tych danych – jak wskazała sama Spółka „dane osobowe zapisane na serwerach, które uległy spaleniu na skutek pożaru, zostały utracone bezpowrotnie”. Jednoznacznie wskazuje to na poważny charakter naruszenia.
Liczba poszkodowanych osób nie jest mała, obejmowała około 14 000 osób, przy czym liczba osób, których dokumenty z danymi – w tym faktury oraz skierowania na medycynę pracy pracowników firm, współpracujących z S7Health, uległy zniszczeniu – została oszacowana przez Spółkę na 500 osób.
Spółka przetwarzała dane tych osób m.in. w celu ich archiwizacji, co było jej obowiązkiem prawnym. Na skutek bezpowrotnego zniszczenia danych, Spółka jak i osoby, których dane dotyczą utraciły do nich dostęp, co potencjalnie uniemożliwia realizację praw lub wolności tych osób w postaci np. dostępu do danych osobowych, ich poprawienia, sprostowania, czy sporządzania z nich kopii, zgodnie z art. 15 i 16 rozporządzenia 2016/679. Brak zapewnienia możliwości realizacji przez osoby, których dane dotyczą, powyższych uprawnień, przy jednoczesnym obowiązku prawnym Spółki przechowana danych oraz dużej liczbie tych osób, wskazują na znaczną wagę naruszenia. Osoby, których danych osobowych naruszenie dotyczy, utraciły możliwość dostępu do swoich danych osobowych i tym samym doznały szkody w postaci naruszenia ich prawa do ochrony danych osobowych (art. 41 ust. 1 Konstytucji RP). Powyższe może potencjalnie również narazić te osoby na szkodę majątkową.
Również czas trwania naruszenia, tj. od 25 maja 2018 r., (data rozpoczęcia stosowania rozporządzenia 2016/679 – uwzględniający okres powierzenia przetwarzania danych i przechowywania ich na serwerach, które uległy spaleniu) do 10 marca 2021 r. (data naruszenia ochrony danych osobowych polegającego na zniszczeniu serwerowni w wyniku pożaru) przepisów o ochronie danych osobowych, w którym Spółka nie zapewniła, aby przetwarzanie odbywało się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed przypadkową utratą, zniszczeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, był znaczny. Przy czym czas naruszenia w odniesieniu do osób, objętych naruszeniem ochrony danych osobowych, oznaczonych przez Spółkę jako „nowi i dotychczasowi użytkownicy, osoby rejestrujące się w systemie XXX” – również był znaczny bowiem obejmował okres od 1 marca 2020 r. do 10 marca 2021 r.
Ponadto Spółka przetwarzała dane osobowe, osób których dane dotyczą w celu realizacji usług medycznych, nie zapewniając tym danym odpowiedniego poziomu bezpieczeństwa, a tym samym narażając osoby te na możliwość braku spełnienia usługi medycznej lub jej utrudnienia, co mogło stanowić o możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
Tym samym osoby, których dane były przetwarzane w systemie XXX w okresie od 25 maja 2018 r. do 10 marca 2021 r. były narażone na możliwość wystąpienia ryzyka naruszenia praw lub wolność tych osób, w postaci braku możliwości lub braku możliwości niezwłocznej realizacji usługi medycznej w sytuacji utraty danych lub systemu i trudności w rozliczeniu usługi.
2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Spółka była świadoma, w jaki sposób powinna przetwarzać dane osobowe zgromadzone na serwerach, które uległy spaleniu, aby zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych i organizacyjnych, a wiec w jaki sposób przestrzegać zasadę „integralności i poufności” wyrażoną w art. 5 ust. 1 li. f) rozporządzenia 2016/679 (okoliczność ta znajduje swoje potwierdzenie w postanowieniach Polityki bezpieczeństwa oraz w umowie powierzenia). Jednocześnie powyższa zasada znajduje swoją konkretyzację w art. 32 ust. 1 i 2 rozporządzenia 2016/679 zgodnie z którym, Spółka przy uwzględnieniu kryteriów zawartych w przepisie, zobowiązana była do wdrożenia środków technicznych i organizacyjnych odpowiednich do ryzyka, w tym zapewniających zdolność do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Spółka przeprowadziła analizę ryzyka w sposób zupełnie dowolny, nieprawidłowo uznając, że ryzyko jest na poziomie akceptowalnym. Jednocześnie nie zastosowała określonych przez siebie w Polityce bezpieczeństwa i wskazanych w umowie powierzenia środków bezpieczeństwa w postaci wykonywania kopii bezpieczeństwa, a realne działania podjęła dopiero po wystąpieniu naruszenia ochrony danych osobowych. W działaniach Spółki uwidoczniona została świadomość, co do braku zapewnienia odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych na serwerach. Wobec powyższego Spółka była świadoma, że w tym okresie od powierzenia przetwarzania danych osobowych do zmaterializowania się zagrożenia, nie zapewnia odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych na serwerach, co będzie stanowiło naruszenie przepisów o ochronie danych osobowych. Tym samym, umyślnie naruszyła przepis art. 32 ust. 1 i 2 rozporządzenia 2016/679. Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Spółka – mimo świadomości – dopuściła się zaniedbania skutkującego wystąpieniem naruszenia ochrony danych osobowych dotyczącego dostępności danych. Tak więc stanowi to istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej
3. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
Wskazać należy, że współpraca z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków powinna w szczególności prowadzić z jednej strony do ustalenia, czy Administrator ma możliwość, a jeśli tak, to w jaki sposób ewentualnie załagodzić negatywne skutki dla osób, których dane dotyczą, a z drugiej strony umożliwić organowi nadzoru przeprowadzenie oceny, co do skorzystania ze swoich uprawnień naprawczych, przy czym ustalenie okoliczności zmierzających do oceny, czy w ramach naruszenia ochrony danych osobowych doszło do możliwości wystąpienia ryzyka lub wysokiego ryzyka dla osób, których dane dotyczą, powinno stanowić fundament tej współpracy.
Współpraca z organem nadzorczym nie była zadowalająca, a skala nieprawidłowości istotnie rzutująca na decyzję, co do nałożenia administracyjnej kary pieniężnej i jej wysokości.
Powyższe w szczególności odniesienie ma do takich okoliczności jak brak udzielenia lub wymijające udzielenia odpowiedzi na zadane pytania, czy brak przedstawienia dowodów, o które Prezes UODO się zwracał. Skala braku tej współpracy oraz jej sposób uprawnia nawet do przyjęcia, że były to celowe działania Spółki mające na celu utrudnienie prowadzenie postępowania administracyjnego w zakresie ustalenia okoliczności istotnych dla rozstrzygnięcia sprawy, a tym samym usunięcia naruszenia i jego ewentualnych skutków w postaci: ustalenia celów przetwarzania i ich podstawy prawnej; liczby osób, których naruszenie dotyczyło; możliwych konsekwencji naruszenia ochrony danych osobowych dla osób, których dane dotyczą; operacji przetwarzania, w związku z którymi doszło do naruszenia ochrony danych osobowych; poprawności przeprowadzenia analizy ryzyka mającej na celu ustalenie odpowiednich środków technicznych i organizacyjnych; ustalenie ryzyka naruszenia praw lub wolności osób fizycznych związanego z operacjami przetwarzania danych i możliwości wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych w związku z naruszeniem ochrony danych osobowych. Ponadto Spółka uporczywie udzielała lakonicznych i wymijających odpowiedzi lub nie udzielała odpowiedzi wcale, w konsekwencji Prezes UODO zmuszony był ponownie zwracać się o udzielenie odpowiedzi na te same pytania.
Wyjaśnienia Spółki nie tylko nie pomagały w ustaleniu możliwych konsekwencji naruszenia ochrony danych osobowych dla osób, których dane dotyczą, ale wręcz je utrudniały, nie bez znaczenie jest również okoliczność, że Spółka w przesyłanych wyjaśnieniach zupełnie pomijała cel przetwarzania danych osobowych w postaci obowiązku ich archiwizacji, który w sposób bezpośredni wskazuje na możliwe konsekwencje w postaci braku możliwości dostępu do swoich danych osobowych.
Ponadto, Prezes UODO pismem z 27 grudnia 2022 r. ponownie zwrócił się do Spółki o przesłanie analizy ryzyka i wpływu utraty dostępności danych na prawa i wolności osób, których dane dotyczą, wyraźnie wyjaśniając, cyt. „mając na uwadze, że Prezes UODO pismem z 17 lutego 2022 r. zwrócił się do S7 Health z pytaniem „czy Administrator dokonał analizy ryzyka i wpływu braku dostępności do danych przetwarzanych przy użyciu systemów informatycznych objętych naruszeniem na prawa i wolności osób, których dane dotyczą”, w rezultacie czego Spółka pismem z 9 marca 2022 r. przesłała „analizę ryzyka dla zasobów przetwarzających dane osobowe”, ponownie zwracam się o przesłanie analizy ryzyka i wpływu braku dostępności do danych przetwarzanych przy użyciu systemów informatycznych objętych naruszeniem na prawa lub wolności osób, których dane dotyczą.” W odpowiedzi S7Health, takiej analizy nie przedstawiła.
Podnieść należy, że dla ustalenia możliwej szkody związanej z wagą naruszenia, Prezes UODO pismem z 9 listopada 2022 r. zwrócił się m.in. z pytaniami dotyczącymi realizacji oraz możliwości realizacji praw osób, których dane dotyczą oraz o przedstawienie dowodów potwierdzających składane wyjaśnienia. W odpowiedzi, Spółka pismem z 27 listopada 2022 r. wyjaśniła, że nie miały miejsca przypadki, w których nie mógł zrealizować lub poczynić zadość jakimkolwiek prawom lub wolnościom osób, których dane dotyczą; do Spółki nigdy nie wpłynęło zgłoszenie z żądaniem dostępu do danych osobowych; w związku ze zniszczeniem dokumentacji zawierającej dane osobowe, Administrator nie napotkał jakichkolwiek trudności w realizacji wniosku o dostęp do danych osobowych. Z kolei w piśmie z 16 stycznia 2023 r. Spółka wyjaśniła, że nie odnotowała żadnych wniosków, zapytań, skarg, żądań ani innych komunikatów. Wskazać jednak należy, że Spółka nie przedstawiła jakichkolwiek dowodów potwierdzających przedstawione wyjaśnienia, pomimo wezwania do tego przez Prezesa UODO. Mając na uwadze powyższe, Prezes UODO zwrócił się o przedstawienie konkretnych dowodów w postaci „przesłania rejestru ewidencji wniosków o realizację praw osób, których dane dotyczą, a w przypadku braku takiego rejestru o przesłanie stosownego oświadczenia osoby odpowiedzialnej za prowadzenie takiego rejestru, w zakresie braku wpływu takich wniosków.” W odpowiedzi Spółka pismem z 16 stycznia 2023 r. nie przedstawiła takiego rejestru, ani nie przedstawił stosownego oświadczenia. Poinformowała natomiast, że „nie prowadzi takiego rejestru, ponieważ żaden aktualnie obowiązujący przepis prawa do tego nie zobowiązuje, a nawet o tym nie wspomina. Nigdy również nie było takowej potrzeby, ponieważ tego typu wnioski nie wpływały do Spółki.”, podczas gdy Spółka, zgodnie z § (…) pkt (…) w zw. z § (…) pkt (…) „Polityki (…)” zobowiązała inspektora ochrony danych właśnie do prowadzenia „rejestru ewidencji wniosków o realizację praw osób, których dane dotyczą”. Tym samym odpowiedź Spółki i brak przedstawienia dowodu w postaci stosownego oświadczenia inspektora ochrony danych, o który zwrócił się Prezes UODO, nie znajduje usprawiedliwienia. Ubocznie Prezes UODO wyjaśnia, że nie miał podstaw do uznania, że Spółka cechuje niska znajomości własnych procedur, bowiem Spółka wniosła o przeprowadzenie dowodu m.in. z „Polityki (…)” – na fakt opracowania, wdrożenia i przestrzegania stosownych procedur ochrony danych osobowych, co w istocie takie założenie czyni nieuprawnionym.
Wskazać także należy, że Prezes UODO nabrał poważnych wątpliwości, co do wiarygodności wyjaśnień Spółki. Znana Prezesowi UODO dotychczasowa praktyka w takich przypadkach odpowiadająca zasadom doświadczenia życiowego wskazuje, że w sytuacji wystąpienia naruszenia ochrony danych osobowych i poinformowania o tym fakcie dużej liczby osób, następuje reakcja przynajmniej niektórych osób, których dane dotyczą, w postaci kierowania chociażby wiadomości e-mail do administratora. Administratorzy do obsługi takich zgłoszenie częstokroć są zmuszeni udostępniać specjalną infolinie i powoływać tymczasowe zespoły pracowników. Tym samym mało prawdopodobne jest, aby wśród około 14 000 osób indywidualnie (w formie elektronicznej) zawiadomionych o naruszeniu ich danych osobowych, nawet jedna osoba nie zwróciła się przynajmniej o dodatkowe wyjaśnienia, tym bardziej, że Spółka zapewniła im możliwość zwrotnej odpowiedzi.
Ponadto, w odniesieniu do liczby osób objętych naruszeniem ochrony danych osobowych Spółka w sposób nieuzasadniony wskazała, że naruszenie dotyczyło 500 osób, przy czym nie wyjaśniła dlaczego właśnie przyjęła taką właśnie liczbę, podczas gdy ze zgłoszenia naruszenia ochrony danych osobowych jednoznacznie wynika, że naruszenie to dotyczyło 14000 osób i tyle też osób zostało przez S7Health zawiadomionych o naruszeniu ochrony ich danych osobowych. Jednocześnie Spółka nie odpowiadała na pytania Prezesa UODO lub udzielała odpowiedzi nieprawdziwych w odniesieniu do liczby osób objętych naruszeniem z rozróżnieniem na ich kategorię i zakres danych oraz cele i podstawy prawne przetwarzania, które to pytania miały na celu ustalenie wszelkich okoliczności istotnych sprawy, w tym m.in. liczby osób objętych naruszeniem ochrony danych osobowych.
W oparciu o powyższe okoliczności odnoszące się do stopnia współpracy, należy wyjaśnić, że Prezes UODO nie mógł oprzeć stanu faktycznego o wyjaśnienia S7Health, uznając je za niespójne, chaotyczne, niekorespondujące ze sobą, sprzeczne z materiałem dowodowym lub niewynikające z materiału dowodowego. Prezes UODO ustalenia stanu faktycznego oparł o wyjaśnienia S7Health jedynie w przypadku, gdy znalazły potwierdzenie w zgromadzonym materiale dowodowym lub były z oczywistych przyczyn logiczne i uwzględniały zasady doświadczenia życiowego. Przy czym za wiarygodne uznał formularz zgłoszenia naruszenia ochrony danych osobowych, pomimo że S7Health wskazywał, że osoba sporządzająca go popełniła błąd w postaci posłużenia się sformułowaniem „pacjent” w odniesieniu do klienta Spółki. W ocenie Prezesa UODO, osoba wypełniająca formularz zgłoszenia była uprawniona do wskazania jako kategorii osób, których dotyczy naruszenie ochrony danych osobowych, pacjentów, bowiem osoby, których dane dotyczą, tak zostały oznaczone m.in. we wzorze umowy na opiekę medyczną „S7Health (…)” oraz w „Ogólnych (…)” (karty 148,153). Podkreślić należy, że Prezes UODO za każdym razem zwracał się do S7Health o przedstawienie dowodów potwierdzających złożone wyjaśnienia i takie dowody (z wyjątkiem części dowodów, o których przedstawienie bezpośrednio Prezes UODO wzywał, wskazując na ich nazwę), poza załącznikiem do pisma z 16 stycznia 2023 r. (korespondencja e-mail, karta 155-156), nie zostały przedstawione.
Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające łagodząco na wymiar nałożonej administracyjnej kary pieniężnej:
Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
22 marca 2021 r., po ujawnieniu naruszenia ochrony danych osobowych, S7 Health poinformowała o naruszeniu osoby, których dane dotyczą, wysyłając wiadomość e-mail do około 14 000 osób objętych naruszeniem. Ponadto, zamieściła komunikat informujący o naruszeniu na swojej stronie internetowej. Wskazać należy, że w związku z wystąpieniem naruszenia ochrony danych osobowych nie stwierdzono okoliczności zobowiązujące Spółkę do zawiadomienia o naruszeniu tych osób, stosownie do treści art. 34 ust. 1 rozporządzenia 2016/6/79. Tym samym należy uznać, że Spółka dobrowolnie poinformowała o naruszeniu osoby, których dane dotyczą, jednocześnie zapewniając im możliwość przekazania informacji zwrotnej. Takie działanie z pewności zasługuje na aprobatę i zostało uwzględnienie, jako okoliczność łagodząca.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
1. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
W przyjętych w dniu 3 października 2017 r. Wytycznych Grupy Roboczej ds. Ochrony Danych Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 wskazano, że - rozpatrując tę przesłankę - „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator <zrobił wszystko, czego można by było oczekiwać>, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.
Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Administratora przepisu art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie „zrobił wszystkiego, czego można by było od niego oczekiwać”; nie wywiązał się tym samym z nałożonych na niego przepisem art. 32 rozporządzenia 2016/679 obowiązków.
W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia; nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Spółkę administracyjnej kary pieniężnej
2. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.
3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe znajdujące się na spalonych serwerach nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 lub 10 rozporządzenia 2016/679, a ich zakres był następujący: nazwiska i imiona, adresy zamieszkania lub pobytu, numery ewidencyjny PESEL, adresy e-mail, numery telefonu oraz dane znajdujące się w dokumentach, takich jak faktury oraz skierowania na medycynę pracy. Jednocześnie wskazać należy, że naruszenie ochrony danych osobowych nie polegało na naruszeniu atrybutu poufności i integralności danych osobowych, których kategorie mają w szczególności wpływ na określenie poziomu ryzyka naruszenia praw lub wolności osób fizycznych
4. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez S7 Health. Spółka dokonując tego zgłoszenia realizowała jedynie ciążący na niej obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 Wp. 253 „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.
5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Spółki w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Spółka nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Spółka nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku, z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Spółki. Na korzyść Spółki natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
7. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych, uznał, iż nałożenie administracyjnej kary pieniężnej na S7 Health jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych S7 Health naruszeń. Stwierdzić należy, iż zastosowanie wobec S7 Health jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że S7 Health w przyszłości nie dopuści się kolejnych zaniedbań.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
W ocenie Prezesa UODO nałożona na S7Health administracyjna kara pieniężna w wysokości 117 900 zł (słownie: sto siedemnaście tysięcy dziewięćset zł), co stanowi równowartość 25 000 euro (średni kurs euro z 30 stycznia 2023 r. r. – 4,716 zł), spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
W ocenie Prezesa UODO nałożona na Spółkę kara jest proporcjonalna zarówno do powagi naruszenia jak i do wielkości Spółki, którą to wielkość – mierzoną jej obrotem – należy rozpatrywać w nierozerwalnym związku ze względami na skuteczność kary i na jej odstraszający charakter.
W toku postępowania S7Health przedstawiła sprawozdanie finansowe za 2022 r., zgodnie z którym jej przychody netto ze sprzedaży wyniosły 8 458 585,48 zł (słownie: osiem milionów czterysta pięćdziesiąt osiem tysięcy pięćset osiemdziesiąt pięć zł 48/100) co stanowi równowartość 1 793 593,18 euro wg średniego kursu euro z 30 stycznia 2023 r. Natomiast zysk netto stanowiła kwota 1 053 248, 35 zł (słownie: milion złotych pięćdziesiąt trzy tysiące dwieście czterdzieści osiem zł 35/100), przy przeciętnym w roku obrotowym zatrudnieniu 4 osób. Zważywszy na wyżej przedstawione wyniki finansowe S7Health stwierdzić należy, że orzeczona administracyjna kara pieniężna nie będzie dla niej nadmiernie dotkliwa. Wskazać należy, że ustalona przez Prezesa UODO kwota kary – 117 900zł – stanowi jedynie 1,39 % jej obrotu osiągniętego w 2022 r. Jednocześnie w ocenie Prezesa UODO kara w tej wysokości będzie skuteczna (osiągnie cel jakim jest ukaranie Spółki za poważne naruszenie o poważnych skutkach) i odstraszająca na przyszłość.
Odnosząc się do wysokości wymierzonej S7 Health administracyjnej kary pieniężnej Prezes UODO uznał, iż jest ona proporcjonalna do zaistniałego naruszenia – warto podkreślić, że kwota nałożonej kary 117 900,- PLN to jedynie 0,25% maksymalnej kary, którą Prezes UODO mógł nałożyć na S7Health za stwierdzone w niniejszej sprawie naruszenie – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10 000 000,- euro).
Wobec powyższego Prezes UODO wskazuje ponadto, że nałożona na S7Health administracyjna kara pieniężna spełnia w szczególności kryterium proporcjonalności kary w rozumieniu wypracowanym w orzecznictwie TSUE (na gruncie prawa konkurencji i w stosunku do decyzji Komisji Europejskiej, ale mającym zdaniem Prezesa UODO ogólniejsze zastosowanie): „[…] zasada proporcjonalności wymaga, aby akty wydawane przez instytucje Unii nie przekraczały granic tego, co jest stosowne i konieczne do realizacji uzasadnionych celów, którym służą dane przepisy, przy czym tam, gdzie istnieje możliwość wyboru spośród większej liczby odpowiednich rozwiązań, należy stosować najmniej dotkliwe, a wynikające z tego niedogodności nie mogą być nadmierne w stosunku do zamierzonych celów […] (zob. wyrok z dnia 12 grudnia 2012 r., Electrabel / Komisja, T‑332/09, EU:T:2012:672, pkt 279 i przytoczone tam orzecznictwo)” (zob. wyrok z 26 października 2017 r. w sprawie T-704/14 Marine Harvest ASA przeciwko KE, ust. 580).
W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszająca.
Zdaniem Prezesa UODO nałożona na S7Health kara będzie skuteczna, albowiem doprowadzi do stanu, w którym S7Health stosowała będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność kary równoważna jest zatem gwarancji tego, iż S7Health od momentu zakończenia niniejszego postępowania będzie z najwyższa starannością podchodziła do wymogów stawianych przez przepisy o ochronie danych osobowych.
Zastosowana administracyjna kara pieniężna jest również, proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, skutku, kręgu dotkniętych nim osób fizycznych oraz wysokiego ryzyka negatywnych konsekwencji, jakie wiązały się z operacjami przetwarzania danych. Zdaniem Prezesa UODO, nałożona na S7Health administracyjna kara pieniężna nie będzie stanowiła nadmiernego dla niej obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcje organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej Spółki. Zdaniem Prezesa UODO, S7Health powinna i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 117 900zł (sto siedemnaście tysięcy dziewięćset złotych) jest w pełni uzasadnione.
W ocenie Prezesa UODO, administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez S7Health przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszania obowiązków S7Health wynikających z przepisów o ochronie danych osobowych.
W ocenie Prezesa UODO, zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679.
Celem nałożonej kary jest doprowadzenie do przestrzegania przez S7 Health w przyszłości przepisów rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.