DKN.5130.2815.2020
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i art. 58 ust. 2 lit. b) w związku z art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez U. S.A., Prezes Urzędu Ochrony Danych Osobowych,
stwierdzając naruszenie przez U. S.A. przepisów art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej „rozporządzeniem 2016/679”, polegające na doborze nieskutecznych zabezpieczeń systemu informatycznego oraz braku odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, udziela upomnienia U. S.A.
Uzasadnienie
U. S.A. (dalej jako „Spółka”) […] maja 2020 r. dokonała zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (zwanym dalej także „Prezesem UODO”) naruszenia ochrony danych osobowych pracowników, klientów oraz pacjentów, do którego doszło w nocy z […] na […] kwietnia 2020 r. Naruszenie ochrony danych osobowych polegało na przełamaniu zabezpieczeń systemu informatycznego Spółki wykorzystywanego przez nią do przetwarzania danych osobowych, a następnie zaszyfrowaniu przetwarzanych w nim danych. W konsekwencji Spółka została pozbawiona dostępu do ww. systemu oraz znajdujących się w nim danych osobowych. Spółka określiła skalę powstałego naruszenia, która wykazała, że zaszyfrowane bazy danych obejmowały około 80 000 rekordów danych pracowników, klientów oraz pacjentów w zakresie imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania, numer ewidencyjny PESEL, adres e-mail, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia. Zgodnie ze zgłoszeniem z […] maja 2020 r. Spółka nie stwierdziła wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych z uwagi na odzyskanie zaszyfrowanych danych oraz zrezygnowała z zawiadomienia osób, których dane dotyczą, o naruszeniu.
Pismami z dnia […] maja 2020 r. oraz […] czerwca 2020 r. Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Spółki o złożenie dodatkowych wyjaśnień, w tym m.in.:
- czy w związku ze zgłoszonym naruszeniem ochrony danych osobowych Spółka przeprowadziła wewnętrzne postępowanie wyjaśniające, które umożliwiło ustalenie, w jaki sposób doszło do zaszyfrowania danych przez złośliwe oprogramowanie; jakie były okoliczności, źródło oraz przyczyny powstania naruszenia;
- czy Spółka określiła skalę powstałego naruszenia ochrony danych, w zakresie liczby osób, na skutek działania złośliwego oprogramowania;
- czy Spółka dokonała analizy wpływu braku dostępności do systemów informatycznych objętych naruszeniem na prawa oraz wolności osób, których dane dotyczą i przesłanie dowodów potwierdzających przeprowadzanie przez Spółkę ww. analizy;
- czy, a jeśli tak, to w jaki sposób Spółka dokonywała regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia i przesłanie dowodów potwierdzających dokonywanie przez Spółkę ww. czynności;
- na jakiej podstawie zastosowane środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia (opisane w pkt 9B zgłoszenia naruszenia) uznano na wystarczające.
W wyjaśnieniach udzielonych pismami z dnia […] czerwca 2020 oraz […] lipca 2020 r. Spółka poinformowała, że:
- Przeprowadzono analizę zainfekowanych urządzeń, jednak ze względu na zróżnicowanie infrastruktury IT nie udało się jednoznacznie określić źródła oraz przyczyny powstania naruszenia.
- Zgodnie z informacją pozyskaną od dostawcy usług internetowych, w okresie poprzedzającym zaszyfrowanie danych nie zaobserwowano zwiększonego ruchu sieciowego do sieci Internet sugerującego wyprowadzenie danych. Nie zaobserwowano także podejrzanego ruchu sieciowego sugerującego atak z zewnątrz.
- Przeprowadzono ocenę środków technicznych w zakresie infrastruktury IT, procedur tworzenia kopii zapasowych oraz zabezpieczeń w zakresie dostępu i legalności oprogramowania, na podstawie której dokonano wymiany sprzętu oraz aktualizacji oprogramowania. Wprowadzono […], w pełni wdrożono usługę […], zwiększono restrykcje na stacjach roboczych oraz w zakresie polityki haseł oraz rozszerzono politykę tworzenia kopii zapasowych. Ponadto planowane jest zlecenie przeprowadzenia audytu sieci lokalnej oraz infrastruktury przez certyfikowaną firmę zewnętrzną. W opinii Spółki zastosowane środki bezpieczeństwa dążą do minimalizacji ryzyka wystąpienia podobnego zdarzenia w przyszłości.
- W związku z zawieszeniem działalności uzdrowisk od dnia […] marca 2020 r. na mocy rozporządzenia Ministra Zdrowia z dnia 13 marca 2020 r. w sprawie ogłoszenia na obszarze Rzeczypospolitej Polskiej stanu zagrożenia epidemicznego (Dz. U. z 2020 r., poz. 433), w momencie wystąpienia naruszenia Spółka nie świadczyła żadnych usług dla klientów oraz kuracjuszy. Wobec powyższego, w opinii Spółki, interes osób, których dane dotyczą, nie został naruszony.
W związku ze zgłoszonym naruszeniem ochrony danych osobowych oraz wyjaśnieniami złożonymi przez Spółkę ww. pismami, Prezes Urzędu Ochrony Danych Osobowych w dniu […] października 2020 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Spółkę, jako administratora danych, obowiązków wynikających z przepisów rozporządzenia 2016/679, tj. art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, w związku z naruszeniem ochrony danych osobowych pracowników, klientów i pacjentów Spółki (sygn. pisma […]).
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, pismem z dnia […] października 2020 r. Spółka złożyła wyjaśnienia, w których wskazała m.in., że:
- Naruszenie ochrony danych osobowych w postaci utraty ich dostępności w następstwie zaszyfrowania danych w systemach Spółki ujawniło ryzyka, których prawdopodobieństwo wystąpienia Spółka oceniła jako znikome. Ograniczenie dostępu do danych spowodowane złośliwym oprogramowaniem szyfrującym o nazwie „Devos” spowodowało, że wykonano ponowną analizę ryzyka, uwzględniającą dodatkowe zagrożenia, oraz przedsięwzięto środki bezpieczeństwa mające zminimalizować możliwość wystąpienia ich w przyszłości, a także minimalizację szkód w przypadku ich wystąpienia. W wynik zaistniałego zdarzenia podjęto działania mające uszczelnić system informatyczny i uodpornić go na podobne zdarzenia w przyszłości. Spółka przeprowadziła wymianę wykorzystywanego oprogramowania systemowego, m.in.. zastąpiono systemy A oraz B systemami C oraz D, a system E systemem F. Dodatkowe zmiany przeprowadzono w zakresie […]. Ponadto, dokonano zmian w zakresie procedur dostępu oraz procedurze tworzenia kopii zapasowych.
- W ramach dodatkowej kontroli zewnętrznej, mającej na celu weryfikację przeprowadzonych działań uszczelniających infrastrukturę i minimalizujących podatności, planowany jest audyt infrastruktury przez niezależną, zewnętrzną firmę specjalistyczną.
- Proces odzyskiwania zaszyfrowanych danych zlecono wyspecjalizowanej firmie zewnętrznej.
- Spółka posiada zawartą umowę z kancelarią prawną wybraną w 2018 r. w zakresie ujednolicenia procedur i polityki bezpieczeństwa, która precyzuje zakres prac podjętych w tym celu. Prace te obejmują między innymi także analizę ryzyka zabezpieczeń organizacyjnych, fizycznych oraz osobowych, w tym wskazanie obszarów potencjalnego ryzyka w przetwarzaniu danych. Pierwotna analiza uwzględniała podatności i zagrożenia dla tych systemów oraz ich możliwe skutki, zatem podjęto działania minimalizujące ryzyko ich wystąpienia. Są to bieżące aktualizacje oprogramowania i sprzętu, a także odseparowanie sieci WiFi dla gości, wdrożenie rozwiązania G […] w celu […]. Przeprowadzona analiza uwzględniała ochronę przed wirusami komputerowymi, ryzyko zaszyfrowania danych nie było jednak w niej ujęte jako zdarzenie o wysokim prawdopodobieństwie wystąpienia.
W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) - zwanej dalej: ustawą z dnia 10 maja 2018 r., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia; prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Konkretyzację tej zasady stanowią dalsze przepisy rozporządzenia. Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą..
Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, zgodnie z lit. a), b) i d) tego artykułu, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jak wskazuje art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679.
Biorąc pod uwagę zakres przetwarzanych danych osobowych przez Spółkę, obejmujących m.in. dane szczególnej kategorii w postaci danych dotyczących zdrowia, oraz kategorie osób, których dane są przetwarzane (w tym pacjentów), w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia, Spółka była zobowiązana do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych m.in. poprzez wykorzystywanie do przetwarzania danych osobowych oprogramowania posiadającego aktualne wsparcie techniczne producenta, działania zmierzające do optymalnej konfiguracji wykorzystywanych systemów operacyjnych oraz regularne mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania w postaci testów bezpieczeństwa w zakresie infrastruktury informatycznej oraz aplikacji. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. W tym kontekście wskazać należy, że brak technicznego wsparcia producenta stanowi podatność w odniesieniu do poziomu bezpieczeństwa wykorzystywanego oprogramowania, a co za tym idzie stwarza wysokie zagrożenie w postaci zmniejszenia odporności systemu m.in. na działanie złośliwego oprogramowania. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia. Efektem powyższego było zmaterializowanie się ryzyka, które w ocenie Spółki posiadało niski stopień prawdopodobieństwa, tj. nastąpiło przełamanie zabezpieczeń systemu informatycznego Spółki wykorzystywanego przez nią do przetwarzania danych osobowych, a następnie zaszyfrowanie przetwarzanych w nim danych.
Ze zgromadzonego materiału dowodowego wynika, że wdrożone przez Spółkę środki techniczne nie zapewniły odpowiedniego stopnia bezpieczeństwa danych przetwarzanych za pośrednictwem systemów informatycznych. Następstwem powyższego był incydent, w wyniku którego dokonano przełamania zabezpieczeń stosowanych przez Spółkę oraz zaszyfrowania danych znajdujących się w systemach informatycznych wykorzystywanych przez Spółkę do przetwarzania danych osobowych. Złośliwe oprogramowanie szyfrujące „Devos” dezaktywowało ochronę antywirusową, co skutkowało uniemożliwieniem zadziałania mechanizmów bezpieczeństwa systemów operacyjnych. Infekcja miała miejsce w godzinach nocnych, a nieprawidłowości stwierdzono dopiero w godzinach porannych (ze względu na to, że uzdrowisko nie funkcjonowało w związku z pandemią — również dział IT działał z okrojoną obsadą).
Wyjaśniając kwestie bezpieczeństwa Spółka poinformowała, że zawsze korzystała i korzysta z systemów informatycznych, na które posiada licencje oraz wsparcie producenta oprogramowania, w tym w piśmie z dnia […] lipca 2020 r. wskazała, że „trwa wymiana stanowisk z poprzednią wersją systemu E do wersji aktualnej, wspieranej przez producenta – […]. Na podstawie wykazu zmian przeprowadzonych przez Spółkę po zaistniałym naruszeniu, zmierzających do właściwego zabezpieczenia przetwarzanych danych, w zakresie wymiany oprogramowania stwierdzono, że do pracy wykorzystywano system operacyjny E, dla którego zgodnie z informacją podaną na stronie producenta termin wsparcia technicznego zakończył się […] stycznia 2020 r. (https:// […]) oraz system baz danych B, dla którego wsparcie techniczne zakończono […] lipca 2019 r. (https:// […]). Oznacza to, że od tego momentu zgodnie z informacjami podanymi przez producenta oprogramowania dla ww. systemów nie były wydawane aktualizacje oprogramowania oraz aktualizacje zabezpieczeń i poprawek. Wobec braku zastosowania przez administratora danych innych środków technicznych i organizacyjnych mających na celu zminimalizowanie ryzyka naruszenia bezpieczeństwa danych w związku z zakończeniem wsparcia przez producenta oprogramowania używanego przez Spółkę do przetwarzania danych osobowych, stwierdzić należy, że Spółka nie zapewniła odpowiedniego zabezpieczenia danych przetwarzanych przy ich użyciu. W konsekwencji, przesądza to o niewdrożeniu przez Spółkę odpowiednich środków technicznych i organizacyjnych w czasie przetwarzania danych osobowych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, do czego była ona zobowiązana zgodnie z art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679, jak również o niezastosowaniu środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku poprzez zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, do czego zobowiązuje administratora danych art. 32 ust. 1 lit. b) rozporządzenia 2016/679, oraz o niedokonaniu oceny, czy stopień bezpieczeństwa jest odpowiedni, przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych, obowiązek dokonania której wynika z art. 32 ust. 2 rozporządzenia 2016/679. Jak bowiem wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych.”
W tym kontekście należy wskazać, że korzystanie z systemów operacyjnych oraz systemów informatycznych służących do przetwarzania danych osobowych po zakończeniu wsparcia technicznego przez ich producenta w sposób istotny obniża ich poziom bezpieczeństwa. Brak wbudowanych oraz aktualizowanych zabezpieczeń zwiększa w szczególności ryzyko infekcji za pomocą złośliwego oprogramowania oraz ataków poprzez powstawanie nowych luk w zabezpieczeniach. Systemy te stają się bardziej podatne na cyberataki, m.in. typu ransomware blokujące dostęp do danych oraz żądające okupu za ich odzyskanie.
W pismach kierowanych do Prezesa UODO Spółka wyjaśniła, że przeprowadzała okresową ocenę środków technicznych w zakresie infrastruktury IT. Jednakże, jak wynika z pisma Spółki z dnia […] lipca 2020 r., cyt.: „Do chwili obecnej wszystkie testy wykonywane były jedynie na potrzeby wewnętrzne, zatem nie było potrzeby tworzenia dodatkowej dokumentacji takich testów. Testy dotyczyły głównie wydajności komponentów w ramach użytkowanego oprogramowania oraz odporności na awarie (awaria zasilania, awaria dysków, awaria komponentów). Przeprowadzano również audyty legalności oprogramowania.”
Ponadto, jak wynika z pisma Spółki z dnia […] października 2020 r., zgodnie z przyjętą przez Spółkę polityką bezpieczeństwa kontrola jest procesem ciągłym oraz trwa od momentu uruchomienia stanowiska komputerowego w środowisku produkcyjnym i polega na weryfikacji praw dostępu oraz poprawność pracy elementów systemu. Nieprawidłowości były korygowane na bieżąco poprzez łaty bezpieczeństwa, aktualizacje użytkowanego oprogramowania oraz wymianę podzespołów. W przypadku powyższych czynności Spółka nie tworzyła dodatkowej dokumentacji, gdyż były to standardowe czynności związane z utrzymaniem i serwisem stanowiska komputerowego.
Należy zauważyć, że testy wykonywane w wyżej określonym zakresie nie wyczerpują w pełni obowiązku administratora określonego w art. 32. ust. 1 lit. d) rozporządzenia 2016/679. Testom nie były poddawane w pełnym zakresie zabezpieczenia techniczne oraz organizacyjne w odniesieniu do systemów informatycznych wykorzystywanych do przetwarzania danych osobowych. W związku z powyższym administrator nie był w stanie wykazać, ani stwierdzić, że zastosowane środki bezpieczeństwa posiadają znamiona wystarczalności. Wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych spowodowanych. Takich działań Spółka jednak nie podejmowała, co przesadza o naruszeniu tego przepisu rozporządzenia 2016/679.
Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Natomiast w przedmiotowym stanie faktycznym Spółka wywiązywała się z tego obowiązku częściowo, weryfikując i modyfikując poziom skuteczności wdrożonych zabezpieczeń w sytuacjach, gdy pojawiało się podejrzenie zaistnienia podatności – wówczas podejmowane były prace mające na celu zabezpieczenie przed daną podatnością. Takie działanie administratora nie może zostać jednak uznane za realizację obowiązku określonego powołanym przepisem rozporządzenia 2016/679. Jak wspomniano wyżej, nie były bowiem przeprowadzane w sposób regularny testy dotyczące weryfikacji zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych, objętych przedmiotowym naruszeniem ochrony danych osobowych.
Zastrzeżenia może budzić również skuteczność tych testów, które, jak wynika z wyjaśnień Spółki, były przeprowadzane w odniesieniu do „wydajności komponentów w ramach użytkowanego oprogramowania oraz odporności na awarie”. Ich rezultatem nie była bowiem wymiana tych systemów informatycznych, które utraciły wsparcie producenta, co jak wskazano wyżej, w sposób istotny spowodowało obniżenie poziomu bezpieczeństwa przetwarzanych przez Spółkę danych.
Dokonane ustalenia nie dają podstawy do stwierdzenia, że stosowane przez Spółkę środki techniczne i organizacyjne były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania; środki te w ocenie Prezesa UODO nie były w odpowiedni sposób poddawane przeglądom i uaktualniane, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych.
Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 3 września 2020 r., sygn. II SA/Wa 2559/19, „Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.
Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.” Z analizy zaistniałego naruszenia wynika, że przyjęta przez Spółkę metodyka wewnętrznych testów nie była w stanie wykazać rzetelnej oceny stanu bezpieczeństwa systemów informatycznych wskazującej wszystkie podatności oraz odporności na próby przełamania zabezpieczeń na skutek nieuprawnionego działania osoby trzeciej oraz złośliwego oprogramowania. Wobec powyższego ocena stanu bezpieczeństwa okazała się niewystarczająca w zakresie zastosowania odpowiednich zabezpieczeń technicznych i organizacyjnych. Wskazać należy, że wcześniejsze zastosowanie zabezpieczeń, które wdrożone zostały dopiero po naruszeniu, znacząco obniżyłoby ryzyko zaistnienia tego typu zagrożenia.
W związku powyższymi ustaleniami stwierdzić należy, że Spółka nie stosując środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, rezultatem czego było naruszenie ochrony danych osobowych zgłoszone Prezesowi UODO w dniu […] maja 2020 r., naruszyła art. 5 ust. 1 lit. f) rozporządzenia 2016/679, odzwierciedlony w postaci obowiązków określonych w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 oraz art. 32 ust. 2 rozporządzenia 2016/679.
Działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 5 ust. 1 lit. f) w związku z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679.
Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne - oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
Określenie charakteru naruszenia polega na ustaleniu, który przepis rozporządzenia 2016/679 został naruszony i zakwalifikowaniu naruszenia do właściwej kategorii naruszonych przepisów, tj. wskazanych w art. 83 ust. 4 rozporządzenia 2016/679 lub/oraz w art. 83 ust. 5 i 6 rozporządzenia 2016/679. Na ocenę wagi naruszenia (np. niską, średnią lub znaczną), wskazywać będą charakter naruszenia, jak również „zakres, cel danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody”. Z celem przetwarzania danych osobowych wiąże się określenie, w jakim stopniu przetwarzanie spełnia dwa kluczowe elementy zasady „ograniczonego celu”, tj. określenie celu i zgodnego zastosowania przez administratora/podmiot przetwarzający. Przy wyborze środka naprawczego organ nadzorczy uwzględnia, czy szkoda została lub może zostać poniesiona z powodu naruszenia rozporządzenia 2016/679, chociaż sam organ nadzorczy nie jest właściwy do przyznania szczególnego odszkodowania za poniesioną szkodę. Zakreślając czas trwania naruszenia można stwierdzić, że zostało ono niezwłocznie usunięte, trwało krótko lub długo, co w konsekwencji pozwala na ocenę np. celowości czy też skuteczności działań administratora lub podmiotu przetwarzającego. Grupa Robocza Art. 29 w wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679 przyjętych 3 października 2017 r. odnosząc się do umyślnego lub nieumyślnego charakteru naruszenia wskazała, że zasadniczo „umyślność” obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego, podczas gdy „nieumyślność” oznacza brak zamiaru spowodowania naruszenia, pomimo niedopełnienia przez administratora/podmiot przetwarzający obowiązku staranności wymaganego prawem. Umyślne naruszenia są poważniejsze niż te nieumyślne, a w konsekwencji częściej wiążą się z nałożeniem administracyjnej kary pieniężnej.
Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie Spółce upomnienia. Za okoliczność łagodzącą, która za tym przemawia, Prezes UODO uznał, że Spółka podjęła szereg działań naprawczych w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia (wymiana sprzętu oraz oprogramowania, zmiana procedur, przeprowadzenie ponownej analizy ryzyka, przeprowadzenie audytu bezpieczeństwa). Ponadto, Spółka zgłosiła do Prezesa UODO naruszenie ochrony danych osobowych. Na podstawie okoliczności wskazanej sprawy brak jest również podstaw do uznania, że osoby, których dane dotyczą, poniosły jakąkolwiek szkodę na skutek tego naruszenia, w związku z zawieszeniem działalności uzdrowisk od dnia […] marca 2020 r. na mocy rozporządzenia Ministra Zdrowia z dnia 13 marca 2020 r. - w momencie wystąpienia naruszenia Spółka nie świadczyła żadnych usług dla klientów oraz kuracjuszy.
Naruszenie dotyczy więc jednorazowego zdarzenia, a zatem nie mamy do czynienia z systematycznym działaniem lub zaniechaniem, które stanowiłoby poważne zagrożenie dla praw osób, których dane osobowe są przetwarzane przez Spółkę. Powyższe okoliczności uzasadniają udzielenie Spółce upomnienia za stwierdzone naruszenie, co zapewni także, aby w przyszłości podobne zdarzenia nie miały miejsca. Niemniej jednak, gdyby podobne zdarzenie powtórzyło się w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 ze zm.) w związku z art. 13 § 2, art. 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325) od niniejszej decyzji stronie przysługuje prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.