Decyzja
DKN.5131.34.2022
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.), art. 7 ust. 1 i 2 oraz art. 60, art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 oraz art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Wójta Gminy Nowiny (Urząd Gminy Nowiny, ul. Białe Zagłębie 25, 26-052 Nowiny), Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez Wójta Gminy Nowiny (Urząd Gminy Nowiny, ul. Białe Zagłębie 25, 26-052 Nowiny) przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej jako rozporządzenie 2016/679, polegające na niezastosowaniu przez Wójta Gminy Nowiny odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, w szczególności w zakresie wdrożenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, co skutkuje naruszeniem zasady integralności i poufności oraz zasady rozliczalności,
nakłada na Wójta Gminy Nowiny (Urząd Gminy Nowiny, ul. Białe Zagłębie 25, 26-052 Nowiny) za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 administracyjną karę pieniężną w kwocie 50 000 złotych (słownie: pięćdziesięciu tysięcy złotych).
Uzasadnienie
Wójt Gminy Nowiny (Urząd Gminy Nowiny, ul. Białe Zagłębie 25, 26-052 Nowiny), dalej jako Wójt lub Administrator, 13 grudnia 2021 r. dokonał Prezesowi Urzędu Ochrony Danych Osobowych, zwanemu dalej także Prezesem UODO lub organem nadzorczym, zgłoszenia naruszenia ochrony danych osobowych, do którego doszło 9 grudnia 2021 r.
W dniu 14 grudnia 2021 r. Administrator przesłał zgłoszenie uzupełniające, w którym opisał na czym polegało naruszenie ochrony danych osobowych. W formularzu uzupełniającym Wójt wskazał, że „(…) w dniu (...).11.2021 roku około godziny 15.00 obsługa informatyczna Urzędu Gminy Nowiny stwierdziła zaszyfrowanie serwera na którym znajduje się baza programu H. firmy Z., która była użytkowana do realizacji zadań związanych z obsługą kadrowo-finansową Urzędu. Przeprowadzono procedurę zgłoszenia incydentu do CERT NASK zgodnie z przepisami wynikającymi z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. W toku czynności weryfikujących zdarzenie ustalono, że pracownik Urzędu Gminy Nowiny otworzył zainfekowany link co skutkowało uruchomieniem oprogramowania złośliwego ransomware X., który zaszyfrował serwer. Następnie w dniu (...).12.2021 roku o godzinie 13:27 Administrator otrzymał informację od operatora CERT Polska | CSIRT NASK odnośnie wycieku danych z zasobów Urzędu Gminy Nowiny, które zostały upublicznione przez nieznanych sprawców w (…). Ransmoware X umożliwia dostęp bezpośredni do panelu administratora w systemie (…). z czego bezpośrednio skorzystali atakujący. W toku dalszych czynności wyjaśniających w dniu (...).12.2021 około godziny 9.00 Administrator otrzymał potwierdzenie wycieku czterech baz danych, w których znajdują się dane osobowe pracowników oraz byłych pracowników Urzędu Gminy Nowiny. Z przeprowadzonych czynności wyjaśniających zrealizowanych przez obsługę IT Urzędu Gminy Nowiny oraz specjalistów CERT NASK stwierdzono, że serwer został zainfekowany oprogramowaniem złośliwym X. Po czym doszło do wycieku danych osobowych obecnych i byłych pracowników Urzędu oraz do upublicznienia wykradzionych danych pod adresem: http://(…). Obsługa IT Urzędu Gminy zdołała przywrócić dane dotyczące zasobów zebranych na serwerze do dnia (...) września 2019 roku. Od dnia (...) września 2019 roku do chwili ataku tj. dnia (...).11.2021 roku utracono wszystkie dane zapisane na serwerze. Kopia zapasowa danych była przechowywana na serwerze, który uległ atakowi i został zaszyfrowany. Na serwerze tym znajdowały się również dane przetwarzane przez G. zgromadzone w programie K. Z informacji wiadomych Administratorowi G. w ramach naruszenia ochrony danych osobowych we własnej strukturze zrealizuje odrębne zgłoszenie. W wyniku przeprowadzonej do chwili obecnej analizy programu H. służącego do obsługi kadrowo-finansowej ustalono, iż bezpowrotna utrata danych oraz nieuprawiony dostęp do danych oraz ich bezprawna publikacja (…). dotyczyła następujących danych: imię i nazwisko pracownika, adres zamieszkania, data i miejsca urodzenia, numer PESEL, danych dotyczących dokumentu tożsamości, numeru rachunku bankowego oraz numeru telefonu kontaktowego. Nadmieniam, że Administrator w obszarze wyjaśnienia naruszenia ochrony danych osobowych oraz popełnionego przestępstwa złożył zawiadomienie na Komisariacie Policji w C. (…)”.
Administrator wskazał, że przyczyną naruszenia ochrony danych osobowych było zewnętrzne działanie zamierzone. Określony został ponadto charakter naruszenia – Administrator wskazał, że doszło do naruszenia poufności, integralności i dostępności danych. Administrator określił, że przybliżona liczba osób, których naruszenie dotyczy wynosi 1000, a kategorie danych osobowych, które zostały naruszone obejmują: nazwiska i imiona, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, nazwisko rodowe matki, adres e-mail, serię i numer dowodu osobistego oraz numer telefonu. Administrator wskazał ponadto, że naruszenie dotyczy danych osobowych pracowników, klientów (obecnych i potencjalnych) oraz klientów podmiotów publicznych.
Prezes UODO przeprowadził postępowanie wyjaśniające w sprawie zgłoszonego naruszenia ochrony danych osobowych (zarejestrowane pod sygn.: DKN.5130.12379.2021.), a następnie 10 czerwca 2022 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Wójta, jako administratora danych, obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.
Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego w sprawie zgłoszonego naruszenia ochrony danych osobowych oraz postępowania administracyjnego ustalił następujący stan faktyczny.
I.
W piśmie z 10 stycznia 2022 r. Administrator wskazał, że „(…) powodem wystąpienia incydentu było otworzenie przez jednego z pracowników załącznika z poczty służbowej. Załącznikiem okazał się zawirusowany plik wykonywalny typu ransomware o nazwie X. Wirus spowodował zainfekowanie [zaszyfrowanie] serwera na którym znajduje się baza danych programu H. oraz kopii zapasowych tego programu - dane osobowe pracowników, zleceniobiorców, wykonawców objętych systemem ewidencji pracy (…)”.
II.
W piśmie z 10 stycznia 2022 r. Administrator wskazał, że (...) grudnia 2021 r. otrzymał od CSIRT NASK informację, że skradzione dane zostały udostępnione (…).
Z wyjaśnień Administratora z 31 maja 2022 r. wynika, że rodzajem bazy, która została pobrana była baza A. W odpowiedzi na pytanie organu nadzorczego, czy pobrane bazy były szyfrowane, Administrator w ww. piśmie wskazał, że „(…) dane są szyfrowane (…), który jest przechowywany w zaszyfrowanej bazie ale również w postaci zaszyfrowanej. (…) jest chroniony przez certyfikat X. (…), który z kolei jest zabezpieczony hasłem (…)”. Z kolei w piśmie z 4 sierpnia 2023 r. Wójt wskazał, że „(…) nie jesteśmy w stanie wskazać z ilu liter, liczb oraz znaków specjalnych składało się hasło, które było zastosowane dla zabezpieczenia wykradzionej bazy danych, z uwagi na rozwiązanie stosunku pracy z odpowiedzialnym za naruszenie pracownikiem (…)”.
Pismem z 27 lipca 2023 r. organ nadzorczy zwrócił się do Administratora o wyjaśnienie, czy dane osobowe naruszone w następstwie ataku hackerskiego z (...) listopada 2021 r. zostały udostępnione (…) w formie zaszyfrowanej czy po rozszyfrowaniu. W odpowiedzi na powyższe, pismem z 4 sierpnia 2023 r. Administrator wyjaśnił, że „(…) nie jesteśmy w stanie ustalić, czy dane osobowe naruszone w następstwie ataku zostały udostępnione (…) w formie zaszyfrowanej czy po rozszyfrowaniu.(…), a informacja, że zostały one udostępnione pochodziła od CERT Polska/CSIRT NASK (…)”.
Wobec powyższego, pismem z 28 września 2023 r. Prezes UODO zwrócił się do CERT Polska Naukowa i Akademicka Sieć Komputerowa (…), dalej jako CERT Polska, czy dane osobowe naruszone w następstwie ataku hackerskiego z (...) listopada 2021 r. zostały udostępnione (…). w formie zaszyfrowanej czy po rozszyfrowaniu. CERT Polska w piśmie z 29 września 2023 r. wyjaśnił, że „(…) Urząd Gminy Nowiny padł ofiarą szkodliwego oprogramowanie ransomware z rodziny X. Dnia (...) grudnia 2021 r. zespół CSIRT NASK powiadomił Urząd Gminy Nowiny o upublicznieniu danych wykradzionych podczas ataku. Dane te były dostępne (…) pod adresem […] (…)”.
III.
Z wyjaśnień Administratora wynika, że incydent wystąpił (...) listopada 2021 r. (naruszenie zostało zgłoszone organowi nadzorczemu w dniu 13 grudnia 2021 r.), a jako przyczynę w opóźnieniu w działaniu Administratora w tej sprawie Wójt wskazał „nieprofesjonalne zachowanie” (…) zatrudnionego w Urzędzie Gminy Nowiny (w opinii Administratora (…) zbagatelizował znaczenie incydentu).
W celu uzyskania dodatkowych informacji dotyczących monitorowania przez Administratora oraz inspektora ochrony danych sposobu wykonywania obowiązków służbowych przez (…) Urzędu Gminy Nowiny, organ nadzorczy zwrócił się pismem z 17 maja 2022 r. o przedłożenie stosownych wyjaśnień i dowodów na ich potwierdzenie. W odpowiedzi na powyższe, Administrator pismem z 31 maja 2022 r. wyjaśnił, że „(…) wykonywanie obowiązków służbowych przez (…) Urzędu Gminy Nowiny kontrolowane było przez coroczne audyty bezpieczeństwa informacji. Protokoły audytów za 2020 i 2021 roku zostały Państwu przekazane za pismem Znak: […] z dnia 10 stycznia 2022. Audyt za 2020 rok wykazał szereg uchybień, które ostatecznie nie zostały usunięte wbrew zapewnieniom pracownika, co wynika z danych audytu za rok 2021. Zachowanie (…) budziło zastrzeżenia także w toku bieżącego świadczenia przez (…) pracy. Szczególne wątpliwości dotyczyły braku jakiejkolwiek reakcji na wydawane ustnie, a następnie pisemnie polecenia służbowe wynotowania i zdeponowania wszystkich haseł koniecznych do pełnego administrowania siecią. Hasła te nie zostały wbrew poleceniu udostępnione również zatrudnionemu w dniu (...) kwietnia 2021 r.(…). Dopiero wystąpienie incydentu umożliwiło bez mała przymusowe wyegzekwowanie polecenia. W załączeniu fotokopia korespondencji i dokumentacji w tym zakresie (…)”.
IV.
Administrator przedstawił wyjaśnienia dotyczące analizy ryzyka, a do pisma z 10 stycznia 2022 r. załączył kopię „Analizy (…)” Urzędu Gminy Nowiny, sporządzoną w maju 2021 r. oświadczając dodatkowo, że „(…) wskazuję, że Administrator po stwierdzeniu naruszenia ochrony danych zgłosił je organowi nadzorczemu w terminie, o którym mowa w art. 33 ust. 1 RODO, gdyż ocenił ryzyko naruszenia praw lub wolności osób fizycznych jako wysokie [co uzasadnił w zgłoszeniu]. Dlatego nie jest możliwe przekazanie analizy ryzyka, na podstawie której nie stwierdzono wysokiego ryzyka, gdyż Administrator takiego dokumentu nie posiada (…)”. Zaznaczyć przy tym należy, że w zgłoszeniu naruszenia ochrony danych osobowych przekazanym 13 grudnia 2021 r. organowi nadzorczemu, w pkt 8B formularza zgłoszenia, Administrator wskazał, że nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, natomiast w zgłoszeniu uzupełniającym z 14 grudnia 2021 r. Administrator, w pkt 8B formularza zgłoszenia, wskazał, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ponadto, Wójt przekazał analizę wykonaną po naruszeniu ochrony danych osobowych.
Analiza ryzyka przeprowadzona przed wystąpieniem naruszenia ochrony danych osobowych została opracowana w maju 2021 r. przez podmiot zewnętrzy (C.) oraz zaakceptowana przez Wójta. Z przedłożonego dokumentu wynika, że „(…) raport z procesu analizy ryzyka opracowano na podstawie wywiadu z(…), który został przeprowadzony w dniu 4 maja 2021 r. [termin przełożony na wniosek (…) z dnia 28 kwietnia 2021 r.] oraz audytu (…). Wszystkie wnioski i rekomendacje oraz wyniki szacowania ryzyka przekazano podczas wywiadu (…)”. Przedłożona analiza ryzyka dokonana przed wystąpieniem naruszenia ochrony danych osobowych identyfikuje zagrożenia dla bezpieczeństwa w procesie przetwarzania danych osobowych związanych z wykorzystaniem systemów informatycznych. Administrator oszacował ryzyka dla:
- sieci,
- systemu informatycznego i jego zasobu informacyjnego,
- stanowisk dostępowych.
W ramach szacowania ww. ryzyk określono kategorie zagrożeń i przyporządkowane do nich poszczególne zagrożenia. Poniżej zostaną opisane te ryzyka (wskazane w przedłożonej analizie dokonanej przez Administratora), które z punktu widzenia niniejszej sprawy są kluczowe.
W ramach szacowania ryzyka sieci wskazano między innymi następujące kategorie zagrożeń:
- (…)
W ramach szacowania ryzyka dla systemu teleinformatycznego i jego zasobu informacyjnego wskazano między innymi następujące kategorie zagrożeń:
1) (…)
W ramach szacowania ryzyka dla stanowisk dostępowych wskazano między innymi następujące kategorie zagrożeń:
- (…)
V.
Wójt przedstawił wyjaśnienia dotyczące naruszenia dostępności danych, próby odzyskania dostępu do zaszyfrowanych danych oraz wykonywania kopii zapasowych. W piśmie z 10 stycznia 2022 r. Administrator wyjaśnił, że 6 grudnia 2021 r. odtworzył zaszyfrowane dane „według stanu na wrzesień 2019 r.”. W odpowiedzi na żądanie organu nadzorczego (sformułowane w piśmie Prezesa UODO z 13 grudnia 2021 r.) przekazania procedury wykonywania kopii zapasowych w Urzędzie Miasta Nowiny funkcjonującej przed naruszeniem ochrony danych osobowych oraz wskazania, czy w związku z naruszeniem poddana została ona zmianom, Administrator wyjaśnił, że „(…) są wykonywane codziennie i przechowywane na (…). Archiwizowane są całe instancje serwerowe. (…) Powyższe stanowi wdrożenie procedury przechowywania kopii oraz mechanizmów przechowywania kopii na zewnętrznych nośnikach informatycznych poza infrastrukturą roboczą, wynikającej z przeprowadzonego w 2021 roku audytu bezpieczeństwa - Rozdział „(…)", strona (…) - protokół przekazany jako Załącznik Nr (…). Obowiązująca Polityka Bezpieczeństwa będzie w całości (nie tylko w tym zakresie) weryfikowana i aktualizowana. Aktualnie procedurę, która po ustaleniach audytu nie jest już stosowana określa Załącznik (…) (…)”.
W piśmie z 16 lutego 2022 r. Administrator przekazał dodatkowe wyjaśnienia dotyczące wykonywania kopii zapasowych i odtwarzania danych wskazując, że „(…) Dane odtworzono z kopii zapasowych według stanu na wrzesień 2019 r. z uwagi na niedopełnienie przez (…) podstawowych obowiązków pracowniczych w tym zakresie. Obowiązujące zasady tworzenia kopii zapasowych dla dotkniętych atakiem danych nie były przez (…) przestrzegane. Ostatnia kopia utworzona właśnie według stanu na wrzesień 2019 r. została zgodnie z obowiązującymi zasadami przeniesiona na (…). Kopia przyrostowa od września 2019 r. wykonywała się codziennie, jednak utrwalała się na zainfekowanym serwerze, w związku z tym została zaszyfrowana wraz z pozostałymi danymi (…) Do czasu wystąpienia incydentu nie testowano możliwości odtwarzania kopii zapasowych (…)”. Administrator wyjaśnił ponadto, że przewidywany termin odtworzenia danych osobowych z wersji papierowej to koniec III kwartału 2022 r.
W tym zakresie Administrator przekazał dodatkowe wyjaśnienia w piśmie z 3 marca 2022 r. wskazując, że „(…) Urząd Gminy może realizować wszystkie nałożone na niego zadania związane z przetwarzaniem danych osobowych. Utracone dane począwszy od września 2019 roku wymagają odtworzenia z posiadanej dokumentacji papierowej na potrzeby archiwalne - dotyczą umów zamkniętych i rozliczonych. Licencja użytkowania zaszyfrowanego programu płacowego H. miała wygasnąć z końcem marca 2022 r. Od tego momentu będzie już tylko „licencją wieczystą" na potrzeby archiwalne. Cała baza danych niezbędna do realizacji zadań bieżących w tym zadań w zakresie jej przetwarzania była już wcześniej przeniesiona do nowego systemu płacowo - kadrowego R. (…)”.
VI.
W odpowiedzi na pytanie organu nadzorczego, czy Administrator przeprowadził szkolenia pracowników Urzędu Gminy Nowiny z zakresu cyberbezpieczeństwa oraz wykorzystywania narzędzi socjotechnicznych, Wójt w piśmie z 10 stycznia 2023 r. wskazał, że szkolenia dla pracowników z zakresu cyberbezpieczeństwa przeprowadzono 1 grudnia 2021 r.
Prezes UODO zwrócił się o złożenie dodatkowych wyjaśnień w tym obszarze. W piśmie z 5 lipca 2023 r. organ nadzorczy zwrócił się do Wójta o wskazanie, czy przed wystąpieniem naruszenia ochrony danych osobowych Administrator przeprowadził szkolenia pracowników Urzędy Gminy Nowiny z zakresu cyberbezpieczeństwa oraz wykorzystywania narzędzi socjotechnicznych (phishingu), a jeżeli tak, zwrócono się o przedstawienie pisemnych dowodów na ich wykonanie. W odpowiedzi na powyższe, Wójt w piśmie z 13 lipca 2023 r. wskazał, że „(…) jednym z powodów rozwiązania z dniem (...) października 2021 r. umowy na pełnienie funkcji IOD oraz nadzór nad przestrzeganiem przepisów dotyczących ochrony danych z usługodawcą V., była okoliczność, iż nie zostało przeprowadzone szkolenie z zakresu ochrony danych osobowych w tym ochrony danych przetwarzanych w systemach informatycznych. Nowy IOD, pełniący funkcję od (...) października 2021 r., w dniu (...) października 2021 r. przeprowadził wymagane szkolenie. W załączeniu przedkładam listę obecności oraz przykładowe certyfikaty załączone do akt osobowych pracowników. Zagadnienia z zakresu cyberbezpieczeństwa oraz wykorzystywania narzędzi socjotechnicznych omawiane były w ramach bloku tematycznego „Bezpieczeństwo przetwarzania danych osobowych (…)”. Wraz z wyjaśnieniami Wójt załączył „Oświadczenie (…)” wskazujące na brak przeprowadzenia szkoleń, listę obecności na szkoleniu w dniu (...) października 2021 r. oraz przykładowe certyfikaty wystawione uczestnikom szkolenia.
VII.
W piśmie z 10 stycznia 2022 r. Administrator wyjaśnił ponadto, że przeprowadza corocznie audyt w zakresie stanu bezpieczeństwa przetwarzania informacji. Wójt załączył protokoły z audytów za rok 2020 i 2021. Z kolei w piśmie z 16 lutego 2022 r., Administrator przedłożył wyjaśnienia dotyczące audytu wykonanego po stwierdzeniu naruszenia ochrony danych osobowych wskazując, że jest on w trakcie przeprowadzania – Wójt zobowiązał się do przesłania stosownego protokołu po zakończeniu prac. „Raport (…)” został przedłożony organowi nadzorczemu jako załącznik do pisma Administratora z 31 maja 2022 r.
Audyt bezpieczeństwa informacji przeprowadzony w okresie od (...) lutego 2020 r. do (...) marca 2020 r. przez zewnętrznego audytora (stanowiący załącznik nr (…) do pisma z 10 stycznia 2022 r.) przedstawia szereg istotnych informacji dotyczących stanu bezpieczeństwa systemu informatycznego Administratora. Jak wskazują autorzy raportu z audytu (sygn. dokumentu (…)), jego celem było „(…) przedstawienie zaobserwowanego przez audytorów stanu bezpieczeństwa informacji w jednostce oraz wskazanie ewentualnych podatności mających wpływ na przetwarzane dane. Audyt został przeprowadzony pod kątem zgodności z obowiązującymi przepisami prawa w zakresie przetwarzania informacji oraz dobrych praktyk i standardów bezpieczeństwa (…)”. Audytorzy dokonali opisu stanu faktycznego bezpieczeństwa systemu informatycznego, w tym stwierdzili szereg nieprawidłowości oraz – w odniesieniu do większości zidentyfikowanych nieprawidłowości – zaproponowali rekomendacje w celu ich wyeliminowania. Wśród zidentyfikowanych nieprawidłowości znajdują się również te, które miały bezpośredni lub pośredni wpływ na wystąpienie naruszenia ochrony danych osobowych zgłoszonego organowi nadzorczemu w dniu 13 grudnia 2021 r. W przedłożonym raporcie wskazano między innymi:
1. (…)
Audyt bezpieczeństwa informacji przeprowadzony w okresie od (...) listopada 2021 r. do (...) listopada 2021 r. przez zewnętrznego audytora (stanowiący załącznik nr (…) do pisma z 10 stycznia 2022 r.) przedstawia szereg istotnych informacji dotyczących stanu bezpieczeństwa systemu informatycznego Administratora. Cel przeprowadzenia ww. audytu był tożsamy z celem kontroli, która została przeprowadzona w okresie od (...) lutego 2020 r. do (...) marca 2020 r. Wnioski dwóch ww. audytów są zbliżone – w przedłożonym raporcie z audytu, który odbył się w dniach od (...) listopada 2021 r. do (...) listopada 2021 r. wskazano między innymi:
1. (…)
Ponadto, raport z audytu bezpieczeństwa informacji przeprowadzony w okresie od (...) do (...) listopada 2021 r. zawierał rekomendacje związane z ogólnym stanem infrastruktury informatycznej, wskazano w nich:
1) (…)
Z kolei w dokumencie o nazwie „Raport (…)”, stanowiącym załącznik do pisma Administratora z 31 maja 2022 r. wskazano, że „(…) Analizę powłamaniową, przeprowadzoną przez firmę S. na zlecenie UG Nowiny, oparto o "model diamentowy". Model ten oprócz analizy pojedynczego zdarzenia, umożliwia powiązanie różnych ataków między sobą dzięki wyodrębnieniu podobnych technik ataku oraz określeniu wykorzystanego złośliwego oprogramowania. Po zastosowaniu modelu diamentowego ustalono co następuje: Po dokonanym Audycie bezpieczeństwa w Urzędzie Gminy w Nowinach, który odbył się w dniu (...).11.2021 dokonano sprawdzenia zabezpieczeń uruchomionych na serwerach z którymi łączyli się pracownicy Urzędu Gminy. Po przeprowadzonej analizie ujawniono, że (…)”.
VIII.
Wójt złożył wyjaśnienia w przedmiocie działań podjętych w celu ograniczenia ryzyka ponownego wystąpienia podobnego naruszenia ochrony danych osobowych. W piśmie z 10 stycznia 2022 r. Administrator oświadczył, że w celu zminimalizowania tego ryzyka postanowił wdrożyć plan naprawczy w ramach, którego „(…) 1. Zwiększono bezpieczeństwo sieci oraz komputerów klienckich instalując bardziej rozbudowany z naciskiem na bezpieczeństwo system antywirusowy (…) z funkcją szyfrowania dysków ochroną antyphising'ową. 2. Zgodnie z polityką bezpieczeństwa ograniczono możliwości podpinania urządzeń zewnętrznych [pendrive, płyty CD, dyski zewnętrzne] do stacji roboczych. 3. Zaktualizowano reguły i polityki znajdujących się na F. minimalizujące ryzyko ponownego wystąpienia podobnej sytuacji. 4. Reinstalacja serwerów bazodanowych i realokacja zasobów. 5. Zaplanowano zakup nowego bardziej zaawansowanego firewalla (…). 6. Modyfikacja i upgrade systemu Y - narzędzia służącego do (…). Przeanalizowano węzły bezpieczeństwa sieci komputerowej pod kątem zasobów [programów, aplikacji] niepożądanych. 7. Zaplanowano zakup narzędzia służącego do (…).8. Zlecono wykonanie audytu powłamaniowego firmie zewnętrznej. W chwili obecnej trwają prace nad analizą techniczną logów systemowych (…)”.
Z kolei w piśmie z 3 marca 2022 r. Administrator oświadczył, że (...) lutego 2022 r. „(…) podpisana została umowa na <Zakup, dostawę i wdrożenie N. >, której przedmiotem jest system zabezpieczeń spełniający na chwilę obecną najwyższe wymagania (…)”. W załączeniu do ww. pisma Administrator przekazał kopię umowy, o której mowa wyżej.
IX.
W odpowiedzi na żądanie Prezesa UODO o wskazanie roli G., jako podmiotu uczestniczącego w przetwarzaniu danych, których dotyczyło naruszenie, w piśmie z 16 lutego 2022 r. Administrator wyjaśnił, że „(…) G. posiadał swoją własną bazę danych, którą przetwarzał samodzielnie, z tym, że znajdowała się ona na tym samym serwerze co baza Urzędu Gminy Nowiny. Kierownik G. w Nowinach dokonał samodzielnego zgłoszenia incydentu. W zakresie zainfekowania, a następnie nieuprawnionego udostępnienia bazy danych G. procedowane jest przez Państwa Urząd odrębne postępowanie wyjaśniające (…)”.
X.
Administrator przekazał wyjaśnienia dotyczące oprogramowania serwera. W odpowiedzi na żądanie Prezesa UODO wskazania zainstalowanego oprogramowania serwera przed wystąpieniem naruszenia ochrony danych osobowych, Wójt w piśmie z 16 lutego 2022 r. wyjaśnił, że „(…) aktualnie nie jesteśmy w stanie wskazać jednoznacznie oprogramowania serwera przed dniem wystąpienia incydentu, z uwagi na fakt, iż nie możemy nawiązać z nim połączenia. Zachodzi uzasadnione podejrzenie iż został on zahasłowany przez (…), która nie przekazała loginu i hasła (…)”.
W tym zakresie Administrator złożył wyjaśnienia również w piśmie z 3 marca 2022 r. Organ nadzorczy zwrócił się o wskazanie, w jaki sposób przeprowadzona została analiza ryzyka, skoro administrator nie posiada informacji, jakie oprogramowanie było zainstalowane na zaszyfrowanym serwerze. W ww. piśmie Administrator oświadczył, że „(…) doprecyzowuję, iż na chwilę redagowania odpowiedzi Znak: (…) z dnia 16 lutego 2022 roku nie byliśmy w stanie wskazać wszystkich programów zainstalowanych na zainfekowanym serwerze. Mieliśmy natomiast pewność, że atak dotyczył programu H. oraz B. - te dwa programy zostały w wyniku ataku wyłączone z normalnego użytkowania. W ww. odpowiedzi nie wymieniliśmy tego oprogramowania, jako, że z naszego punktu widzenia, była to okoliczność oczywista - nieporozumienie. Wskazanie, iż <(...) nie jesteśmy w stanie wskazać jednoznacznie oprogramowania serwera przed dniem wystąpienia incydentu, z uwagi na fakt, iż nie możemy nawiązać z nim połączenia> dotyczyło oczywiście ewentualnego innego oprogramowania poza wyżej wymienionym. Analiza ryzyka została przeprowadzona z uwzględnieniem okoliczności jakiego rodzaju dane są przetwarzane w ramach programów H. oraz B. oraz w oparciu o dane wynikające z dwóch audytów informatycznych przeprowadzonych w 2020 i 2021 r. (…)”.
W celu uzyskania dalszych wyjaśnień w tym zakresie, Prezes UODO ponownie zwrócił się o wskazanie, jakie dokładnie oprogramowanie było zainstalowane na serwerze przed wystąpieniem naruszenia. W piśmie z 17 czerwca 2022 r. Administrator wskazał, że „(…) podczas naruszenia ochrony danych osobowych stosowana była wersja (…) systemu Z. (…)”.
XI.
Organ nadzorczy zwrócił się do Wójta o wskazanie roli inspektora ochrony danych w działaniach mających na celu zapewnienie bezpieczeństwa danych osobowych objętych naruszeniem ochrony danych osobowych. W tym zakresie Administrator w piśmie z 16 lutego 2022 r. wyjaśnił, że „(…) Inspektor Ochrony Danych był włączany w działania mające na celu zapewnienie bezpieczeństwa danych osobowych objętych naruszeniem. Realizował On swoje zadania określone w art. 39 RODO i Administrator nie miał zastrzeżeń co do współpracy z Inspektorem. W kontekście zaistniałego zdarzenie w początkowej fazie (…) poinformowała Inspektora ochrony danych, iż w opisanym incydencie nie doszło do nieuprawnionego dostępu do danych osobowych poprzez zainfekowanie komputera, nie doszło też do nieuprawnionego wglądu w przechowywane dane osobowe oraz, iż utracone dane osobowe nie zostały utracone bezpowrotnie. Natomiast począwszy od dnia (...) grudnia 2021 r. Inspektor aktywnie uczestniczył w podejmowanych działaniach. Był inicjatorem narady przeprowadzonej w dniu (...) grudnia 2021 r. Treść komunikatu i zawiadomień kierowanych do osób poszkodowanych była opracowywana z jego udziałem. Sporządził również <Raport (…)> (…)”.
Ponadto, w piśmie z 3 marca 2023 r. Wójt oświadczył, że „(…) Nadzorowanie przestrzegania przepisów rozporządzenia 2016/679 przez inspektora ochrony danych było prowadzone w trakcie jego comiesięcznych wizyt w Urzędzie Gminy. Należy wspomnieć, iż obecny IOD nadzoruje nasza placówkę od października 2021 roku. Do (...) października 2021 r. nadzór nad przestrzeganiem przepisów dotyczących ochrony danych realizowany był przez V., jednak ze względu na nienależytą realizację obowiązków, kontrakt został zerwany przez Gminę w trybie złożenia oświadczenia o rozwiązaniu umowy, z naliczeniem kar umownych z tytułu nienależytej realizacji jej postanowień. Dokumentacja czynności prowadzona jest poprzez sporządzanie raportów z wizyt IOD [w załączeniu] oraz prowadzenie zapisów służbowych w bazie danych firmy C. (…)”.
XII.
Administrator w piśmie z 3 marca 2022 r. wyjaśnił, że „(…) w Urzędzie nie jest prowadzony odrębny, dedykowany rejestr urządzeń oraz systemów informatycznych. Obowiązek w powyższym zakresie jest realizowany w ramach prowadzonej ewidencji księgowej oraz dokonywanych corocznie inwentaryzacji. Informacja pochodząca z systemu F. generowana na dany moment jest aktualna i zupełna. W zakresie tzw. niskocennych środków trwałych, tj. takich, które ze względu na niewielką wartość odnoszone są w ciężar kosztów zużycia materiałów w momencie oddania ich do użytkowania, ewidencja prowadzona jest ręcznie w ramach ksiąg inwentarzowych. W załączeniu wydruk z oprogramowania F. oaz fotokopia ksiąg inwentarzowych w zakresie urządzeń oraz systemów informatycznych. Jedną z rekomendacji <Raportu (…)> przeprowadzonego w 2021 r. [rozdział <Zinwentaryzowany sprzęt i oprogramowanie> s. 8] jest wprowadzenie odrębnej, dodatkowej ewidencji w zakresie zarządzania sprzętem i oprogramowaniem w urzędzie. Do końca 2022 r. rekomendacja ta zostanie zrealizowana (…)”.
W tym zakresie Administrator przedłożył dodatkowe wyjaśnienia w piśmie z 13 lipca 2023 r., w którym wskazał, że „(…) Urząd Gminy zakupił i wdrożył w dniu (...) sierpnia 2022 r. dedykowane oprogramowanie do ewidencji zarządzania sprzętem i oprogramowaniem (…). Ze względu na ograniczone możliwości techniczne tego oprogramowania zdecydowano się na zmianę systemu. Urząd ostatecznie wdrożył i użytkuje system (…) który spełnia wymagania i oczekiwania w zakresie zarządzania zarówno sprzętem, jak i oprogramowaniem (…)”. Wraz z wyjaśnieniami Administrator załączył: - faktury zakupu ww. programów, - dokumentację wdrożeniową ww. systemu, - przykładowy wydruk stanu ewidencyjnego komputerów zaewidencjonowanych w systemie.
XIII.
W odpowiedzi na żądnie Prezesa UODO o udzielenie informacji, w jaki sposób Administrator mitygował ryzyko naruszenia ochrony danych osobowych dotyczące możliwości zaszyfrowania serwerów wykorzystywanych do przetwarzania danych osobowych w Urzędzie Gminy Nowiny, Wójt w piśmie z 17 czerwca 2022 r., wyjaśnił, że „(…) ryzyko naruszenia ochrony danych osobowych dotyczące możliwości zaszyfrowania serwerów wykorzystywanych do przetwarzania danych osobowych w Urzędzie Gminy Nowiny monitorowane było przy pomocy możliwych do przeprowadzenia audytów i analiz, jak: a) „Analiza (…)" Urzędu Gminy Nowiny, sporządzona w maju 2021 roku przez R.S. prowadzącego działalność gospodarczą pod firmą R. z siedzibą w K. (…) b) W Urzędzie Gminy Nowiny obowiązywało Zarządzenie Nr (…) z dnia (...) sierpnia 2018 r. w sprawie wprowadzenia Polityki (…), zawierającej procedurę i zasady postępowania w przypadku wystąpienia naruszenia ochrony danych osobowych, do stosowania których zobowiązane były służby informatyczne (…) c) W Urzędzie Gminy Nowiny przeprowadzany jest corocznie audyt w zakresie stanu bezpieczeństwa przetwarzania informacji. Audyty dokumentowane są stosownymi protokołami zawierającymi ocenę istniejącego stanu i sformułowane w wyniku tej oceny zalecenia. Prowadzenie tych audytów powierzane jest każdorazowo profesjonalnym i uprawnionym do ich przeprowadzania podmiotom (…)”.
Organ nadzorczy dokonał oceny materiału dowodowego pod kątem zbadania jego wiarygodności i mocy dowodowej. Prezes UODO uznał przedłożone przez Administratora dowody za wiarygodne. Za powyższym przemawia fakt, że wyjaśnienia Wójta są logiczne, spójne i korelują z całością materiału dowodowego oraz są potwierdzone szeregiem dokumentów dostarczonych przez Administratora.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) - zwanej dalej: ustawą z dnia 10 maja 2018 r., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Konkretyzację zasady poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, stanowią dalsze przepisy tego aktu prawnego. Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Wskazane przepisy uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.
Biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez Wójta, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, a także działań zmierzających do optymalnej konfiguracji wykorzystywanych systemów informatycznych przez regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych w postaci testów bezpieczeństwa w zakresie infrastruktury informatycznej oraz aplikacji. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia.
Ze zgromadzonego materiału dowodowego wynika, że Wójt przeprowadził analizę ryzyka zarówno przed, jak i po wystąpieniu naruszenia ochrony danych osobowych. W dalszej części niniejszej decyzji zostaną wskazane te ryzyka, które Administrator przewidział, a które mają związek z przedmiotowym naruszeniem.
Jak wynika z analizy ryzyka dokonanej w maju 2021 r. (a więc przed naruszeniem ochrony danych osobowych), Administrator przewidział ryzyka naruszenia ochrony danych osobowych związane z atakiem ransomware. Szczegółowy opis ryzyk, istotnych z punktu widzenia niniejszej sprawy, znajduje się w uzasadnieniu faktycznym (por. pkt IV uzasadnienia faktycznego). Kluczowy w tym przypadku jest fakt, że Administrator przewidział wysokie ryzyko wystąpienia zdarzeń mających bezpośredni (względnie pośredni) związek z przedmiotowym naruszeniem ochrony danych osobowych. Przykładowo, Administrator przewidział ryzyko związane z instalacją i użytkowaniem złośliwego oprogramowania lub podatnością użytkowników na oddziaływanie metod inżynierii społecznej w celu uzyskania informacji lub wprowadzenia kodu złośliwego. Ponadto, analiza ryzyka zawierała szczegółową (opracowaną według przyjętego przez samego Administratora wzoru) skalę poziomu ryzyka precyzyjnie wskazującą na sposób postępowania Administratora z tym ryzkiem w odniesieniu do konkretnych zagrożeń. W przedłożonym dokumencie wskazano, że „(…) ryzyka, dla których końcowy poziom ryzyka jest niższy lub równy 20% poziomu maksymalnego Rh< 9,6 podlegają automatycznej akceptacji, ale pozostają pod nadzorem właściciela ryzyka, w celu ich dalszego monitorowania. Ryzyka, dla których poziom zawiera się w przedziale 9.6 < Rk < 38,4 podlegają akceptacji według zasad ustalonych w niniejszym dokumencie, lub dokonywana jest ich ponowna analiza. Ryzyka, dla których poziom ryzyka jest większy od 80% poziomu maksymalnego < Rk < 38,4 , przedstawiane są do akceptacji ADO, ewentualnie przeprowadzany jest proces postępowania z ryzykiem w celu jego minimalizacji (…)”.
Co więcej, analiza ryzyka zawierała rekomendację wprowadzenia środków zaradczych, w szczególności właśnie w tych obszarach, w których ostatecznie to ryzyko się zmaterializowało. Rekomendowano między innymi: „(…).”
Z powyższego wynika, że Wójt był świadomy możliwości utraty poufności danych oraz utraty dostępu do przetwarzanych danych osobowych na skutek ataku ransomware. Podkreślić należy, że wdrożenie środków przewidzianych przez samego Administratora wyeliminowałoby lub w znaczący sposób ograniczyło ryzyko wystąpienia incydentów bezpieczeństwa, w tym naruszeń ochrony danych osobowych. Jak wynika ze zgromadzonego materiału dowodowego, naruszenie ochrony danych osobowych wystąpiło w następstwie otworzenia przez jednego z pracowników Administratora załącznika przesłanego pocztą e-mail, który był zainfekowany wirusem typu ransomware. Administrator, jak sam wskazał, nie zainstalował odpowiedniego systemu antywirusowego oraz nie uaktywnił usługi firewall. Szczegółowy opis podatności i ich wpływ na materializację ryzyka wykorzystanego do przeprowadzenia ataku znajduje się w „Raporcie (…)” (por. pkt VII uzasadnienia faktycznego) oraz w dalszej części decyzji. W związku z przełamaniem zabezpieczeń systemów informatycznych Wójta zaszyfrowane zostały dane, w tym dane osobowe, w następstwie czego nastąpiła utrata dostępności do baz danych Administratora, a także utrata poufności danych osobowych, bowiem jak wynika ze zgromadzonego materiału dowodowego (por. pkt II uzasadnienia faktycznego niniejszej decyzji) dane zostały udostępnione (...).
Na wstępie należy wskazać, że w ujęciu ogólnym, przyczyną wystąpienia naruszenia ochrony danych osobowych było zastosowanie nieadekwatnych środków bezpieczeństwa dla procesu przetwarzania danych osobowych. Przechodząc kolejno do przyczyn wystąpienia omawianego incydentu, w pierwszej kolejności należy wskazać, że Wójt, mimo że w przeprowadzonej analizie ryzyka przewidział ryzyka związane z brakiem aktualizacji oprogramowania systemowego, zlekceważył prawdopodobieństwo jego materializacji. Z przedłożonych wyjaśnień wynika, że Administrator jako system operacyjny zainstalowany na serwerze w czasie wystąpienia naruszenia ochrony danych osobowych wykorzystywał Z. (por. pkt X uzasadnienia faktycznego niniejszej decyzji). Podkreślenia wymaga także fakt, że Administrator był świadomy, po pierwsze faktu wykorzystywania nieaktualnego oprogramowania serwera, a po drugie wydanych w tym zakresie rekomendacji (por. Analiza ryzyka i Raport z audytu, szczegółowo omówione w pkt IV i VII uzasadnienia faktycznego).
Wobec powyższego podkreślić należy, że jednym z istotnych elementów mających wpływ na bezpieczeństwo danych osobowych jest zapewnienie, aby wykorzystywane do przetwarzania danych osobowych oprogramowanie posiadało wsparcie przez jego producenta. Dzięki temu Administrator zapewnia, że będzie miał dostęp do wszystkich wydanych przez producenta aktualizacji, w tym aktualizacji dotyczących zabezpieczeń i poprawek mających wpływ na bezpieczeństwo. W omawianym przypadku, Administrator wykorzystywał system, który stracił wsparcie producenta w dniu (…) Zgodnie z informacją podaną na stronie internetowej producenta, od (…) nie było żadnych dodatkowych lokalnych bezpłatnych aktualizacji zabezpieczeń, aktualizacji niezwiązanych z bezpieczeństwem, bezpłatnej opcji pomocy technicznej oraz aktualizacji zawartości technicznej online.
W tym kontekście należy wskazać, że korzystanie z systemów informatycznych służących do przetwarzania danych osobowych po zakończeniu wsparcia technicznego przez ich producenta w sposób istotny obniża ich poziom bezpieczeństwa. Brak wbudowanych oraz aktualizowanych zabezpieczeń zwiększa w szczególności ryzyko infekcji za pomocą złośliwego oprogramowania oraz ataków poprzez powstawanie nowych luk w zabezpieczeniach. Systemy te stają się bardziej podatne na cyberataki, m.in. typu ransomware blokujące dostęp do danych oraz żądające okupu za ich odzyskanie.
Podsumowując powyższe rozważania wskazać należy, że Administrator przed wystąpieniem naruszenia ochrony danych osobowych zidentyfikował ryzyko związane z wykorzystywaniem nieaktualnego oprogramowania, ale pomimo tego przetwarzał dane przy użyciu oprogramowania, które utraciło wsparcie producenta i wbrew wnioskom z analizy ryzyka i przeprowadzonych audytów nie podjął żadnych działań, by oprogramowanie to zastąpić takim, które takie wsparcie posiadało.
Kolejną kwestią wymagającą podkreślenia jest fakt, że analiza ryzyka dokonana przez Administratora przed wystąpieniem naruszenia ochrony danych osobowych identyfikowała zagrożenia wynikające z braku zainstalowanego oprogramowania antywirusowego lub braku aktualizacji tego rodzaju oprogramowania. W tym zakresie analiza ryzyka zawierała także stosowne rekomendacje mające na celu mitygację omawianego ryzyka (str. 19 „Analizy zagrożeń i ryzyka przy przetwarzaniu danych osobowych”: „[…] rekomenduje się instalację oprogramowania antywirusowego na wszystkich serwerach. Należy pamiętać, aby definicję bazy wirusów były na bieżąco aktualizowane, najlepiej w sposób automatyczny. Należy aktywować i w razie potrzeby dodatkowo skonfigurować zaporę systemową […]”). Jak wynika ze złożonych wyjaśnień, a także przedłożonych dokumentów, przedmiotowe naruszenie ochrony danych osobowych zostało spowodowane atakiem ransomware, do którego doszło między innymi na skutek wykorzystania podatności istniejącej w systemie teleinformatycznym, którą był także brak instalacji programu antywirusowego (por. „Raport (…)”, o którym mowa w pkt VII uzasadnienia faktycznego). A zatem – tak jak w przypadku braku aktualizacji oprogramowania systemowego – Wójt zlekceważył możliwość materializacji ryzyka związanego z brakiem programu antywirusowego i mimo określenia w analizie ryzyka rekomendacji w tym zakresie, nie zastosował się do procedur, które sam określił.
Raport powłamaniowy wskazuje także na inne rażące zaniedbania Administratora w zakresie zapewnienia odpowiednich środków bezpieczeństwa przetwarzanych danych osobowych. Jak wynika bowiem z tego raportu, „serwer (…) posiadał wyłączonego (…), który posiadał status DISABLED. Zawirusowany (…) o adresie IP (…) miał zezwolenie na wszelaki ruch sieciowy wychodzący i przychodzący co mogło pozwolić na przejęcie serwera przez niepożądaną osobę, która mając dostęp do serwera (…) dokonała ataku typu ransomware. Nie ujawniono na urządzeniu żadnych zabezpieczeń co zostało ujęte w Audycie bezpieczeństwa”. Powyższe jednoznacznie potwierdza, że Wójt nie wywiązał się z obowiązków w zakresie właściwego zabezpieczenia danych osobowych, nałożonych na niego jako administratora przepisami rozporządzenia 2016/679.
Jak wynika ze zgromadzonego materiału dowodowego, próby odzyskania dostępu do zaszyfrowanych danych zakończyły się niepowodzeniem, co zostało stwierdzono w raporcie powłamaniowym przedłożonym przez Administratora (por. pkt VII stanu faktycznego uzasadnienia). Z przedłożonych wyjaśnień wynika, że Wójt nie prowadził skutecznej polityki ochrony danych osobowych w obszarze wykonywania kopii zapasowych przetwarzanych danych osobowych (mimo, że analiza ryzyka identyfikowała zagrożenia dla dostępności danych związanych z wykonywaniem kopii zapasowych). Kopie zapasowe, jak wynika z przedłożonych wyjaśnień, były co prawda wykonywane, ale ostatecznie po naruszeniu dostępności danych, Administrator był zmuszony do odtwarzania danych osobowych według stanu na wrzesień 2019 r. Przyczyną powyższego było – jak przyznaje sam Administrator – nieprzestrzeganie zasad tworzenia kopii zapasowych. Jak wskazał Administrator „(…) kopia przyrostowa od września 2019 r. wykonywała się codziennie, jednak utrwalała się na zainfekowanym serwerze, w związku z tym została zaszyfrowana wraz z pozostałymi danymi (…)”. Co więcej, Administrator nie przeprowadzał testów odtwarzania danych z kopii zapasowych. Szczegółowy opis wyjaśnień Administratora w tym zakresie został zawarty w pkt V uzasadnienia faktycznego.
Biorąc zatem pod uwagę powyższe, tj. utratę dostępu do danych zapisanych w kopii zapasowej przechowywanej na serwerze, który uległ atakowi i został zaszyfrowany, Wójt był zmuszony do odtwarzania danych również na podstawie dokumentacji papierowej. W następstwie powyższego, Administrator nie był w stanie sprawnie i w relatywnie krótkim czasie odtworzyć zaszyfrowanych danych. Co prawda, Wójt mógł realizować bieżące zadania związane z przetwarzaniem danych, nie zmienia to jednak faktu, że naruszono zasadę dostępności danych w obszarze przetwarzania danych osobowych w celach archiwalnych (por. pkt V uzasadnienia faktycznego).
W tym kontekście należy wskazać, że obowiązujące u Administratora (przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych) zasady tworzenia kopii zapasowych oraz praktyka wykonywania tej kopii nie zapewniały realizacji obowiązków wynikających z art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679, tj. zdolności do ciągłego zapewnienia dostępności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Kluczowe w tym przypadku ponownie jest to, że Administrator nie dostosował się do własnych procedur, które jak wynika z przedłożonych wyjaśnień uległy zmianie w następstwie przeprowadzonego w 2021 roku przez podmiot zewnętrzny audytu bezpieczeństwa.
Jak wynika ze zgromadzonego materiału dowodowego, Administrator przeprowadził szkolenie obejmujące swoją tematyką zagadnienia związane z ochroną danych osobowych (por. VI pkt uzasadnienia faktycznego), jednakże szkolenie dla pracowników z zakresu cyberbezpieczeństwa przeprowadzono na krótko przed wystąpieniem naruszenia ochrony danych osobowych (w dniu (...) października 2021 r.). Jak przyznał sam Administrator, brak przeprowadzonych wcześniej szkoleń był jednym z powodów rozwiązania z dniem (...) października 2021 r. umowy o pełnienie funkcji Inspektora Ochrony Danych oraz nadzoru nad przestrzeganiem przepisów dotyczących ochrony danych z usługodawcą V. Szkolenia zostały przeprowadzone także (...) grudnia 2021 r., tj. po wystąpieniu naruszenia ochrony danych osobowych. W związku z powyższymi ustaleniami podkreślić należy, że prawidłowo przeprowadzone szkolenia pozwalają osobom szkolonym na właściwe zrozumienie zasad przetwarzania danych osobowych określonych przez Administratora, a w konsekwencji przyczyniają się do ograniczenia ryzyka wystąpienia naruszeń w tym obszarze. Przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi być realizowane w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem. Ponadto, w takich szkoleniach muszą brać udział wszystkie osoby upoważnione do przetwarzania danych osobowych, a samo szkolenie musi obejmować swoim programem wszystkie zagadnienia związane z przetwarzaniem danych osobowych w ramach ustalonego tematu szkolenia. Pominięcie któregoś z tych elementów spowoduje, że szkolenie nie spełni swojej roli, bowiem część osób nie zostanie w ogóle przeszkolona albo uczestnicy szkolenia nie otrzymają pełnej wiedzy w danym zakresie. Konsekwencją powyższego może być naruszenie ochrony danych osobowych. Podkreślić w tym miejscu należy, że w przedmiotowej sprawie jedną z przyczyn wystąpienia ataku ransomware było otworzenie przez jednego z pracowników załącznika z poczty służbowej (załącznikiem okazał się zawirusowany plik wykonywalny typu ransomware o nazwie B.). Uprawnione jest zatem stwierdzenie, że zaniedbania w zakresie przeprowadzenia szkoleń miały wpływ na wystąpienie przedmiotowego naruszenia, bowiem właściwie prowadzone szkolenia, na których porusza się tematykę ochrony danych osobowych powinny wskazywać na ryzyka związane z wykorzystywaniem narzędzi socjotechnicznych takich jak np. wysyłanie zainfekowanych wirusem wiadomości e-mail. Brak przeprowadzania szkoleń w opisany wyżej sposób oznacza, że ten środek bezpieczeństwa w praktyce nie obniża ryzyka wystąpienia naruszeń ochrony danych osobowych, co niewątpliwie przyczynia się do osłabienia poziomu ochrony danych osobowych i przesądza o konieczności uznania naruszenia przepisów rozporządzenia 2016/679 odnoszących do obowiązków administratora w zakresie bezpieczeństwa danych. Pamiętać również trzeba, że szkolenia nie zastąpią rozwiązań o charakterze technicznym.
Podkreślić zatem należy, że szkolenie, które Administrator przeprowadził w dniu (...) października 2021 r., okazało się nieskuteczne, bowiem od dnia przeprowadzenia tego szkolenia do dnia wystąpienia naruszenia ochrony danych osobowych nie upłynął nawet miesiąc. Co więcej, Administrator nie wykazał, by przed wystąpieniem naruszenia ochrony danych osobowych przeprowadził inne szkolenia. Nie można zatem w omawianym zakresie dopatrywać się cykliczności w działaniu Wójta. Wobec powyższego, przeprowadzenie szkolenia przez Wójta przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych nie może zostać uznane za adekwatny środek bezpieczeństwa.
Wskazać należy, iż rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych. Zarządzanie ryzykiem ma charakter ciągłego procesu wymuszającego na administratorze danych nie tylko zapewnienie zgodności z przepisami rozporządzenia 2016/679 poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale także zapewnienie ciągłości monitorowania poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Wobec powyższego, koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma zatem przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiego podejścia jest konieczność samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie są wskazywane konkretne środki i procedury w zakresie bezpieczeństwa.
Jak wskazano wyżej, ze zgromadzonego materiału dowodowego wynika, że Administrator przeprowadził analizę ryzyka, która prawidłowo identyfikowała zagrożenia dla bezpieczeństwa w procesie przetwarzania danych osobowych, natomiast wprowadzone przez Wójta środki techniczne i organizacyjne nie zapewniły odpowiedniego stopnia bezpieczeństwa danych przetwarzanych za pośrednictwem systemów informatycznych. Skutkowało to uniemożliwieniem zadziałania mechanizmów bezpieczeństwa. W świetle powyższego stwierdzić należy, że Wójt nie wdrożył środków technicznych i organizacyjnych w czasie przetwarzania danych osobowych, aby przetwarzanie to odbywało się zgodnie z rozporządzeniem 2016/679 i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, do czego był on zobowiązany zgodnie z art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679, jak również nie zastosował środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych poprzez zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, do czego zobowiązuje administratora danych art. 32 ust. 1 lit. b) rozporządzenia 2016/679, zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, o czym stanowi art. 32 ust. 1 lit. c) rozporządzenia 2016/679 oraz o niedokonaniu oceny, czy stopień bezpieczeństwa jest odpowiedni, przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych, obowiązek dokonania której wynika z art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji również o naruszeniu zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, której ww. przepisy są uszczegółowieniem. Jak bowiem wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 „(...) czynności o charakterze techniczno - organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych(…)”. Następstwem zaś naruszenia przez Administratora zasady poufności jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
Istotne w niniejszej sprawie jest to, że Wójt podjął działania mające na celu identyfikację słabości przyjętych przez siebie rozwiązań w domenie ochrony danych osobowych. Przykładem takich działań są przeprowadzone przez podmiot zewnętrzny w roku 2020 i 2021 audyty bezpieczeństwa, które szczegółowo zostały omówione w pkt VII uzasadnienia faktycznego (zbędne jest w tym miejsce ponowne przytaczanie fragmentów ww. raportów). Jak wynika z przedłożonych dokumentów celem kontroli było „(…) przedstawienie zaobserwowanego przez audytorów stanu bezpieczeństwa informacji w jednostce oraz wskazanie ewentualnych podatności mających wpływ na przetwarzane dane (…)”.Raporty z audytów zawierały opis stanu faktycznego zastanej infrastruktury mającej w założeniach zapewniać bezpieczeństwo w procesie przetwarzania danych oraz rekomendacje, których wdrożenie miało zwiększać lub gwarantować to bezpieczeństwo. W opinii Prezesa UODO, przeprowadzenie tego rodzaju audytów można uznać jako element regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit. d) rozporządzenia 2016/679). Jednocześnie należy wskazać, że ogólny obraz wyłaniający się z ww. raportów wskazuje na daleko idące zaniedbania Administratora w zakresie bezpieczeństwa w systemach służących do przetwarzania danych osobowych. Ostatecznie to właśnie ten szereg zaniedbań (znanych Administratorowi) walnie przyczynił się do materializacji ryzyk, których również Administrator był świadomy (co wynika z przedłożonej analizy ryzyka). Podkreślić należy, że rekomendacje zawarte w raportach nie były wykonywane. Przykładowo, mimo zalecenia instalacji oprogramowania antywirusowego żaden z serwerów wykorzystywanych do przetwarzania danych osobowych, tj. (…) nie posiadał zainstalowanego zabezpieczenia antywirusowego.
Biorąc pod uwagę datę wejścia w życie przepisów rozporządzenia 2016/679 oraz świadomość Administratora dotyczącą luk w systemie bezpieczeństwa służącego do przetwarzania danych osobowych, kluczowy w tym miejscu jest fakt, że Administrator nie podjął (a co za tym również idzie, nie jest w stanie tego wykazać przed organem nadzorczym – do czego jest zobowiązany w związku z zasadą rozliczalności określoną w art. 5 ust. 2 rozporządzenia 2016/679) skutecznych działań mających na celu dostosowanie rozwiązań organizacyjnych i technicznych wykorzystywanych w procesie przetwarzania danych osobowych w celu zapewnienia adekwatnego stopnia bezpieczeństwa, który odpowiadałby ryzyku naruszenia praw lub wolności osób fizycznych. Podkreślić przy tym należy, że poziom naruszenia zasady rozliczalności jest bardzo znaczący, czego niekwestionowanym dowodem jest fakt, że Administrator nie dysponuje nawet wiedzą dotyczącą szczegółów hasła, które miało stanowić zabezpieczenie skradzionej bazy danych. Skuteczne wprowadzenie środka bezpieczeństwa, jakim jest szyfrowanie bazy danych, która została skradziona, ograniczałoby możliwość naruszenia poufności danych.
Jednocześnie należy wskazać, że Administrator odpowiedzialność za niewdrożenie określonych przez siebie procedur próbuje przenieść na pracownika (zatrudnionego na stanowisku (…)), który miał nie dopełnić swoich obowiązków (por. III pkt uzasadnienia faktycznego). Administrator wyjaśnił m.in., że „(…) audyt za 2020 rok wykazał szereg uchybień, które ostatecznie nie zostały usunięte wbrew zapewnieniom pracownika, co wynika z danych audytu za rok 2021. Zachowanie (…) budziło zastrzeżenia także w toku bieżącego świadczenia przez nią pracy. Szczególne wątpliwości dotyczyły braku jakiejkolwiek reakcji na wydawane ustnie, a następnie pisemnie polecenia służbowe wynotowania i zdeponowania wszystkich haseł koniecznych do pełnego administrowania siecią. Hasła te nie zostały wbrew poleceniu udostępnione również zatrudnionemu w dniu (...) kwietnia 2021 r. (…). Dopiero wystąpienie incydentu umożliwiło bez mała przymusowe wyegzekwowanie polecenia (…)”. W tym kontekście szczególnie niepokojący jest fakt, że Administrator tak długo (biorąc pod uwagę datę przekazania mu raportów z audytów) zwlekał z wyegzekwowaniem od swojego pracownika realizacji jego obowiązków związanych z zapewnieniem bezpieczeństwa systemu informatycznego wykorzystywanego dla potrzeb przetwarzania danych osobowych. W gruncie rzeczy dopiero wystąpienie naruszenia ochrony danych osobowych niejako zmusiło Administratora do podjęcia w tym obszarze jakichś działań. Powyższe stanowi dowód na rażące niedbalstwo i lekceważenie zadań Administratora (w tym tych związanych z nadzorem nad pracownikiem odpowiedzialnym za zapewnienia bezpieczeństwa środowiska informatycznego jednostki), co wskazuje na niewłaściwe podejście Administratora do obowiązków wynikających z zapewnienia bezpieczeństwa w procesie przetwarzania danych osobowych.
W obszarze kontroli nad bezpieczeństwem wdrożonych rozwiązań technicznych i organizacyjnych wskazać należy na istotną rolę inspektora ochrony danych. Zgodnie z motywem 77 rozporządzenia 2016/679, wskazówki co do tego, jak wdrożyć odpowiednie środki oraz wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane - w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko - mogą być przekazane w szczególności w formie zatwierdzonych kodeksów postępowania, zatwierdzonej certyfikacji, wytycznych Europejskiej Rady Ochrony Danych lub poprzez sugestie inspektora ochrony danych. Europejska Rada Ochrony Danych może wydawać wytyczne także w sprawie operacji przetwarzania, których nie uznaje się za mogące powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, i wskazywać, jakie środki mogą wystarczyć w takich przypadkach dla zaradzenia takiemu ryzyku. Zgodnie z art. 38 ust. 1 rozporządzenia 2016/679, administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Jak wynika ze zgromadzonego materiału dowodowego poziom współpracy Administratora z inspektorem ochrony danych osobowych był niewystarczający, co przyznał sam Administrator (por. pkt VI i XI uzasadnienia faktycznego). Z tego powodu Wójt podjął decyzję o zmianie inspektora ochrony danych. Działanie to Prezes UODO postrzega jako odpowiednią reakcję Administratora w kontekście realizacji obowiązków wynikających z art. 38 rozporządzenia 2016/679.
Podkreślić należy także, że wprowadzenie po naruszeniu ochrony danych osobowych przez Administratora zmian w obszarze zabezpieczeń systemu informatycznego wykorzystywanego przez Wójta do przetwarzania danych osobowych nie zmienia negatywnej oceny organu nadzorczego tego aspektu procesu przetwarzania danych osobowych realizowanego przez Administratora, a stanowi jedynie przesłankę za odstąpieniem od nakazania Administratorowi dokonania zmian w tym obszarze celem dostosowania operacji przetwarzania danych do wymogów rozporządzenia 2016/679.
W świetle dokonanych w toku niniejszego postępowania ustaleń wskazać należy, że Wójt nie stosując środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, rezultatem czego było naruszenie ochrony danych osobowych zgłoszone Prezesowi UODO w dniu13 grudnia 2021 r., naruszył art. 5 ust. 1 lit. f) rozporządzenia 2016/679, odzwierciedlony w postaci obowiązków określonych w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i art. 32 ust. 2. Konsekwencją zaś naruszenia art. 5 ust. 1 lit. f) rozporządzenia 2016/679 jest naruszenie zasady rozliczalności wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679. Jak wynika z orzeczenia WSA w Warszawie z dnia 10 lutego 2021 r., sygn. II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności interpretuje WSA w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19, „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.
Na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze ustalenia stanu faktycznego, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego we wskazanym wyżej przepisie rozporządzenia 2016/679 stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Wójta Gminy Nowiny administracyjnej kary pieniężnej.
Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 -39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
W niniejszej sprawie administracyjna kara pieniężna wobec Wójta nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 - na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie kara nałożona na Wójta łącznie za naruszenie wszystkich powyższych przepisów - stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 - nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, którego skutkiem była utrata dostępności oraz poufności danych przetwarzanych przez Wójta, która nastąpiła w wyniku ataku ransomware, ma znaczną wagę i poważny charakter, stwarzała bowiem wysokie ryzyko negatywnych skutków prawnych dla dokładnie nieustalonej, potencjalnie dużej liczby osób (Wójt wskazał, że naruszenie ochrony danych osobowych dotyczy ok. 1000 osób).
W ocenie Prezesa UODO przyjęte przez Administratora środki organizacyjne i techniczne okazały się niewystarczające, a na jego niekorzyść przemawia fakt, że Wójt posiadał wiedzę dotyczącą konieczności wprowadzenie odpowiednich zmian w tym obszarze, ale zignorował rekomendacje zawarte w raportach z audytu. Ostatecznie, wobec bierności Administratora, zmaterializowało się ryzyko wykorzystania słabości zastosowanych środków organizacyjnych i technicznych, których celem miało być zabezpieczenie procesu przetwarzania danych osobowych. Naruszenie przez Wójta obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieuprawnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano. W tym miejscu podkreślenia wymaga, że Wójt jako organ wykonawczy samorządu terytorialnego (gminy), jest podmiotem zaufania publicznego, wobec którego należy oczekiwać zarówno znajomości przepisów, jak i właściwego ich stosowania, i tym samym wysokich standardów w zakresie bezpieczeństwa przetwarzanych danych.
Jednocześnie należy wskazać, że Administrator odzyskał wszystkie zaszyfrowane dane dopiero po kilku miesiącach od ich utraty. Podkreślić jednocześnie należy, że kopie zapasowe baz danych wykonywane były do (...) września 2019 r., natomiast zadeklarowany przez Administratora termin odtworzenia danych osobowych z wersji papierowej przypadał na koniec III kwartału 2022 r. Z powyższego wynika, że stan naruszenia przepisów rozporządzenia 2016/679 utrzymywał się co najmniej w okresie od (...) września 2019 r. do III kwartału 2022 r., co świadczy o poważnym charakterze, dużej wadze i kilkuletnim czasie trwania stwierdzonego naruszenia przepisów rozporządzenia 2016/679.
W niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp mogły uzyskać osoby nieuprawnione, doznały szkody majątkowej. Niemniej jednak już samo naruszenie poufności ich danych (w związku z ujawnieniem danych osobowych (…)) stanowi dla nich szkodę niemajątkową (krzywdę); osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z dnia 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia.
Ponadto, Wójt utracił pełen dostęp do danych osobowych, które przetwarzał w związku z wykonywaniem powierzonych mu zadań. Wobec tego należy przyjąć, że wystąpiło ryzyko braku możliwości załatwienia spraw konkretnych osób (których dane zostały naruszone) w przewidzianym w odrębnych przepisach terminie, tzn. Wójt zamiast realizować swoje zadania w ustawowych terminach, korzystając przy tym z przetwarzanych danych osobowych (do których dostęp w wyniku naruszenia utracił) musiał najpierw odzyskać do nich dostęp.
2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r., zatwierdzonymi przez EROD w dniu 25 maja 2018 r.), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Administrator był świadomy, że w przypadku dopuszczenia przetwarzania danych osobowych w systemach informatycznych, powinien przetwarzać dane osobowe w taki sposób, aby zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed potencjalnym atakiem złośliwego oprogramowania, a wiec w taki sposób, aby zapewnić przestrzeganie zasady „integralności i poufności” wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Wójt, z uwagi na zakres działalności Urzędu, którym kieruje, był świadomy możliwości naruszenia ochrony danych osobowych w następstwie ataku ransomware, o czym świadczy chociażby przeprowadzona analiza ryzyka oraz raporty z przeprowadzonych audytów bezpieczeństwa.
Należy w tym miejscu podkreślić, że istotny wpływ na wystąpienie przedmiotowego naruszenia miało rażące niedbalstwo organu samorządu terytorialnego. Wójt mimo świadomości zagrożenia dla bezpieczeństwa w procesie przetwarzania danych osobowych związanego z prawdopodobieństwem przeprowadzenia ataku ransomware podejmował działania w zakresie ochrony danych osobowych w sposób nierzetelny. Dowodem tej nierzetelności jest brak pełnej realizacji rekomendacji zawartych w raportach z audytów. W szczególności należy zwrócić uwagę na to, że Wójt nie zrealizował rekomendacji dotyczących instalacji oprogramowania antywirusowego. Ponadto należy wskazać, że Administrator był świadomy konieczności opracowania i wdrożenia procedury wykonywania kopii zapasowych. Zgodnie z rekomendacją zawartą w raporcie po audycie przeprowadzonym w dniach (...)-(...) listopada 2021 r. kopie zapasowe powinny być przechowywane poza wykorzystywaną infrastrukturą informatyczną. Opracowanie właściwych procedur dotyczących wykonywania kopii zapasowych, a następnie ich wdrożenie w znaczący sposób ograniczyłoby skutki naruszenia dostępności danych. W omawianym przypadku Administrator, mimo posiadanej wiedzy, nie wprowadził skutecznych rozwiązań w tym zakresie.
Dodać należy, że z audytu powłamaniowego wynika, że osoby, które przeprowadziły atak hakerski dokonały penetracji zasobów Administratora, odkryły słabe strony organizacji i następnie dokonały dalszych manipulacji w systemie informatycznym Administratora (por. pkt VII uzasadnienia faktycznego). Z dużą dozą prawdopodobieństwa można stwierdzić, że wykonanie przez Wójta rekomendacji (szeroko opisanych w pkt VII uzasadnienia faktycznego) wyeliminowałoby lub w znaczący sposób ograniczyło możliwość i skutki naruszenia ochrony danych osobowych.
Tym samym, Wójt umyślnie naruszył przepisy o ochronie danych osobowych - art. 5 ust. 1 li. f) rozporządzenia 2016/679 w zw. z art. 24 ust. 1, 25 ust. 1, 32 ust. 1 i 2 rozporządzenia 2016/679 i w konsekwencji również art. 5 ust. 2 rozporządzenia 2016/679.
Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Administrator dopuścił się zaniedbania skutkującego wystąpieniem naruszenia ochrony danych osobowych, do którego doszło na skutek między innymi celowego działania organu samorządu terytorialnego. Tak więc stanowi to istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej.
3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe znajdujące się w zasobach Wójta, do których utracił on dostęp w następstwie ataku ransomware i które zostały opublikowane (…), nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, a także danych określonych w art. 10 rozporządzenia 2016/679, jednakże ich zakres, tj. nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, nazwisko rodowe matki, seria i numer dowodu osobistego oraz numer telefonu, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Należy podkreślić, że fakt objęcia naruszeniem ochrony danych osobowych takich kategorii danych jak nr ewidencyjny PESEL wraz z imieniem i nazwiskiem, które jednoznacznie identyfikują osobę fizyczną, może realnie i negatywnie wpływać na ochronę praw lub wolności tej osoby. Wskazać należy, że numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Administratora z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków [art. 83 ust. 2 lit. f) rozporządzenia 2016/679]. Należy w tym miejscu wskazać, że poza prawidłowym wywiązywaniem się z ciążących na Wójcie obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji, Wójt w pełnym zakresie zrealizował zalecenia Prezesa UODO dotyczące uzupełnienia zawiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu. Wskazać należy, że działanie Wójta w tym zakresie pozwoliło na złagodzenie ewentualnych negatywnych skutków naruszenia bowiem osoby, których dane zostały naruszone otrzymały informacje dotyczące między innymi opisu możliwych konsekwencji naruszenia ochrony ich danych osobowych. Ponadto Administrator podjął szereg czynności mających na celu usunięcia stanu naruszenia, takich jak działania zmierzające do odzyskania zaszyfrowanych danych, czy też wprowadzenie zmian w obszarze zastosowanych środków organizacyjnych i technicznych gwarantujących bezpieczeństwo w procesie przetwarzania danych osobowych. W ocenie Prezesa UODO wykonanie ww. czynności należy uznać za okoliczność łagodzącą mającą wpływ na obniżenie wysokości wymierzonej kary.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.
1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Działania Administratora ograniczyły się w tym zakresie wyłącznie do zawiadomienia osób o naruszeniu. Zawiadomienie to stanowi jednak jedynie wypełnienie prawnego obowiązku wynikającego z art. 34 ust. 3 lit. c) rozporządzenia 2016/679, a jak stanowią przyjęte w dniu 3 października 2017 r. Wytyczne Grupy Roboczej ds. Ochrony Danych Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679, zwane dalej Wytycznymi WP253 (w odniesieniu do przesłanki „sposobu, w jaki organ nadzorczy dowiedział się o naruszeniu”) „[z]wykłe dopełnienie [...] obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.
2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
W Wytycznych WP253 wskazano, że - rozpatrując tę przesłankę - „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator <zrobił wszystko, czego można by było oczekiwać>, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.
Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Wójta przepisów art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie „zrobił wszystkiego, czego można by było od niego oczekiwać”; nie wywiązał się tym samym z nałożonych na nią przepisami art. 25 i 32 rozporządzenia 2016/679 obowiązków.
W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia przepisów rozporządzenia 2016/679; nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Wójta administracyjnej kary pieniężnej.
3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.
4.Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie przepisów rozporządzenia 2016/679 w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora. Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi WP253, „Organ nadzorczy może dowiedzieć się o naruszeniu w wyniku postępowania, skarg, artykułów w prasie, anonimowych wskazówek lub powiadomienia przez administratora danych. Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.
5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
Wójt nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
7. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.
8. Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych, uznał, iż nałożenie administracyjnej kary pieniężnej na Wójta jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Wójtowi naruszeń. Stwierdzić należy, iż zastosowanie wobec Wójta jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Administrator w przyszłości nie dopuści się kolejnych zaniedbań.
Odnosząc się do wysokości wymierzonej Wójtowi administracyjnej kary pieniężnej, Prezes UODO uznał, iż w ustalonych okolicznościach niniejszej sprawy – tj. wobec stwierdzenia naruszenia kilku przepisów rozporządzenia 2016/679 (zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f), a odzwierciedlonej w postaci obowiązków określonych w art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji również art. 5 ust. 2 rozporządzenia 2016/679 (zasady rozliczalności) oraz faktu, iż Wójt jest organem jednostki sektora finansów publicznych – zastosowanie znajdzie art. 102 ust. 1 pkt 1) ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), z którego wynika ograniczenie wysokości (do 100.000 zł) administracyjnej kary pieniężnej, jaka może zostać nałożona na jednostkę sektora finansów publicznych.
W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszająca.
Zdaniem Prezesa UODO nałożona na Wójta kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Wójt stosował będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność kary równoważna jest zatem gwarancji tego, iż Wójt od momentu zakończenia niniejszego postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.
Zastosowana administracyjna kara pieniężna jest również, proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, skutku, kręgu dotkniętych nim osób fizycznych oraz wysokiego ryzyka negatywnych konsekwencji, jakie w związku z naruszeniem mogą ponieść. Zdaniem Prezesa UODO, nałożona na Wójta administracyjna kara pieniężna nie będzie stanowiła nadmiernego dla niego obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej Administratora. Zdaniem Prezesa UODO, Wójt powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 50 000 złotych (pięćdziesięciu tysięcy złotych) jest w pełni uzasadnione.
W ocenie Prezesa UODO, administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Wójta przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszania obowiązków Administratora wynikających z przepisów o ochronie danych osobowych.
W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 - zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.
Celem nałożonej kary jest doprowadzenie do przestrzegania przez Wójta w przyszłości przepisów rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.