Decyzja DKN.5130.3165.2020

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), art. 7 ust. 1 i 2, art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. b) i d) w związku z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, 3 i 9, art. 32 ust. 1 i 2 oraz art. 34 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, Str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej jako rozporządzenie 2016/679,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez G. (…) w T. (ul. (…), (…)-(…) T.), Prezes Urzędu Ochrony Danych Osobowych,

1)

stwierdzając naruszenie przez G. (…) w T. (ul. (…), (…)-(…) T.) art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, 3 i 9 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, w związku z wykorzystywaniem bezpłatnej usługi poczty elektronicznej świadczonej przez podmiot trzeci, polegające na:

a)

niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,

b)

niewdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych, w związku z wykorzystywaniem poczty elektronicznej, w szczególności w zakresie podatności, błędów, aktualizacji oraz ich możliwych skutków dla bezpieczeństwa tej usługi oraz podjętych działań minimalizujących ryzyko ich wystąpienia,

c)

braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą,

d)

powierzeniu przetwarzania danych osobowych bez zawarcia na piśmie umowy spełniającej warunki określone w art. 28 ust. 3 rozporządzenia 2016/679,

skutkujące naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679),

udziela upomnienia G. (…) w T. (ul. (…), (…)-(…) T.), za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, 3 i 9 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679;

2)

stwierdzając naruszenie art. 34 ust. 1 rozporządzenia 2016/679, polegające na nieprawidłowym zawiadomieniu o naruszeniu ochrony danych osobowych osób, których dane dotyczą,

G.

udziela upomnienia G. (…) w T. (ul. (…), (…)-(…) T.), za naruszenie art. 34 ust. 1 rozporządzenia 2016/679;

3)

nakazuje G. (…) w T. (ul. (…), (…)-(…) T.) dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679, poprzez przeprowadzenie analizy ryzyka dla operacji przetwarzania danych osobowych przy wykorzystaniu poczty elektronicznej, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, i na jej podstawie wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych w takich systemach informatycznych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – w terminie 3 miesięcy od dnia doręczenia niniejszej decyzji.

Uzasadnienie

1.

G. (…) w T. (ul. (…), (…)-(…) T.), dalej również jako G. (…) lub Administrator, 3 czerwca 2020 r. dokonał zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (dalej również jako Prezes UODO lub organ nadzorczy) naruszenia ochrony danych osobowych, do którego doszło 1 czerwca 2020 r. Naruszenie ochrony danych osobowych było następstwem ataku hackerskiego na skrzynkę poczty elektronicznej wykorzystywaną przez G. (…) do przetwarzania danych osobowych. W następstwie tego zdarzenia zostały naruszone dane osobowe osób, które wykorzystywały zaatakowaną skrzynkę pocztową do celów korespondencji z Administratorem.

2.

Ww. zgłoszenie naruszenia ochrony danych osobowych stało się dla organu nadzorczego impulsem do dokonania oceny realizacji przez Administratora spoczywających na nim obowiązków wynikających z przepisów rozporządzenia 2016/679 dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych. W związku z powyższym, Prezes UODO przeprowadził postępowanie wyjaśniające w tej sprawie, a następnie 8 grudnia 2020 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez G. (…) obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, 3 i 9, art. 32 ust. 1 lit. b), c) i d), art. 32 ust. 2 oraz art. 34 ust. 1 rozporządzenia 2016/679. Następnie, pismem z 17 kwietnia 2024 r. Prezes UODO poinformował Administratora, że postępowanie o sygn. DKN.5130.3165.2020 zostało rozszerzone o możliwość naruszenia obowiązków wynikających z art. 5 ust. 2 oraz art. 32 ust. 1 lit. a) rozporządzenia 2016/679.

Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego w sprawie zgłoszonego naruszenia ochrony danych osobowych oraz postępowania administracyjnego ustalił następujący stan faktyczny.

3.

W pierwszej kolejności należy wskazać, że przedmiotem postępowania administracyjnego jest naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, 3 i 9, art. 32 ust. 1 i 2 oraz art. 34 ust. 1 rozporządzenia 2016/679, a nie identyfikacja przyczyn naruszenia ochrony danych osobowych z 1 czerwca 2020 r. Wobec tego ustalenia stanu faktycznego koncentrowały się w głównej mierze na zbadaniu, czy Administrator rzeczywiście wdrożył adekwatne środki bezpieczeństwa mające gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych przy wykorzystaniu poczty elektronicznej, a w szczególności, czy wdrożenie tych środków zostało poprzedzone przeprowadzaniem analizy ryzyka. Ustalając stan faktyczny organ nadzorczy zbadał także, czy wdrożone środki podlegały regularnemu testowaniu, mierzeniu i ocenianiu pod kątem ich skuteczności. Z kolei ustalenia dotyczące naruszenia ochrony danych osobowych z 1 czerwca 2020 r. wskazują na skutki naruszenia przepisów, które zostały wskazane w sentencji niniejszej decyzji. Organ nadzorczy dokonał także ustaleń dotyczących obowiązku zawiadomienia osób, których dane zostały naruszone w następstwie zdarzenia z 1 czerwca 2020 r.

I. Szczegóły dotyczące naruszenia ochrony danych osobowych z 1 czerwca 2020 r.

4.

Naruszenie ochrony danych osobowych nastąpiło na skutek ataku hackerskiego na skrzynkę e-mail (…) należącą do G. (…). W konsekwencji ww. zdarzenia z 1 czerwca 2020 r. doszło do utraty poufności danych osobowych. Administrator wskazał, że nie jest w stanie podać przybliżonej ilości osób, których dane naruszono. Administrator określił kategorie osób, których dane zostały naruszone wskazując, że dane dotyczą: pracowników, użytkowników, klientów (obecnych i potencjalnych), klientów podmiotów publicznych, uczniów, służb mundurowych (np. wojsko, policja), praktykantów. W przesłanych do organu nadzorczego formularzach zgłoszenia naruszenia ochrony danych osobowych Administrator nie wskazał precyzyjnie kategorii naruszonych danych osobowych. Informację w tym zakresie przekazał w pismach z 29 czerwca oraz 21 grudnia 2020 r.

5.

Administrator wyjaśnił, że w następstwie incydentu bezpieczeństwa atakujący mógł uzyskać dostęp do korespondencji o różnej treści oraz załączonych do niej dokumentów takich jak: sprawozdania, raporty, faktury elektroniczne, dokumentacja elektroniczna związana z koniecznością przejścia w określonym zakresie na pracę zdalną, dokumentacja związana z rekrutacją dzieci i uczniów do placówki^[1].

6.

Ponadto Administrator wskazał, że „(…) kategorie danych osobowych dla poszczególnych osób objętych naruszeniem, tj. pracowników, użytkowników, klientów, klientów podmiotów publicznych, studentów oraz służb mundurowych to tzw. zwykłe dane osobowe [imię i nazwisko, adres zamieszkania, data urodzenia, NIP, PESEL], szczególne dane osobowe [tzw. dane wrażliwe] wymienione w art. 9 RODO oraz dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa [wymienione w art. 10 RODO] nie były przetwarzane (…)”^[2].

II. Szczegóły dotyczące potencjalnego naruszenia poufności danych osobowych w następstwie incydentu bezpieczeństwa z 1 czerwca 2020 r.

7.

Administrator wyraził swoje stanowisko dotyczące skutków uzyskania dostępu do jego konta poczty elektronicznej wskazując w piśmie z 14 grudnia 2021 r., że „(…) z perspektywy 1,5 roku od wystąpienia incydentu utraty dostępu do poczty (…).pl nie pozyskano jakichkolwiek informacji dotyczących nieuprawnionego wykorzystania danych osobowych takich jak imię, nazwisko, pesel, adres, data urodzenia czy danych wrażliwych (…) celem ataku hackerskiego było wykorzystanie adresów mail skrzynki pocztowej do rozesłania korespondencji phishingowej, taka też była treść zgłoszenia podejrzenia popełnienia przestępstwa skierowana do Policji (…)”.

III. Ustalenia dotyczące analizy ryzyka przeprowadzonej przez Administratora

8.

Administrator nie przekazał Prezesowi UODO dokumentu potwierdzającego przeprowadzenie analizy ryzyka dla operacji przetwarzania danych, w ramach których doszło do naruszenia ochrony danych osobowych (dokonanej zarówno przed, jak i po wystąpieniu incydentu bezpieczeństwa). Prezes UODO wielokrotnie zwracał się do Administratora o przekazanie wyjaśnień dotyczących analizy ryzyka dla operacji przetwarzania danych, w ramach których doszło do naruszenia ochrony danych osobowych, ale pomimo podjętych prób uzyskania wyjaśnień, Administrator nie udzielał jednoznacznych odpowiedzi. Poniżej przedstawiono opis korespondencji organu nadzorczego z Administratorem w tym zakresie.

9.

Pismem z 8 grudnia 2020 r. Prezes UODO zwrócił się do Administratora m.in. z wnioskiem o przedłożenia kopii analizy ryzyka przeprowadzonej dla procesu przetwarzania danych osobowych za pośrednictwem poczty elektronicznej. Administrator zamiast analizy ryzyka przekazał „Zał. nr 1 (…)”^[3].

10.

Następnie pismem z 3 grudnia 2021 r. organ nadzorczy ponownie zwrócił się o przedłożenie pełnej kopii analizy ryzyka przeprowadzonej dla procesu przetwarzania danych osobowych za pośrednictwem poczty elektronicznej, ale nie otrzymał odpowiedzi na to żądanie.

11.

W celu wyeliminowania wątpliwości w omawianym zakresie w piśmie z 15 listopada 2024 r. organ nadzorczy zwrócił się do Administratora z zapytaniem, czy przed wystąpieniem naruszenia ochrony danych osobowych została przeprowadzona analiza ryzyka dla operacji przetwarzania danych, w ramach których doszło do naruszenia ochrony danych osobowych (tj. analiza ryzyka dla procesu przetwarzania danych osobowych z wykorzystaniem poczty elektronicznej), uwzględniająca m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. Organ nadzorczy poprosił także o przesłanie wyników tej analizy wraz ze wskazaniem daty i metody jej wykonania (o ile taka analiza została przeprowadzona). Jednocześnie w piśmie z 15 listopada 2024 r. Prezes UODO zaznaczył, że „(…) Dotychczasowe wyjaśnienia w tym zakresie są niejednoznaczne. Administrator w piśmie z 21 grudnia 2020 r. wskazał, że przekazuje kopię analizy ryzyka przeprowadzonej dla procesu przetwarzania danych osobowych za pośrednictwem poczty elektronicznej, podczas gdy do tego pisma został załączony fragment «Rejestru (…)». Załączony dokument nie uwzględnia m.in. podatności, zagrożeń, możliwych skutków naruszeń oraz środków bezpieczeństwa mających na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych (…)”.

12.

W odpowiedzi na powyższe, w piśmie z 25 listopada 2024 r. Administrator wyjaśnił, że „(…) przed wystąpieniem naruszenia danych (czyli przed 2020 r.) analiza ryzyka przetwarzania danych w kontekście korzystania z poczty darmowej była dokonywana na poziomie bieżących przeglądów [było to pięć lat temu]. Była za te czynności odpowiedzialna firma serwisująca w owym czasie szkolną infrastrukturę informatyczną. Wskazywano na konieczność stworzenia poczty we własnej domenie i dążono do pozyskania środków na ten cel w organie prowadzącym, co było zadaniem natrafiającym na inercję w realizacji. Nie posiadamy z tamtych czasów”

13.

Pismem z 15 listopada 2024 r. Prezes UODO zwrócił się także o przekazanie wyjaśnień dotyczących analizy ryzyka dla omawianego procesu, która była przeprowadzona po wystąpieniu naruszenia ochrony danych osobowych. Mimo precyzyjnie sformułowanego pytania Administrator nie udzielił wyjaśnień w tym zakresie wskazując, że odpowiedź na to pytanie „(…) została zawarta w piśmie z dn. 3.04.2022 pkt. ad5 (…)”. Istotnie, w piśmie z 3 kwietnia 2022 w pkt „ (…)(2)”, Administrator udzielił wyjaśnień. Nie dotyczyły one jednak analizy ryzyka przeprowadzonej po wystąpieniu naruszenia ochrony danych osobowych, ale zakresu przeprowadzonego audytu dotyczącego skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych za pośrednictwem kont pocztowych w działach: (…)^[4].

IV. Ustalenia dotyczące środków organizacyjnych i technicznych wdrożonych przez Administratora w celu zapewnienia adekwatnego poziomu bezpieczeństwa w procesie przetwarzania danych osobowych

14.

G. (…) przedstawił wyjaśnienia dotyczące środków technicznych i organizacyjnych, których wdrożenie miało zapewnić stopień bezpieczeństwa odpowiadający ryzku naruszenia praw lub wolności osób fizycznych, których dane Administrator przetwarza.

15.

W ramach powyższego, Administrator poinformował organ nadzorczy, że „(…) podatność na zagrożenie w postaci włamania na konto pocztowe była ograniczona poprzez przydzielenie haseł dostępowych ograniczonej grupie osób, dbanie o czystość na biurku, w komputerze i na pulpicie, zakaz przekazywania haseł dostępu, oraz innych dokumentów uwierzytelniających, właściwe generowanie haseł, hasła zmieniane, trudne dla innych do odgadnięcia (…) W G. (…) w T. została wdrożona procedura określająca zasady dostępu pracowników do konta poczty elektronicznej Administratora, zgodnie z Instrukcją (…)”^[5].

16.

Dalsze wyjaśnienia G. (…) złożył w piśmie z 21 grudnia 2020 r., w którym Administrator wskazał, że „(…) poczta elektroniczna, która w załącznikach zawierała zestawienia zbiorcze, z dużą ilością informacji danych osobowych była zabezpieczana kryptograficznie. Poczta odbierana od pracowników, klientów, kontrahentów jeśli nie była zabezpieczona, po wydruku była usuwana z historii (…)”.

17.

W ww. piśmie Administrator oświadczył, że – w celu zapewnienia ochrony danych osobowych przez niego przetwarzanych – stosował między innymi następujące zabezpieczenia organizacyjne i techniczne:

–

(…),

–

(…),

–

(…),

–

(…),

–

(…),

–

(…),

–

(…),

–

(…),

–

(…),

–

(…),

–

(…),

–

(…),

–

(…).

18.

Administrator przedstawił także wyjaśnienia dotyczące zabezpieczenia elektronicznej skrzynki pocztowej. W piśmie z 14 grudnia 2021 r. wskazał, że „(…)”.

19.

Pismem z 28 stycznia 2025 r. Prezes UODO zwrócił się do Administratora z pytaniem, jakie zabezpieczenia kryptograficzne wykorzystywał on do ochrony danych osobowych zawartych w wiadomościach przychowanych na zaatakowanej skrzynce pocztowej, znajdujących się zarówno w treści tych wiadomości, jak i w załącznikach do nich. W odpowiedzi na powyższe Administrator wyjaśnił, że „(…)”^[7].

20.

Organ nadzorczy zwrócił się do Administrator o wskazanie, czy i w jakiej dacie została wdrożona procedura określająca zasady dostępu pracowników do poszczególnych kont jego poczty elektronicznej^[8]. W odpowiedzi na powyższe Administrator wyjaśnił, że w dniu 15 czerwca 2020 r. wdrożył taką procedurę, zgodnie z Instrukcją (…). Dostarczona procedura dotyczy jedynie wykorzystywania poczty elektronicznej o adresie (…)^[9].

21.

W okresie poprzedzającym atak na ww. skrzynkę pocztową uprawnienia dostępowe miało pięć osób, a wszystkie osoby uprawnione do obsługi skrzynki pocztowej szkoły posługiwały się jednym hasłem, o kolejnych zmianach hasła informowano się bezpośrednio. Hasło do tej poczty składało się z (…)^[10]. Administrator nie przedstawił dowodu potwierdzającego, że w związku z wykorzystywaniem zaatakowanej skrzynki pocztowej nadzorował pracowników w obszarze polityki zmiany haseł. Także i w tym przypadku, na precyzyjnie zadane pytanie, Administrator przedłożył wyjaśnienia dotyczące zmiany haseł w systemie Q.^[11].

V. Ustalenia dotyczące zasad tworzenia przez Administratora kopii zapasowych

22.

Administrator przekazał organowi nadzorczemu wyjaśnienia dotyczące zasad tworzenia kopii zapasowych. G. (…) wskazał, że zlecił (…)^[12].

23.

„Procedura (…)” została opisana przez Administratora w piśmie z 21 grudnia 2020 r. Administrator w tej procedurze określił między innymi, że:

–

(…);

–

(…);

–

(…);

–

(…);

–

(…);

–

(…);

–

(…).

24.

Prezes UODO próbował uzyskać od Administratora wyjaśnienia dotyczące szczegółów wykonywania przez niego kopii zapasowej. Podobnie jak w przypadku przedstawienia wyjaśnień dotyczących innych aspektów stanu faktycznego, Administrator unikał udzielania precyzyjnych odpowiedzi na konkretnie sformułowane pytania organu.

25.

Organ nadzorczy w piśmie z 3 grudnia 2021 r. zwrócił się Administratora z zapytaniem: „Czy środek zabezpieczenia technicznego (…)”. W odpowiedzi na powyższe pytanie, Administrator w piśmie z 14 grudnia 2021 r. wyjaśnił, że „Audyt dotyczący poczty (…) został zlecony w lipcu 2020 r. w celu zapewnienia optymalnego możliwego bezpieczeństwa”.

26.

W piśmie z 22 marca 2022 r. (błędnie datowanym na 21 marca 2021 r.) organ nadzorczy ponownie zwrócił się do Administratora: „Czy środek zabezpieczenia technicznego (…)”. Na precyzyjnie zadane pytanie, Administrator po raz kolejny uchylił się od udzielenie jednoznacznej odpowiedzi wskazując, że „(…) zabezpieczenie (…)”.

VI. Ustalenia dotyczące zasad korzystania przez Administratora z kont poczty elektronicznej

27.

Organ nadzorczy pozyskał od Administratora informacje dotyczące zasad korzystania przez G. (…) z konta pocztowego, do którego dostęp uzyskały osoby nieuprawnione. W tym zakresie Administrator składał wyjaśnienia w pismach z 29 czerwca 2020 r., 21 grudnia 2020 r. oraz 14 grudnia 2021 r. Z wyjaśnień wynika, że konto poczty elektronicznej o adresie (…).pl zostało utworzone na zasadach usługi bezpłatnej. Tak samo konto poczty elektronicznej (…) (utworzone tymczasowo po zaistniałym incydencie bezpieczeństwa) funkcjonowało na zasadach usługi bezpłatnej. W piśmie z 29 czerwca 2020 r. Administrator wskazał, że bezpłatne konto poczty elektronicznej (…).pl „działało bez zastrzeżeń od ponad 10 lat”^[13].

28.

W piśmie z 14 grudnia 2021 r. Administrator wyjaśnił, że przejęte konto pocztowe ((…)) „(…) było utworzone na zasadach usługi bezpłatnej wiele lat przed wprowadzeniem RODO, ponad 12 lat temu. Jednym z powodów – jak mniemam – takiego wyboru był brak odpowiedniego finansowania z budżetu na uruchomienie i obsługę odpowiednich rozwiązań. Wymogi technologiczne w tym czasie były też inne niż obecnie. Rozwiązanie powyższe było wprowadzone i wykorzystywane w czasie kadencji dwóch poprzednich dyrektorów tutejszego G. (…). Konto utworzone w konsekwencji ataku na skrzynkę email na okres przejściowy, o adresie (…) było podyktowane pilną potrzebą zachowania ciągłości funkcjonowania placówki i równocześnie wspomnianych planów zmiany nazwy szkoły. Trwało 3 miesiące, do założenia we wrześniu 2020 r. konta pocztowego w domenie (…). W tym czasie nie doszło do żadnych incydentów, a wykonywanie przez szkołę ustawowych zadań zostało zrealizowane, co nie byłoby możliwe bez posiadania adresu email. Aktualnie tymczasowy adres mail nie jest używany. Stan aktualny: Od ponad roku wszyscy pracownicy i uczniowie G. (…) mają indywidualne konta pocztowe w domenie (…) wraz z indywidualnie ustalanymi hasłami dostępowymi w ramach współpracy z podmiotem udostępniającym nieodpłatną usługę dla instytucji edukacyjnych [D.] (…)”.

VII. Ustalenia dotyczące relacji między Administratorem a dostawcami usługi poczty elektronicznej

29.

Administrator przedłożył wyjaśnienia dotyczące relacji łączących go z dostawcami bezpłatnej usługi poczty elektronicznej. W piśmie z 29 czerwca 2020 r. Administrator wskazał, że „(…) ze względu na niekomercyjny charakter konta nie została zawarta umowa powierzenia danych osobowych z podmiotem zewnętrznym (…)”.

30.

Prezes UODO zwrócił się do Administrator o założenie wyjaśnień, w jaki sposób zweryfikował on wdrożone środki techniczne oraz organizacyjne przez podmiot przetwarzający dane w imieniu Administratora zgodnie z art. 28 ust. 1 rozporządzenia 2016/679. W odpowiedzi na to pytanie Administrator wskazał, że „(…) korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia zgodnie z art. 28 ust. 1 i chroniło prawa osób, których dane dotyczą. Podpisane umowy o współpracę związaną z przetwarzaniem danych zawierają zapisy dotyczące powierzenia przetwarzania danych osobowych. Stosowana jest zasada minimalizowania ilości zbieranych i powierzanych danych. Są to podmioty o ugruntowanej renomie i pozycji rynkowej, obsługujące tysiące podmiotów prowadzących działalność edukacyjną (…)”^[14].

31.

Wyjaśnienia w tym zakresie G. (…) złożył także w piśmie z 25 listopada 2024 r. Administrator poinformował, że „(…) korzystając z poczty darmowej zweryfikował bezpieczeństwo przekazywanych informacji w oparciu o ogólnie dostępne informacje podane przez administratorów wskazanych portali, zwłaszcza portalu (…). Poczta funkcjonująca na portalu (…).pl funkcjonowała od czasów poprzedzających wprowadzenie prawodawstwa dot. ochrony danych osobowych i jak wskazano w pkt 1. usiłowano zmienić ten stan rzeczy aby był zgodny z wymaganiami, jednak nie było to możliwe ze względu braku finansów na ten cel w budżecie placówki. Sposób ostatecznego rozwiązania tego problemu został opisany w piśmie z dn. 14.12.2021 w pkt 2. (…)” [wyjaśnienia przytoczone w pkt VI. 2 uzasadnienia faktycznego].

32.

Pismem z 15 listopada 2024 r. organ nadzorczy zwrócił się do G. (…) z zapytaniem, czy wobec dostawców bezpłatnych usług poczty elektronicznej dla adresów (…).pl oraz (…) Administrator korzystał z uprawnień przeprowadzenia kontroli, w tym inspekcji (art. 28 ust. 3 lit. h) rozporządzenia 2016/679), celem weryfikacji, czy ww. dostawcy gwarantują, że wdrożone środki techniczne i organizacyjne zapewniają odpowiedni poziom bezpieczeństwa w procesie przetwarzania danych osobowych. Organ poprosił także o przekazanie dowodów potwierdzających przeprowadzenie takich kontroli oraz wskazujących na ich wyniki. W odpowiedzi na powyższe, w korespondencji z 25 listopada 2024 r. Administrator nie przedłożył dowodów potwierdzających podjęcie działań kontrolnych (o których mowa powyżej) i ograniczył się do wskazania, że „(…) Polityka prywatności jest określona przez przedmiotowe firmy prowadzące możliwość zakładania darmowych kont pocztowych. W tym miejscu oraz w opisie parametrów bezpieczeństwa sprawdzano możliwość prowadzenia korespondencji”.

VIII. Ustalenia dotyczące zasad regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych

33.

Administrator nie uwiarygodnił, że podejmował działania w zakresie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych za pomocą poczty elektronicznej. Prezes UODO wielokrotnie zwracał się do Administratora z wnioskiem o przedłożenie wyjaśnień w tym zakresie oraz dostarczenie dowodów na ich potwierdzenie. Jednakże Administrator udzielał szczątkowych i nieprecyzyjnych wyjaśnień. Poniżej przedstawiono opis korespondencji organu nadzorczego z Administratorem.

34.

Pismem z 10 czerwca 2020 r. Prezes UODO zwrócił się do Administratora z prośbą o wyjaśnienie, czy, a jeśli tak, to w jaki sposób dokonywał on regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych za pomocą poczty elektronicznej, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla kont poczty elektronicznej oraz podjętych działań minimalizujących ryzyko ich wystąpienia. Udzielając odpowiedzi na powyższe pytanie w piśmie z 29 czerwca 2020 r. (dostarczonym do organu nadzorczego 21 lipca 2020 r.) Administrator nie wskazał precyzyjnie, jakie działania podejmował i ograniczył się do stwierdzenia, że „(…) dokonywał regularnego (raz w roku) oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych za pomocą poczty elektronicznej, przeprowadzając analizę ryzyka w tym zakresie (…)”.

35.

W celu dokładnego ustalenia stanu faktycznego, pismem z 8 grudnia 2020 r. Prezes UODO poprosił Administratora o przekazanie kopii raportów z wykonywanych cyklicznych przeglądów związanych z ocenianiem, testowaniem i mierzeniem skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych za pośrednictwem kont pocztowych. W odpowiedzi na powyższe, wraz z pismem z 21 grudnia 2020 r., Administrator przekazał kopię dokumentu o nazwie „Raport (…)” z 5 listopada 2020 r.^[15]. W treści tego dokumentu Administrator wskazał: „(…) Konta pocztowe pracowników z wymienionych działów (…)”. Pod raportem znajduje się podpis dyrektora szkoły.

36.

Prezes UODO w piśmie z 3 grudnia 2021 r. zwrócił do G. (…) z prośbą o wskazanie zakresu przeprowadzonego audytu dotyczącego skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych za pośrednictwem kont pocztowych w działach: (…). Na precyzyjnie sformułowane pytanie, Administrator w piśmie z 14 grudnia 2021 r. wyjaśnił, że „(…) Osobą przeprowadzającą audyt był podmiot obsługujący szkołę w zakresie usług serwisu informatycznego, tj. firma Y. K. L., pełniący rolę ASI (…)”.

37.

W piśmie z 3 grudnia 2021 r. Prezes UODO poprosił również o „(…) wskazanie jakie osoby znajdowały się {w} komisji przeprowadzającej audyt [w związku z załącznikiem 1 przesłanym z pismem z dnia 21 grudnia 2020 r. dyrektor szkoły podlegał audytowi i jednocześnie jako jedyny złożył podpis pod raportem dotyczącym audytu](…)”. Ignorując pytanie Prezesa UODO (dotyczyło on bowiem – co wyraźnie wskazano – raportu dołączonego do pisma Administratora z 21 grudnia 2020 r.) Administrator poinformował, że „(…) od 07.2021 został zmieniony podmiot obsługujący szkołę w zakresie IT i serwisu komputerowego na firmę H. (…), której powierzono rolę ASI. Współpraca z dotychczasowym kontrahentem została zakończona (…)”^[16].

38.

Jednocześnie wraz z pismem z 14 grudnia 2021 r. Administrator załączył swój wniosek z 9 lipca 2020 r., skierowany do Y., K. L. ((…)-(…) T., ul. (…)), o „(…) przeprowadzenie audytu dotyczącego: skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych za pośrednictwem kont pocztowych w działach: (…)”. Z treści tego wniosku wynika ponadto, że Administrator oczekiwał od ww. podmiotu udzielenie odpowiedzi pisemnej.

39.

Następnie w piśmie z 22 marca 2022 r. (błędnie datowanym na 21 marca 2021 r.) Prezes UODO poprosił o wskazanie zakresu przeprowadzonego audytu dotyczącego skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych za pośrednictwem kont pocztowych w działach: (…).

40.

W odpowiedzi na ww. pytanie Administrator nie wskazał zakresu audytu. Zamiast tego wyjaśnił, że

„

(…) Przegląd (…) z dn. 5.06.2020 r.^[17] w działach: (…), a także poszczególni pracownicy wykazał:

–

(…)

–

(…)

–

(…).

(…):

–

(…),

–

(…)

–

(…)”^[18].

41.

Prezes UODO uzyskał od Administratora wyjaśnienia dotyczące audytów przeprowadzonych na jego zlecenie przez H. (…) ((…)-(…) T. ul. (…)). Administrator nie określił precyzyjnie daty podjęcia współpracy i zakresu realizowanych zadań przez ww. podmiot w obszarze przeprowadzania audytów. Z jednej strony Administrator wskazywał, że podjął współpracę z tym podmiotem w lipcu 2021 r.^[19], natomiast w piśmie z 17 marca 2025 r. Administrator wyjaśnił, że „(…) Docelowe rozwiązanie informatyczne obejmujące: (…) zostały wdrożone od września 2020 r. Procesem wdrożenia tych usług zajęła się firma p. H. Z., która w dalszej konsekwencji podjętych obowiązków stała się firmą obsługującą w zakresie IT w miejsce dotychczasowego podmiotu. Przyjęte rozwiązanie opiera się na licencji Al dla celów edukacyjnych firmy D. [nie komercyjno- biznesowe] (…)”.

42.

W piśmie z 17 marca 2025 r. Administrator wyjaśnił również, że w przypadku ww. rozwiązania wszelkie narzędzia testowania, mierzenia skuteczności środków technicznych leżą po stronie producenta oprogramowania, czyli D.. Po jego stronie jest natomiast prawidłowe korzystanie i reagowanie na potencjalne zagrożenia ataków, które są raportowane na bieżąco z platformy D. (na której wykonywane są także „backup’y”).

43.

Jednocześnie w wraz z przekazaną korespondencją Administrator dostarczył raporty z przeprowadzonych audytów z 11 października 2021 r., 10 października 2022 r., 9 października 2023 r. oraz 17 października 2024. Audyty przeprowadzone w 2021 r., 2022 r. i 2023 r. dotyczyły monitorowania zagrożeń zewnętrznych i reakcji w platformie R. z domeną (…). Z treści raportów wynika, że w okresie roku do daty przeprowadzania audytów nie stwierdzano nieprawidłowości^[20]. Natomiast audytu z 17 października 2024 r. wynika, że podmiot kontrolujący nie stwierdził nie prawidłowości od 1 października 2020 r.^[21] W odniesieniu do tego audytu Administrator w piśmie z 17 marca 2025 r. poinformował, że „(…) informacja o braku incydentów od października 2020 r. zapewne wynika z tego, że jako aktualny administrator tego systemu ma wgląd w historię od momentu uruchomienia usługi poczty elektronicznej na platformie D. (…)”.

IX. Ustalenie dotyczące środków bezpieczeństwa zastosowanych po naruszeniu ochrony danych osobowych

44.

W ramach działań podjętych po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych Administrator zablokował konto objęte naruszeniem. Administrator wskazał ponadto, że

„

(…) W konsekwencji incydentu podjęto i są realizowane następujące działania zmierzające do zminimalizowania potencjalnych zagrożeń naruszenia danych osobowych, lub integralności systemów:

–

zarządzeniem dyrektora z dn. 5.06.2020 r. wprowadzono Politykę (…)

–

temat bezpieczeństwa danych i ich przetwarzania jest stałym elementem szkoleń i budowania świadomości pracowników np. podczas prowadzonych rad pedagogicznych

–

prowadzone są cykliczne (coroczne) szkolenia dla pracowników w ramach współdziałania z Miastem T. i pracownikami ochrony danych osobowych (zał. 1 korespondencja z dziennika elektronicznego jako przykład takich działań i wymagalności szkoleń)

–

corocznie w ramach samooceny kontroli zarządczej badany jest poziom świadomości związanej z dostępem do baz danych oraz przetwarzaniem danych osobowych przez pracowników. (…)

–

prowadzone są cyklicznie audyty poczty – ostatni z dn. 17.10.2024 r. [zał. nr 3] (…)”^[22].

45.

Administrator przekazał „Zarządzenie Dyrektora G. (…) w T. z dnia 05 czerwca 2020 r. (…)”^[23]. W tej polityce wskazano, że:

a)

(…),

b)

(…),

c)

(…),

d)

(…),

e)

(…),

f)

(…),

g)

(…),

h)

(…),

i)

(…),

j)

(…),

k)

(…),

l)

(…).

46.

Administrator przekazał kopię korespondencji z podmiotem przeprowadzającym audyt poczty elektronicznej, w którym wskazano między innymi, że „(…)”^[24].

47.

W omawianym zakresie Administrator wyjaśnił ponadto, że „(…)”.

X. Ustalenia dotyczące zawiadomienia o naruszeniu ochrony danych osobowych z 1 czerwca 2020 r., osób których dane dotyczą.

48.

W zgłoszeniu naruszenia ochrony danych osobowych przekazanym Prezesowi UODO Administrator wskazał, w jaki sposób zawiadomił osoby, które dane osobowe zostały naruszone. Administrator wskazał, że zawiadomienie przekazał za pośrednictwem: poczty dziennika elektronicznego, strony internetowej szkoły, alternatywnej poczty elektronicznej. Treść tego zawiadomienia prezentuje się następująco: „(…)”.

49.

Na stronie internetowej Administratora zamieszczono następujący komunikat: „(…)”

50.

Organ nadzorczy dokonał oceny materiału dowodowego pod kątem zbadania jego wiarygodności i mocy dowodowej. Zgromadzone dowody cechują się spójnością i wzajemną korelacją, co oznacza, że układają się w logiczny opis działań Administratora. Wyjaśnienia i pozostałe materiały dowodowe wzajemnie się uzupełniają wskazując na określony sposób postępowania Administratora. Nie ma podstaw do kwestionowania ich wiarygodności, bowiem dowody nie noszą znamion fałszerstwa, są autentyczne oraz formalnie poprawne.

51.

Jednak pomimo tej spójności dowodów – tak jak już sygnalizowano w opisie stanu faktycznego – ich moc dowodowa w zakresie potwierdzenia realizacji określonych obowiązków Administratora jest ograniczona. Tzn. treść przedmiotowych dowodów nie dostarcza jednoznacznych oraz wystarczających informacji, które potwierdzałyby, że Administrator faktycznie podjął działania wymagane przepisami rozporządzenia 2016/679.

52.

Trzeba podkreślić, że w odpowiedzi na precyzyjnie sformułowane żądania organu nadzorczego Administrator przedstawiał niejasne wyjaśnienia, a dokumenty, które miałby je potwierdzać, nie mogą zostać uznane jako przekonywające. W odniesieniu do konkretnych dowodów Prezes UODO odnosi się do tej kwestii w dalszej części przedmiotowej decyzji.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

53.

Zgodnie z art. 34 u.o.d.o.^[26], Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.

I. Zasady bezpieczeństwa przetwarzania danych osobowych

54.

Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

55.

Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, szczególnie z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Przepisy te uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.

56.

W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

57.

Art. 32 ust. 1 rozporządzenia 2016/679 stanowi, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

58.

W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

II. Zarządzanie ryzykiem w procesie przetwarzania danych osobowych. Naruszenie art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

59.

Jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679 jest obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w przytoczonym powyżej art. 32 ust. 1 rozporządzenia 2016/679. Podkreślić należy, że rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy także uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.

60.

Ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie dobór takich środków technicznych i organizacyjnych, które zapewnią odpowiedni poziom bezpieczeństwa względem tego ryzyka. W stosownych przypadkach należy wdrożyć takie środków jak pseudonimizacja i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Wymogi w zakresie zapewnienia odpowiedniego poziomu bezpieczeństwa wynikają również z art. 24 ust. 1 oraz art. 25 ust. 1 rozporządzenia 2016/679.

61.

Podmiot, który przetwarza dane osobowe, zobligowany jest nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. W świetle powyższego wskazać należy, że analiza ryzyka przeprowadzana przez administratora danych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora danych, albowiem w zależności właśnie od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych. Aby analiza ryzyka została przeprowadzona w sposób właściwy, winny być zdefiniowane dla każdego z aktywów zagrożenia, mogące wystąpić w procesach przetwarzania danych.

62.

Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych). Jest oczywistym, że szeroki zakres danych osobowych lub przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 lub art. 10 rozporządzenia 2016/679, może spowodować (w przypadku wystąpienia naruszenia ochrony danych osobowych) daleko idące negatywne skutki dla osób, których dane dotyczą, więc winny one być oceniane jako aktywa o wysokiej wartości, a co za tym idzie stopień ich ochrony powinien być odpowiednio wysoki.

63.

Określenie istniejących lub stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.

64.

Zgodnie z normą ISO/IEC 27000 podatność jest określana jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia i z jakiego kierunku (powodu) mogą się pojawić^[27].

65.

Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Zazwyczaj wykorzystuje się macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, przedstawiając poziomy ryzyka, dla których organizacja definiuje odpowiednie działania.

66.

Konieczność przeprowadzenia analizy ryzyka podkreślona jest także w orzecznictwie. W tym przedmiocie wypowiedział WSA w Warszawie, między innymi w wyroku z 13 maja 2021 r., sygn. II SA/Wa 2129/20, gdzie podniósł, że „Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”. Z kolei, w uzasadnieniu wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 (utrzymanym przez NSA wyrokiem z 28 lutego 2024 r., sygn. akt III OSK 3839/21), Wojewódzki Sąd Administracyjny w Warszawie wskazał, że „(…) Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością. Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka (…) czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych (…)”.

67.

W przedmiotowej sprawie Administrator był wielokrotnie wzywany przez organ nadzorczy do przedłożenia analizy ryzyka dokonanej przed wystąpieniem naruszenia ochrony danych osobowych, jak i tej dokonanej po jego wystąpieniu. Mimo wielu wezwań Administrator nie przedstawił dowodu potwierdzającego, że przed wystąpieniem naruszenia ochrony danych osobowych przeprowadził analizę ryzyka dla procesu przetwarzania danych osobowych w związku z wykorzystywaniem poczty elektronicznej (por. pkt III uzasadnienia faktycznego). Dostarczony w odpowiedzi na ww. wezwania rejestr czynności przetwarzania danych osobowych nie jest dokumentem potwierdzającym przeprowadzenia analizy ryzyka, bowiem nie uwzględniono w nim opisu podatności, zagrożeń, możliwych skutków naruszenia oraz środków bezpieczeństwa mających na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych.

68.

Poczynione w niniejszej sprawie ustalenia pozwalają stwierdzić, że Administrator nie przeprowadził analizy ryzyka związanej z przetwarzaniem danych osobowych za pośrednictwem skrzynki poczty elektronicznej, udostępnionej w ramach bezpłatnej usługi poczty elektronicznej, świadczonej przez podmiot trzeci oferujący publicznie dostępne usługi tego typu za pośrednictwem platformy internetowej. Prawidłowo przeprowadzona analiza ryzyka pozwoliłaby na zidentyfikowanie zagrożeń (także tych związanych z przetwarzaniem danych osobowych przy wykorzystaniu ww. skrzynki poczty elektronicznej), a w konsekwencji wdrożenie środków bezpieczeństwa adekwatnych do istniejącego ryzyka. W przedmiotowej sprawie należało wziąć pod uwagę ryzyko uzyskania nieuprawnionego dostępu do danych osobowych znajdujących się na tej skrzynce oraz wykorzystanie tych danych w sposób nieuprawniony (stąd to, czy z treścią wiadomości znajdujących się w skrzynce pocztowej faktycznie zapoznała się osoba nieuprawniona nie ma znaczenia przy ocenie prawidłowości działań Administratora w kontekście analizy ryzyka związanego z korzystaniem z usługi poczty elektronicznej). Uwzględniwszy to ryzyko, Administrator, na którego obowiązki w tym zakresie nakładane są na podstawie art. 32 ust. 1 i 2 rozporządzenia 2016/679, mógł zdecydować o wdrożeniu dodatkowych środków bezpieczeństwa, albo o korzystaniu z usługi poczty elektronicznej zapewniającej wyższy standard bezpieczeństwa.

69.

Nieprzeprowadzenie analizy ryzyka, która uwzględniałaby systemy służące do przetwarzania danych osobowych (w tym przypadku skrzynka poczty elektronicznej) wykorzystywane przez Administratora do przetwarzania danych osobowych uniemożliwia dokonanie oceny, czy zastosowane środki ochrony gwarantowały odpowiedni poziom bezpieczeństwa przetwarzanych danych osobowych.

70.

Odstąpienie przez Administratora od przeprowadzenia analizy ryzyka nie może być argumentowane tym, że jego obsługą informatyczną zajmował się podmiot trzeci. Obowiązek wdrożenia środków technicznych i organizacyjnych, które zapewnią odpowiedni poziom bezpieczeństwa uwzględniający m.in. ryzyko naruszenia praw lub wolności osób, których dane osobowe są przetwarzane, jest obowiązkiem Administratora. Nawet jeśli zlecił on obsługę informatyczną innemu podmiotowi (np. przedsiębiorstwu świadczącemu usługi w tym zakresie), to nie zwalnia go to z obowiązku przeprowadzenia analizy ryzyka, wdrożenia adekwatnych środków bezpieczeństwa i obowiązku wykazania, że te środki rzeczywiście zostały wdrożone.

71.

Nie zasługują także na uwzględnienie wyjaśnienia Administratora, w których wskazuje, że rozpoczął on korzystanie z usług poczty elektronicznej przed wejściem w życie przepisów rozporządzenia 2016/679. Przedłożone wyjaśnienia, że przejęte konto pocztowe ((…)) „(…) było utworzone na zasadach usługi bezpłatnej wiele lat przed wprowadzeniem RODO (…)” oraz, że „(…) Wymogi technologiczne w tym czasie były też inne niż obecnie (…)”, biorąc pod uwagę fakt, że do incydentu bezpieczeństwa doszło 1 czerwca 2020 r. (tj. po dwóch latach od dnia rozpoczęcia stosowania przepisów rozporządzenia 2016/679), świadczą w istocie o tym, że Administrator nie ma świadomości podstawowych obowiązków wynikających z rozporządzenia 2016/679 oraz nie posiada wiedzy o standardach bezpieczeństwa systemów informatycznych (w tym poczty elektronicznej). Nie można bowiem zakładać, że jeżeli określony system informatyczny (w tym przypadku poczta elektroniczna) został wdrożony wiele lat wcześniej (tj. wtedy, gdy standardy bezpieczeństwa w wymiarze technicznym, jak i w wymiarze prawnym, były mniej rygorystyczne), to możliwe jest dalsze jego wykorzystywanie w procesie przetwarzania danych osobowych. Możliwość wykorzystania określonego systemu informatycznego w procesie przetwarzania danych osobowych zależy bowiem od przeprowadzenia analizy ryzyka. Administrator powinien ocenić, czy dalsze korzystanie z wdrożonego rozwiązania nadal gwarantuje adekwatny poziom bezpieczeństwa dla przetwarzanych danych osobowych. W analizie ryzyka Administrator powinien zidentyfikować specyficzne podatności związane z bezpieczeństwem wykorzystywania bezpłatnej usługi poczty elektronicznej świadczonej w ramach oferty publicznej przez podmiot trzeci. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 27 lutego 2024 r., sygn. akt II SA/Wa 1404/23, „(…) uwzględnienie stanu wiedzy technicznej powinno skłaniać administratora do rezygnacji z rozwiązań przestarzałych, o niewielkiej skuteczności, czy też takich, co do których wiadomo, że nie zapewniają należytej ochrony danych”. Podkreślić przy tym także należy, że rozporządzenie 2016/679 weszło w życie 24 maja 2016 r., a zaczęło obowiązywać od 25 maja 2018 r. Oznacza to zatem, że Administrator miał dwa lata na dostosowania operacji przetwarzania danych osobowych do wymogów określonych w rozporządzeniu 2016/679.

72.

Dodatkowym dowodem potwierdzającym naruszenie przez Administratora przepisów rozporządzenia 2016/679, regulujących kwestię obowiązku wdrożenia adekwatnych środków bezpieczeństwa w procesie przetwarzania danych osobowych, było wystąpienie naruszenia ochrony danych osobowych z 1 czerwca 2020 r.

73.

Podnieść należy także, że po wystąpieniu naruszenia ochrony danych osobowych Administrator nie wykazał, że przeprowadził analizę ryzyka, a w konsekwencji, że wdrożył odpowiednie środki bezpieczeństwa dla zapewnienia ochrony danych osobowych przetwarzanych w ramach systemu poczty elektronicznej. Wobec tego stan naruszenia art. 24 ust. 1, art. 25 ust. 1 oraz 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji również art. 5 ust. 1 lit. f) rozporządzenia 2016/679, nadal się utrzymuje.

III. Konieczność zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność szybkiego przywracania dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Naruszenie art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679.

74.

W związku z tym, że Administrator nie przeprowadził analizy ryzyka zastosowane przez niego środki techniczne i organizacyjne okazały się w konsekwencji nieodpowiednie, co doprowadziło do sytuacji, w której systemy stały się bardziej podatne na cyberataki (w tym te, które umożliwiają atakującym uzyskanie nieuprawnionego dostępu do danych osobowych przetwarzanych w ramach skrzynki poczty elektronicznej). W związku z przełamaniem zabezpieczeń systemów informatycznych Administrator utracił dostęp do własnej poczty elektronicznej, co oznacza, że nie zrealizował on obowiązku utrzymania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b) rozporządzenia 2016/679).

75.

Nieprzeprowadzenie analizy ryzyka w konsekwencji spowodowało, że Administrator w sposób dowolny dobierał różnego rodzaju środki organizacyjne i techniczne, co mogło zwiększać prawdopodobieństwo wystąpienia naruszenia ochrony danych osobowych w następstwie przełamania zabezpieczeń systemu poczty elektronicznej wykorzystywanego do przetwarzania danych osobowych lub wykorzystania istniejących w tym systemie luk bezpieczeństwa. Brak analizy ryzyka spowodował bowiem brak prawidłowej oceny zagrożeń dla procesu przetwarzania danych osobowych przy wykorzystaniu poczty elektronicznej i w konsekwencji niewłaściwe ich zabezpieczenie. Administrator nie przeprowadzając analizy ryzyka nie wykazał, w jakim stopniu stosowane przez niego zabezpieczenia kryptograficzne mitygowały ryzyko dla danych osobowych. Nie uwiarygodnił on tym samym, że stosowane przez niego zabezpieczenia kryptograficzne poczty elektronicznej, na które wskazywał w złożonych wyjaśnieniach, były odpowiednie, tzn. nie udowodnił, że środki te mitygowały poziom ryzyka dla danych osobowych do poziomu akceptowalnego przez Administratora, a tym samym gwarantowały bezpieczeństwo w procesie ich przetwarzania.

76.

W celu dokładnego ustalenia stanu faktycznego Prezes UODO zwracał się do Administratora o wskazanie, jakie konkretnie zabezpieczenia kryptograficzne były przez niego stosowane, ale nie udzielił on w tym zakresie jednoznacznej odpowiedzi. Na podstawie przedłożonych wyjaśnień nie sposób uznać, że stosowane przez Administratora zabezpieczenia kryptograficzne stanowiły jakiekolwiek zabezpieczenia danych osobowych przechowywanych na elektronicznej skrzynce pocztowej. W przypadku poczty elektronicznej o adresie (…).pl Administrator miał stosować (…).

77.

W przypadku zabezpieczeń (…).

78.

Administrator przedstawił wyjaśnienia dotyczące zasad tworzenia haseł oraz wskazał ilość osób, które posiadały dostęp do zaatakowanej skrzynki pocztowej. Z jego wyjaśnień wynika, że wszystkie osoby (…). Powyższe oznacza, że Administrator nie uwiarygodnił, że stosowane przez niego środki mające zapewnić bezpieczeństwo w procesie przetwarzania danych osobowych w związku z wykorzystywaniem zaatakowanej skrzynki pocztowej były adekwatne. Wręcz przeciwnie, fakt (…) świadczy o naruszeniu podstawowych zasad bezpieczeństwa odnoszących się do sposobu uwierzytelniania użytkowników w określonym systemie informatycznym.

79.

Analizując materiał dowodowy dotyczący wdrożonych środków organizacyjnych i technicznych należy odnieść się do wyjaśnień Administratora w zakresie tworzenia kopii zapasowych. Kluczowe jest to, że w następstwie nieprzeprowadzenia analizy ryzyka Administrator nie zidentyfikował zagrożeń wynikających z nieprawidłowego wykonania kopii zapasowej. Co więcej – mimo wezwania organu nadzorczego o przedłożenie wyjaśnień w omawianej materii – Administrator nie uwiarygodnił, że środek zabezpieczenia technicznego w postaci wykonywania kopii zapasowej został wdrożony przed wystąpieniem naruszenia ochrony danych osobowych. W ocenie Prezesa UODO, rozwiązania przyjęte przez Administratora w obszarze tworzenia kopii zapasowej miały charakter jedynie formalny, tzn. Administrator opracował określone procedury dotyczące omawianej kwestii, ale w istocie rzeczy nie wdrożył ich w życie, a przynajmniej – mimo wezwań organu nadzorczego – nie był w stanie uwiarygodnić rzeczywistego ich wprowadzenia.

80.

Administrator również nie uwiarygodnił, że podmiot, któremu zlecił wykonywanie kopii zapasowych rzeczywiście te kopie wykonywał. Podkreślić jednocześnie należy, że samo powierzenie przez Administratora wykonania kopii zapasowej podmiotowi trzeciemu (który świadczył usługi informatyczne na rzecz Administratora) pozostaje bez wpływu na stwierdzone naruszenie przepisów rozporządzenia 2016/679, bowiem to obowiązkiem Administratora jest dobór adekwatnych środków technicznych i organizacyjnych mających gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych.

81.

W tym kontekście należy wskazać, że obowiązujące u Administratora (przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych) zasady tworzenia kopii zapasowych oraz praktyka wykonywania tej kopii nie zapewniały realizacji obowiązków wynikających z art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679, tj. zdolności do ciągłego zapewnienia dostępności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. W konsekwencji oznacza to naruszenie przez Administratora art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679.

IV. Rola administratora i podmiotu przetwarzającego w procesie przetwarzania danych osobowych. Naruszenie art. 25 ust. 1 oraz art. 28 ust. 1 i 3 rozporządzenia 2016/679.

82.

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, to zgodnie z brzmieniem art. 28 ust. 1 rozporządzenia 2016/679, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Zgodnie z art. 28 ust. 3 rozporządzenia 2016/679, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a)

przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b)

zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c)

podejmuje wszelkie środki wymagane na mocy art. 32;

d)

przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;

e)

biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

f)

uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;

g)

po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h)

udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

83.

Z kolei stosownie do art. 28 ust. 9 rozporządzenia 2016/679, umowa lub inny akt prawny, o których mowa w ust. 3 i 4, mają formę pisemną, w tym formę elektroniczną.

84.

Z materiału dowodowego wynika, że Administrator, powierzając przetwarzanie danych osobowych w związku z korzystaniem z bezpłatnej usługi poczty elektronicznej, nie zawarł pisemnej umowy powierzenia z podmiotem świadczącym tę usługę (zgodnie z informacją Administratora, w omawianym przypadku podmiotem tym była (…) S.A. oraz E. (…)), która zawierałaby elementy wskazane w art. 28 ust. 3 rozporządzenia 2016/679. Oceniając ten stan rzeczy, należy zacząć od wyjaśnienia funkcji sprawowanej przez te dwa podmioty oraz ich wzajemnej relacji.

85.

Zgodnie z art. 4 pkt 7 rozporządzenia 2016/679, „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, a jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Z kolei „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 rozporządzenia 2016/679).

86.

Fakt, że w analizowanej sytuacji nie doszło do zawarcia umowy powierzenia przetwarzania danych osobowych w rozumieniu art. 28 ust. 3 rozporządzenia 2016/679 nie pozbawia G. (…), ani podmiotu świadczącego bezpłatną usługę poczty elektronicznej, statusu odpowiednio: administratora oraz podmiotu przetwarzającego. Z Wytycznych 7/2020 dotycząc pojęć administratora i podmiotu przetwarzającego zawartych w RODO^[28], dalej jako Wytyczne 07/2020, wynika bowiem, że „(…) Pojęcia administratora, współadministratora i podmiotu przetwarzającego są pojęciami funkcjonalnymi w tym sensie, że ich celem jest podział obowiązków zgodnie z rzeczywistymi rolami stron oraz pojęciami autonomicznymi w tym sensie, że powinno się je interpretować głównie zgodnie z prawem Unii o ochronie danych (…)”. W przedmiotowej sprawie nie ma wątpliwości, że G. (…) był administratorem danych osobowych przetwarzanych za pośrednictwem poczty elektronicznej, do której osoba nieuprawniona uzyskała dostęp. Odpowiedzialność za dobór podmiotu przetwarzającego należy przypisać G. (…), jako że to administrator powierza przetwarzanie danych osobowych wybranej przez siebie osobie fizycznej lub prawnej.

87.

Z uwagi na fakt, że zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679 dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”), bardzo ważne z punktu widzenia administratora danych jest to, jakiemu podmiotowi powierza przetwarzanie tych danych. Dlatego – zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679 – tak istotne jest gruntowne zbadanie, jakiemu podmiotowi (i na jakiej podstawie) powierza przetwarzanie danych osobowych. Myśl tę wyraża wprost przytoczony już powyżej art. 28 ust. 1 rozporządzenia 2016/679.

88.

Należy podkreślić, że korzystanie z usług podmiotu przetwarzającego nie zwalnia administratora z obowiązku zapewnienia bezpieczeństwa w procesie przetwarzania danych osobowych. Odpowiedzialność w tym zakresie spoczywa bowiem przede wszystkim na administratorze danych. Na konieczność weryfikacji podmiotu przetwarzającego zwracają uwagę Wytyczne 07/2020. Wskazuje się w nich, że „(…) gwarancje «zapewniane» przez podmiot przetwarzający to te, które podmiot przetwarzający jest w stanie wykazać w sposób zadowalający administratora, ponieważ są to jedyne gwarancje, które administrator może skutecznie uwzględnić przy ocenie wypełniania swoich obowiązków. Często będzie to wymagało wymiany odpowiedniej dokumentacji [np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000] (…) Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych. W związku z tym EROD nie może przedstawić wyczerpującej listy dokumentów lub działań, które podmiot przetwarzający musi wykazać lub udowodnić w danym scenariuszu, ponieważ w dużej mierze zależy to od konkretnych okoliczności przetwarzania (…) Administrator powinien wziąć pod uwagę następujące elementy (…), aby ocenić, czy gwarancje są wystarczające: wiedza fachowa [np. wiedza techniczna w zakresie środków bezpieczeństwa i naruszeń ochrony danych]; wiarygodność podmiotu przetwarzającego; zasoby podmiotu przetwarzającego. Reputacja podmiotu przetwarzającego na rynku może być również istotnym czynnikiem, który administratorzy powinni wziąć pod uwagę (…)”.

89.

Analogicznie jak w przypadku konieczności przeprowadzenia analizy ryzyka, obowiązek weryfikacji podmiotu przetwarzającego ma charakter ciągły. Zaniechanie przez administratora obowiązku ciągłej weryfikacji gwarancji, o których mowa w art. 28 ust. 1 rozporządzenia 2016/679, może bezpośrednio dotknąć osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu. Na konieczność ciągłości weryfikacji podmiotu przetwarzającego wskazują Wytyczne 07/2020, w których podnosi się, że „(…) 99: Obowiązek korzystania wyłącznie z usług podmiotów przetwarzających "zapewniających wystarczające gwarancje" zawarty w art. 28 ust. 1 RODO jest obowiązkiem ciągłym. Nie kończy się w momencie zawarcia umowy lub innego aktu prawnego przez administratora i podmiot przetwarzający. Administrator powinien raczej w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje (…)”.

90.

Wskazać zatem należy, że na podstawie art. 28 ust. 3 lit. h) rozporządzenia 2016/679 administrator ma prawo przeprowadzania audytów, w tym inspekcji, w podmiocie przetwarzającym. Celem tych działań administratora powinna być stała weryfikacja podmiotu przetwarzającego, czy ten wywiązuje się ze wszystkich obowiązków określonych w art. 28 ust. 3 rozporządzenia 2016/679. Stosowanie ww. środków związane jest z obowiązkiem administratora danych wynikającym z art. 28 ust. 1 rozporządzenia 2016/679. Oznacza to, że wykonywanie działań kontrolnych ma również potwierdzić, czy podmiot przetwarzający nadal zapewnia gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą.

91.

Mając zatem na uwadze, że weryfikacja podmiotu przewarzającego musi mieć charakter procesu ciągłego, brak okresowego i systematycznego przeprowadzania audytów bądź inspekcji prowadzi do sytuacji, w której administrator nie będzie posiadał wiedzy, czy podmiot przetwarzający realizuje swoje zadania zgodnie z wymogami przepisów prawa (oraz postanowieniami umowy powierzenia, jeśli została zawarta).

92.

Uprawnienia wynikające z art. 28 ust. 3 lit. h) rozporządzenia 2016/679 dają zatem administratorowi narzędzia, dzięki którym może zapewnić, że proces przetwarzania danych podlegających powierzeniu będzie zgodny z normami określonymi w rozporządzeniu 2016/679, a przedłożenie dowodów potwierdzających wykonanie takich działań kontrolnych – zgodnie z zasadą rozliczalności – może dowodzić, że administrator podjął działania mające na celu weryfikację podmiotu przetwarzającego, że ten wdrożył odpowiednie środki techniczne i organizacyjne, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Omawiane uprawnienie administratora należy traktować jako jeden z istotniejszych środków bezpieczeństwa, jakie powinien on zastosować w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 rozporządzenia 2016/679. Administrator powinien bowiem w czasie korzystania przez niego z usług podmiotu przetwarzającego dysponować wiedzą, czy i w jaki sposób podmiot, któremu powierzył przetwarzanie danych osobowych, spełnia wymogi określone w rozporządzeniu 2016/679.

93.

Administrator wskazał, w jaki sposób zweryfikował, czy dostawca usługi poczty elektronicznej zapewniał gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych dla spełnienia wymogów bezpieczeństwa procesu przetwarzania danych osobowych. Szczegółowy opis znajduje się w pkt VII uzasadnienia faktycznego. W ocenie Prezesa UODO proces weryfikacji podmiotu przetwarzającego polegający na pozyskaniu przez Administratora ogólnodostępnych informacji podanych przez podmioty świadczące usługę poczty elektronicznej (przy jednoczesnym braku zawarcia umowy powierzenia przetwarzania danych osobowych między Administratorem a podmiotem świadczącym tę usługę) był niewystarczający. Podkreślić należy, że Administrator nie przedstawił jakiegokolwiek dowodu potwierdzającego swoje wyjaśnienia. Moc dowodowa złożonych wyjaśnień jest zatem znikoma. W gruncie rzeczy nic nie wskazuje na to, by Administrator rzeczywiście sprawdził, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, nawet jeśliby te działania miały się sprowadzić wyłącznie do sprawdzenia takiego podmiotu na podstawie ogólnodostępnych informacji podanych przez podmioty świadczące usługę poczty elektronicznej. Konsekwentnie należy przyjąć, że Administrator nie spełnił wymogów określonych w art. 28 ust. 1 rozporządzenia 2016/679, co skutkuje naruszeniem przez niego tego przepisu.

94.

Dopiero po odpowiednio wnikliwym zbadaniu kompetencji i adekwatności wyboru podmiotu przetwarzającego (co stanowi również element oceny ryzyka związanego z przetwarzaniem danych osobowych), administrator może przystąpić do zawarcia stosownej umowy powierzenia. W Wytycznych 07/2020 podkreślono, że „(…) Wszelkie przetwarzanie danych osobowych przez podmiot przetwarzający musi być uregulowane umową lub innym aktem prawnym na mocy prawa Unii lub państwa członkowskiego zawartym między administratorem a podmiotem przetwarzającym, zgodnie z wymogami art. 28 ust. 3 RODO (…) Taki akt prawny ma formę pisemną, w tym formę elektroniczną (…) W związku z tym niepisanych umów [niezależnie od stopnia ich szczegółowości lub skuteczności] nie można uznać za wystarczające do spełnienia wymogów określonych w art. 28 RODO. Aby uniknąć jakichkolwiek trudności w wykazaniu, że umowa lub inny akt prawny faktycznie obowiązują, EROD zaleca dopilnowanie, aby w akcie prawnym znalazły się niezbędne podpisy, zgodnie z obowiązującym prawem [np. prawem zobowiązań] (…)”. W Wytycznych 07/2020 wyraźnie wskazano również konsekwencje braku zachowania odpowiedniej formy zawarcia umowy: „(…) Ponieważ rozporządzenie ustanawia wyraźny obowiązek zawarcia umowy na piśmie, w przypadku gdy nie obowiązuje żaden inny odpowiedni akt prawny, jej brak stanowi naruszenie RODO (…)” – przy czym zaznaczono również, iż „(…) można uznać, że relacja administrator-podmiot przetwarzający nadal istnieje w przypadku braku pisemnej umowy o przetwarzaniu danych. Oznaczałoby to jednak naruszenie art. 28 ust. 3 RODO”.

95.

Pomimo, iż art. 28 ust. 1 rozporządzenia 2016/679 wskazuje głównie na obowiązki administratora chcącego powierzyć przetwarzanie danych osobowych innemu podmiotowi, to w Wytycznych 07/2020 zaznaczono, że „(…) Zarówno administrator, jak i podmiot przetwarzający są odpowiedzialni za zapewnienie zawarcia umowy lub innego aktu prawnego regulującego przetwarzanie (…)”. Umowa jest bowiem czynnością prawną co najmniej dwustronną, a powaga czynności powierzenia przetwarzania danych osobowych wymaga zaangażowania wszystkich stron.

96.

Tymczasem w przedmiotowej sprawie nie sposób stwierdzić, by Administrator i dostawca usługi poczty elektronicznej dokonali choćby nieformalnych ustaleń, które obejmowały elementy wymienione w art. 28 ust. 3 rozporządzenia 2016/679. Podsumowując powyższe wskazać należy, że Administrator nie uwiarygodnił, że powierzając dane osobowe dostawcy poczty elektronicznej zawarł umowę powierzenia przetwarzania danych osobowych, która spełniałyby wymogi określone w art. 28 ust. 3 rozporządzenia 2016/679. Administrator nie uwiarygodnił także, że umowa ta została zawarta na piśmie, jak tego wymaga art. 28 ust. 9 rozporządzenia 2016/679. Oznacza to, że Administrator w tym zakresie naruszył art. 28 ust. 3 i 9 rozporządzenia 2016/679.

97.

Administrator (mimo wezwań organu nadzorczego) nie przedstawił dowodu potwierdzającego, że korzystał on z prawa przeprowadzenia kontroli, w tym inspekcji (art. 28 ust. 3 lit. h) rozporządzenia 2016/679), celem weryfikacji, czy dostawca usługi poczty elektronicznej gwarantuje, że wdrożone środki techniczne i organizacyjne zapewniają odpowiedni poziom bezpieczeństwa w procesie przetwarzania danych osobowych. W odpowiedzi na pytania organu nadzorczego dotyczących omawianej kwestii, Administrator stwierdził jedynie, że polityka prywatności została określona przez podmioty oferujące możliwość zakładania darmowych kont pocztowych oraz, że „w tym miejscu oraz w opisie parametrów bezpieczeństwa sprawdzano możliwość prowadzenia korespondencji”. Administrator nie uwiarygodnił zatem, że wykorzystał środki prawne umożliwiające mu bieżącą kontrolę podmiotu przetwarzającego, tak aby przetwarzanie danych osobowych było zgodne z wymogami określonymi w rozporządzeniu 2016/679.

98.

Brak regularnych audytów, w tym inspekcji, w podmiocie przetwarzającym oznacza zatem naruszenie przez Administratora nie tylko przepisu art. 28 ust. 1 rozporządzenia 2016/679, lecz także przepisu art. 25 ust. 1 rozporządzenia 2016/679, który obliguje go do wdrażania odpowiednich środków technicznych i organizacyjnych, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania. Ciągłość wpisana w ten obowiązek może więc w praktyce przejawiać się m.in. w konieczności zapewnienia regularnego monitoringu zastosowanych zabezpieczeń oraz prowadzenia stałego nadzoru nad podmiotem przetwarzającym poprzez np. audyty i inspekcje, o których mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679, i których w okolicznościach niniejszej sprawy zabrakło.

99.

Zgodnie z Wytycznymi 07/2020 wskazać należy, że: „135: Przechodząc do konkretnych obowiązków, podmiot przetwarzający ma obowiązek, po pierwsze, pomagać administratorowi w wywiązywaniu się z obowiązku przyjęcia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania. Chociaż może to w pewnym stopniu pokrywać się z wymogiem, zgodnie z którym podmiot przetwarzający sam przyjmuje odpowiednie środki bezpieczeństwa, w przypadku gdy operacje przetwarzania prowadzone przez podmiot przetwarzający wchodzą w zakres RODO, pozostają one dwoma odrębnymi obowiązkami, ponieważ jeden odnosi się do własnych środków podmiotu przetwarzającego, a drugi odnosi się do administratora danych. 138: Obowiązek pomocy nie polega na przeniesieniu odpowiedzialności, ponieważ obowiązki te są nakładane na administratora danych. Na przykład, chociaż ocena skutków dla ochrony danych może być w praktyce przeprowadzana przez podmiot przetwarzający, administrator pozostaje odpowiedzialny za obowiązek przeprowadzenia oceny, a podmiot przetwarzający jest zobowiązany do udzielenia pomocy administratorowi "w razie potrzeby i na żądanie". W związku z tym to administrator musi podjąć inicjatywę w celu przeprowadzenia oceny skutków dla ochrony danych, a nie podmiot przetwarzający”.

100.

Na nieprawidłowości związane z korzystaniem przez jednostki sektora publicznego (w tym szkoły) z poczty elektronicznej zwróciła uwagę także Najwyższa Izba Kontroli (dalej NIK). Zgodnie z informacją zawartą na stronie internetowej NIK^[29], przeprowadzona została kontrola dotycząca wykorzystywania poczty elektronicznej przez jednostki sektora publicznego (w tym placówki oświatowe). NIK wskazuje, że „(…) Kontrola wykazała wieloletnie zaniedbania związane z ochroną danych osobowych, nieświadomość zagrożeń, brak jednoznacznych wytycznych – wybrane elementy systemu ochrony danych osobowych w jednostkach samorządowych były w złym stanie. W rezultacie kontroli prowadzonych przez inspektorów NIK wyeliminowano korzystanie (niekiedy kilkunastoletnie) z adresów mailowych utworzonych w domenach komercyjnych bez zawarcia wymaganych rozporządzeniem RODO umów powierzenia przetwarzania danych osobowych (…) Z analizy wynika, że 43% placówek oświatowych, 32% publicznych zakładów opieki zdrowotnej oraz 28% ośrodków pomocy społecznej na co dzień wykorzystuje główne adresy mailowe w domenach komercyjnych np. (…), (…), (…). Może to nie tylko świadczyć o braku zawarcia z właścicielami tych domen stosownych umów zabezpieczających administratorów danych osobowych przed bezpodstawnym przetwarzaniem, ale również może powodować niskie zaufanie do instytucji publicznych (…) Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Wskazuje to na ryzyko, że dziennie na takie adresy mailowe może wpływać tysiące wiadomości, w tym część z nich zawierających dane osobowe szczególnie chronione. Stąd też postępowanie kontrolne rozszerzone zostanie na wszystkie jednostki samorządowe w kraju. Ma ono wyeliminować nieprawidłowości i zagwarantować pozytywne zmiany w usługach publicznych, w całym sektorze samorządowym. Znamienne jest, że niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy mailowe otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych, co wskazuje na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów w sposób odpowiedni zabezpieczających dane osobowe obywateli. (…)”

101.

Podsumowując powyższe rozważania wskazać należy, że decyzja komu administrator miałby powierzyć przetwarzanie danych osobowych nie może być podejmowana bezpodstawnie. Konsekwencje podjęcia pochopnej decyzji, braku odpowiedniej formy czy treści umowy powierzenia, lub zaniedbania obowiązku ciągłej weryfikacji przez administratora gwarancji, o których mowa w art. 28 ust. 1 rozporządzenia 2016/679, mogą bowiem dotknąć bezpośrednio osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu. Ochronie tych praw służą konsekwentnie wymagania stawiane w art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679, stąd ich naruszenie musi wiązać się z odpowiednią do konkretnych okoliczności reakcją organu nadzorczego.

V. Obowiązek prowadzenia regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa przetwarzania danych osobowych. Naruszenie art. 32 ust. 2 lit. d) rozporządzenia 2016/679.

102.

Kontynuując rozważania dotyczące środków bezpieczeństwa, należy pamiętać, że rola administratora nie ogranicza się tylko do jednorazowego opracowania i wdrożenia środków organizacyjnych i technicznych mających zapewnić przetwarzanie danych osobowych zgodne z zasadami wyrażonymi w rozporządzeniu 2016/679. Konieczność bieżącej weryfikacji adekwatności tych środków jest szczególnie ważna w przypadku przetwarzania danych osobowych w formie elektronicznej, w szczególności, gdy dane osobowe przetwarzane są z wykorzystaniem bezpłatnej usługi poczty elektronicznej.

103.

Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora i podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Każdy z nich zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych, na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk i proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, świadomie zaplanowany, zorganizowany i udokumentowany (w związku z zasadą rozliczalności – art. 5 ust. 2 rozporządzenia 2016/679) w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych.

104.

Nowe ryzyka lub zagrożenia mogą zmaterializować się lub zostać ujawnione również samoistnie, w sposób całkowicie niezależny od administratora i jest to fakt, który również powinien być brany pod uwagę zarówno podczas budowania systemu ochrony danych osobowych, jak i w czasie jego realizowania. To zaś z kolei definiuje konieczność prowadzenia regularnej weryfikacji całego systemu ochrony danych osobowych zarówno pod kątem adekwatności, jak i skuteczności wdrożonych rozwiązań organizacyjnych i technicznych. Badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt niewystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.

105.

Na konieczność realizacji przez administratorów i pomioty przetwarzające omawianego obowiązku zwrócił również uwagę Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z 21 października 2021 r., sygn. akt II SA/Wa 272/21, wskazał, że „(…) rację miał również Prezes UODO, wskazując w uzasadnieniu zaskarżonej decyzji, że brak w przyjętych przez Spółkę procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych przyczynił się do wystąpienia naruszenia ochrony danych osobowych. Trafnie także wskazuje organ, że w postępowaniu wykazano, że Spółka nie przeprowadzała testów nastawionych na weryfikację zabezpieczeń aplikacji (…) oraz WebAPI systemu (…), dotyczących podatności systemu informatycznego związanej z zaistniałym naruszeniem danych osobowych (…) dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające. Spółka bowiem, jak wynika ze zgromadzonego materiału, mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów wdrożonego przez Spółkę systemu (…) Nie sposób w tym kontekście zakwestionować więc ocen Prezesa UODO, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d RODO (…)”. Z kolei w wyroku z 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22, Wojewódzki Sąd Administracyjny w Warszawie wskazał, że „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO)”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23.

106.

Odnosząc powyższe rozważania do przedmiotowej sprawy wskazać należy, że Prezes UODO przeanalizował prawidłowości przestrzegania przez Administratora jego obowiązku wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679. W toku niniejszego postępowania Administrator unikał odpowiedzi na konkretnie zadane pytania Prezesa UODO dotyczące omawianego zagadnienia. Brak realizacji obowiązku prowadzenia regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa przetwarzania danych osobowych argumentował tym, że obsługą informatyczną G. (…) zajmowały się podmioty trzecie. Z jednej strony Administrator deklarował, że „(…) dokonywał regularnego [raz w roku] oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych za pomocą poczty elektronicznej, przeprowadzając analizę ryzyka w tym zakresie (…)”, a z drugiej strony nie przedstawił ani analizy ryzyka (o której przedstawienie wielokrotnie był proszony) ani dowodów potwierdzających, że regularnie oceniał skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych za pomocą poczty elektronicznej.

107.

Administrator przedłożył jedynie wniosek z 9 lipca 2020 r., skierowany do podmiotu trzeciego o „(…) przeprowadzenie audytu dotyczącego: skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych za pośrednictwem kont pocztowych w działach: (…)(…)” oraz dokument o nazwie „Raport (…)” z 5 listopada 2020 r. (pod którym sam się podpisał). Pomijając wątpliwą rzetelność tego audytu wskazać należy, że działanie te zostały przeprowadzone dopiero po wystąpieniu incydentu bezpieczeństwa (dokładny opis przebiegu korespondencji został opisany w pkt VIII uzasadnienia faktycznego).

108.

Administrator uwiarygodnił, że rzeczywiste działania w zakresie regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa przetwarzania danych osobowych podjął po nawiązania współpracy z H. (…) ((…)-(…) T., ul. (…)). Podmiot ten przeprowadził pierwszy audyt 11 października 2021 r. Wobec tego, w ocenie Organu nadzorczego stan naruszenia zakończył się po tej dacie.

109.

Biorąc pod uwagę okoliczności przedmiotowej sprawy wskazać należy, że w związku z tym, że przed wystąpieniem naruszenia ochrony danych osobowych Administrator nie badał regularnie skuteczności wprowadzonych przez siebie środków organizacyjnych i technicznych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, a także nie uwiarygodnił, że podjął działania kontrolne wobec podmiotu świadczącego bezpłatną usługę poczty elektronicznej, nie spełnił on obowiązku prowadzenia regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa przetwarzania danych osobowych, a co za tym idzie naruszył art. 32 ust. 1 lit. d) rozporządzenia 2016/679.

VI. Obowiązek przestrzegania zasady rozliczalności. Naruszenia art. 5 ust. 2 rozporządzenia 2016/679.

110.

Kolejną kwestią, którą należy podnieść, jest konieczność przestrzegania zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. W orzecznictwie wskazuje się, że „(…) rozporządzenie 2016/679 nie przesądza jednak o tym, jak administrator powinien realizować obowiązki wynikające z zasady rozliczalności zawartej w art. 5 ust. 2 ww. rozporządzenia, niemniej jednak wskazuje na konieczność rozliczania się z przestrzegania przepisów, raportowania ich realizacji oraz przedstawiania dowodów świadczących o prawidłowym wykonywaniu obowiązków. Zasada rozliczalności zobowiązuje administratorów do demonstrowania podjęcia wszelkich środków mających na celu zapewnienie zgodności z obowiązkiem ochrony danych osobowych. W świetle ww. zasady to administrator, a nie organ nadzorczy zajmujący się ochroną danych osobowych, odpowiada za opracowanie, aktualizowanie i utrzymywanie wszystkich procedur i dokumentów związanych z ochroną danych osobowych, a także za stworzenie możliwości dowodowych wykazujących zgodność przetwarzania z przepisami (…)” (wyrok WSA w Warszawie z 1 lutego 2022 r., sygn. II SA/Wa 2106/21, LEX nr 3392761). Powyższe potwierdza orzeczenie WSA w Warszawie z 10 lutego 2021 r., sygn. II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności interpretuje WSA w Warszawie w wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 (utrzymanym w mocy wyrokiem Naczelnego Sądu Administracyjnego z 28 lutego 2024 r., sygn. akt III OSK 3839/21): „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679.”

111.

W przedmiotowej sprawie – wobec nieprzeprowadzenia przed wystąpieniem naruszenia ochrony danych osobowych analizy ryzyka dla operacji przetwarzania danych osobowych w związku z korzystaniem z bezpłatnej usługi poczty elektronicznej przez podmiot trzeci, która uwzględniałaby zagrożenia związane z możliwością uzyskania dostępu do tej poczty przez osobę nieuprawnioną, a także wobec faktu, że Administrator nie podjął odpowiednich działań w ramach regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania – Administrator nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, wbrew nie tylko obowiązkom wynikającym z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, ale także zasadzie rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.

VII. Obowiązek zawiadomienia osób o naruszeniu ochrony danych osobowych. Naruszenia art. 34 ust. 1 rozporządzenia 2016/679.

112.

Zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Art. 34 ust. 2 rozporządzenia 2016/679 stanowi, że zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679. Wobec powyższego zawiadomienie powinno zawierać:

–

imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;

–

opis możliwych konsekwencji naruszenia ochrony danych osobowych;

–

opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

113.

Zgodnie z art. 34 ust. 3 rozporządzenia 2016/679 zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach: a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych; b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1; c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

114.

Podkreślić należy, że w sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest na podstawie art. 34 ust. 1 rozporządzenia 2016/679 bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Oznacza to, że administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować o nim organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw lub wolności również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej. W motywie 86 rozporządzenia 2016/679 wyjaśniono: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.

115.

Z powyższego wynika, że w przypadku wystąpienia naruszenia ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator jest zobowiązany do zawiadomienia osób, których dane zostały naruszone. Zawiadomienie to powinno zawierać wszystkie elementy wskazane w art. 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679. W przedmiotowej sprawie, z uwagi na zakres naruszonych danych osobowych (por. pkt I opisu stanu faktycznego), wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, których dane dotyczyły. Przyznał to również sam Administrator, wskazując ten fakt w zgłoszeniu naruszenia ochrony danych osobowych do organu nadzorczego.

116.

Jak wskazuje EROD w Wytycznych 09/2022 dotyczących zgłaszania naruszenia ochrony danych osobowych na podstawie RODO^[30], naruszenie ochrony danych osobowych może potencjalnie wywołać szereg negatywnych skutków dla osób fizycznych, których dane są przedmiotem naruszenia. Wśród możliwych skutków naruszenia EROD wymienia: uszczerbek fizyczny, szkody materialne lub niemajątkowe. Jako przykłady takich szkód wymienione są m.in.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna. W niniejszej sprawie nie ulega wątpliwości, że z uwagi na zakres danych objętych przedmiotowym naruszeniem ochrony danych osobowych (w tym numer ewidencyjny PESEL wraz z imieniem i nazwiskiem oraz adresem zamieszkania lub pobytu) istnieje wysokie prawdopodobieństwo wystąpienia wymienionych powyżej szkód, co oznacza, że z ww. naruszeniem ochrony danych osobowych wiąże się wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Nie ulega również wątpliwości, że zakres danych osobowych, który został objęty naruszeniem ochrony danych osobowych, pozwala na jednoznaczną identyfikację osób, których te dane dotyczą.

117.

Przede wszystkim należy podkreślić, że zaistniałe naruszenie ochrony danych osobowych dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679 – będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającego. Numer PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Numer PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie. Takie zestawienie danych bywa wystarczające do „podszycia się” pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych (vide: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci, gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”). W ocenie ryzyka kluczowym czynnikiem jest rodzaj i wrażliwość danych osobowych ujawnionych w wyniku naruszenia ochrony danych osobowych. W Wytycznych 09/2022 podkreślono, że zbiór różnych danych osobowych ma zazwyczaj bardziej wrażliwy charakter niż pojedyncze dane.

118.

Warto w tym miejscu przytoczyć jeden z przykładów znajdujących się w Wytycznych 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych^[31], dalej Wytyczne 01/2021 (przypadek nr 14, s. 31), odnoszący się do sytuacji „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”. W opisanym w ww. wytycznych przypadku doszło do ujawnienia numeru ubezpieczenia społecznego, będącego odpowiednikiem stosowanego w Polsce numeru PESEL. W przypadku tym EROD nie miała wątpliwości, że ujawnione dane w zakresie: imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego, wskazują na wysokie ryzyko naruszenia praw lub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”). EROD dostrzega wagę krajowych numerów identyfikacyjnych (w tym przypadku numeru PESEL), podkreślając jednocześnie, że tego typu naruszenie ochrony danych osobowych, a więc obejmujące swym zakresem dane w postaci: imienia i nazwiska, adresu e-mail, adresu korespondencyjnego oraz numeru ubezpieczenia społecznego, wymaga realizacji działań, tj.: powiadomienia organu nadzorczego oraz zawiadomienia o naruszeniu osób, których dane dotyczą.

119.

Europejska Rada Ochrony Danych nie ma najmniejszych wątpliwości, że indywidualnie nadany numer jednoznacznie identyfikujący osobę fizyczną powinien podlegać szczególnej ochronie, a jego ujawnienie nieuprawnionym podmiotom może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

120.

Na fakt, że dane jednoznacznie identyfikujące osobę fizyczną mogą powodować wysokie ryzyko naruszenia praw lub wolności EROD wskazuje również w innych przykładach podanych w Wytycznych 01/2021. W pkt 65 i 66 Wytycznych 01/2021 wskazano: „(…) Naruszone dane pozwalają na jednoznaczną identyfikację osób, których dane dotyczą, i zawierają inne informacje na ich temat (w tym płeć, datę i miejsce urodzenia), ponadto mogą być wykorzystywane przez atakującego do odgadnięcia haseł klientów lub do przeprowadzenia kampanii spear phishingowej skierowanej do klientów banku. Z tych powodów uznano, że naruszenie ochrony danych prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności wszystkich osób, których dane dotyczą. W związku z tym możliwe jest wystąpienie szkód materialnych (np. strat finansowych) i niematerialnych (np. kradzieży tożsamości lub oszustwa)”.

121.

Podobnych wątpliwości (że ujawnienie numeru PESEL wraz z innymi danymi osobowymi może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych) nie miał również Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z 22 września 2021 r., sygn. akt II SA/Wa 791/21 (utrzymanym przez NSA wyrokiem z 20 marca 2025 r., sygn. akt III OSK 210/22), stwierdził, że „Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe – w niektórych przypadkach łącznie z numerem ewidencyjnym Pesel lub serią i nr dowodu osobistego – zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem”. Dalej Sąd w przywołanym orzeczeniu wskazał, że „Dane zostały bowiem udostępnione nieuprawnionym osobom, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych obejmujących w niektórych przypadkach również numer ewidencyjny PESEL lub serię i nr dowodu osobistego przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.”

122.

Rozważając powyższe kwestie należy przywołać również stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie wyrażone w wyroku z 1 lipca 2022 r. wydanym w sprawie o sygn. II SA/Wa 4143/21. W uzasadnieniu tego wyroku Sąd stwierdził, iż: „Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku - numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą. Dlatego też Bank w przedmiotowej sprawie powinien był bez zbędnej zwłoki, stosownie do art. 34 ust. 1 RODO, zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych” (podkreślenie własne). Wskazać również należy na wyrok z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, w którym WSA w Warszawie podkreślił, że „(…) organ trafnie przyjął, iż wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych przedmiotowym naruszeniem z uwagi na możliwość łatwej, w oparciu o ujawnione dane, identyfikacji osób, których dane zostały objęte naruszeniem. Dane te bowiem to imię i nazwisko, adres do korespondencji, numer telefonu, numer PESEL osób posiadających polskie obywatelstwo. W tej sytuacji administrator zobowiązany był do zawiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu”. Podobnie wypowiedział się WSA w Warszawie w wyrokach z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22, 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23, 6 listopada 2023 r., sygn. akt II SA/Wa 996/23 oraz z 7 listopada 2024 r., sygn. II SA/Wa 178/24.

123.

W świetle powyższego warto przywołać także wyrok NSA z 6 grudnia 2023 r., sygn. akt III OSK 2931/21: „Prezes UODO prawidłowo ustalił, iż doszło do udostępnienia danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych, których ujawnienie zawsze może rodzić ryzyko negatywnych skutków dla ww. osób. Podobnie adresy zamieszkania są to dane osobowe, których nieuprawnione udostępnienie stwarza prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych niezależnie od tego, iż do ujawnienia adresów doszło po kilku latach od ich aktualizacji”.

124.

Z raportu infoDOK^[32] (który przygotowywany jest w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i Administracji i we współpracy m.in. z Policją oraz Federacją Konsumentów), wynika, że w IV kwartale 2024 r. odnotowano 2 661 prób wyłudzeń kredytów i pożyczek, na kwotę 80 mln zł. W ciągu ostatnich dwunastu miesięcy natomiast łączna kwota udaremnionych prób wyłudzeń kredytów wynosi 324,2 mln zł.

125.

Ponadto, jak wynika z orzecznictwa sądowego, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna. Tytułem przykładu można wskazać na wyrok Sądu Rejonowego w Łęczycy z 27 lipca 2016 r. (sygn. akt I C 566/15), w którym oszuści biorący pożyczkę na cudze dane posłużyli się nr PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym). W uzasadnieniu ww. wyroku Sąd stwierdził, że: „Przeprowadzone postępowanie dowodowe oraz analiza dokumentów, załączonych przez stronę powodową, skutkuje tym, iż można jednoznacznie stwierdzić, że w rozpoznawanej sprawie pozwana nie była stroną umowy pożyczki, zawartej w dniu 5 maja 2014 r. Wprawdzie przy jej zawarciu posłużono numerem PESEL pozwanej J. R., lecz wskazane miejsce zamieszkania nie odpowiada miejscu zamieszkania pozwanej. Pozwana J. R. nigdy nie mieszkała w W. Kwota pożyczki została przelana na konto, którego posiadaczem nie była pozwana. W dacie zawarcia umowy pożyczki dowód osobisty nr (…) utracił ważność z dniem 15 marca 2014 r. Nie jest zgodny także numer telefonu komórkowego, wskazany na umowie pożyczki i jej załącznikach z faktycznymi numerami telefonów, jakimi posługiwała się i posługuje pozwana”.

126.

W innej sprawie (I C 693/16) Sąd Rejonowy w Zgierzu w wyroku z 4 listopada 2016 r. orzekł: „Dane osobowe pozwanego w postaci jego imienia i nazwiska i numeru PESEL, które były zgodne z danymi pozwanego nie świadczyły o tym, że pozwany złożył w dniu 17 grudnia 2014 r. oświadczenie woli o zawarciu umowy pożyczki. Nie wykluczone jest bowiem aby osoba, która w sposób niepowołany uzyskała dostęp do danych osobowych pozwanego zawarła na jego rachunek umowę pożyczki ze spółką (…) sp. z o.o. S.K.A. z siedzibą w W. W przedmiotowej sprawie pozwany wykazał iż nigdy nie mieszkał pod adresem wskazanym w umowie pożyczki oraz aby numer telefonu, adres e-mail za pomocą którego zarejestrowano się na stronie internetowej i złożono wniosek o zawarcie pożyczki do niego należały”.

127.

Spraw związanych z wyłudzeniami kredytów, gdzie nieznane osoby dysponują zazwyczaj jedynie imieniem i nazwiskiem oraz prawidłowym numerem PESEL (pozostałe dane są nieprawdziwe), jest wciąż bardzo wiele, co potwierdzają wydawane przez sądy wyroki w tych sprawach. Poniżej kilka przykładowych:

–

wyrok Sądu Rejonowego dla Łodzi-Widzewa w Łodzi z 13 sierpnia 2020 r. w sprawie o sygn. akt II C 1145/19, w której nieznana pozwanemu osoba trzecia weszła bezprawnie w posiadanie jego numeru PESEL oraz numeru dowodu osobistego, zaś pozostałe dane adresowe - wskazane w umowie pożyczki - były nieprawdziwe - „W ocenie Sądu zaoferowany przez stroną pozwaną materiał dowodowy - zwłaszcza dokumenty z akt sprawy karnej toczącej się przed Sądem Rejonowym w Tarnowskich Górach o sygnaturze akt VI K 383/16 - świadczą o tym, iż umowę pożyczki z dnia 8 listopada 2014 r. zawarła osoba trzecia, posługująca się niektórymi danymi osobowymi Z. A. Podała ona fałszywy adres zamieszkania, pod którym pozwany nigdy nie zamieszkiwał, zaś kwota pożyczki została przelana na rachunek bankowy, który nie należał do Z. A. […] zaś numer dowodu osobistego podany w tej umowie był numerem dowodu, którym pozwany już się nie posługiwał w dacie zawarcia umowy pożyczki, gdyż dowód ten stracił ważność około 8 miesięcy wcześniej”;

–

wyrok Sądu Rejonowego w Piszu z 21 sierpnia 2020 r., sygn. akt I C 260/20 – „[…] Sąd ustalił, że przy zawieraniu przedmiotowej umowy, w sposób nieuprawniony posłużono się danymi pozwanego i wpisano je, jako dane pożyczkobiorcy, przy czym to nie pozwany był stroną umowy. Stanowisko pozwanego znajduje potwierdzenie w zgłoszonym przez niego zawiadomieniu o popełnieniu przestępstwa oszustwa na jego szkodę, jak również w fakcie, że prokuratura prowadzi postępowanie w tej sprawie przeciwko wskazanej przez pozwanego osobie. Na marginesie należy zauważyć, że także w ramach toczących się przed tutejszym sądem postępowań o zapłatę sygn. akt I C 1/19 i I C 482/19, gdzie E. M. także występował w charakterze pozwanego, i gdzie doszło do zaciągnięcia na jego imię i nazwisko zobowiązań finansowych w takich samych okolicznościach, co w ramach niniejszego postępowania, również zapadły prawomocne wyroki oddalające powództwo. W ocenie sądu okoliczności zawarcia umowy z powodem, gdzie tożsame jest pierwsze imię i nazwisko pożyczkobiorcy oraz jego numer PESEL, zaś istnieje rozbieżność co do pozostałych danych wynikających z treści dowodu osobistego pozwanego tj. serii i numeru tego dokumentu, adresu zamieszkania, przy uwzględnieniu faktu prowadzenia procesu karnego w stosunku do osoby, która miała podszyć się pod pozwanego, celem zawierania na odległość umów i zaciągania zobowiązań finansowych w różnych instytucjach, wskazują jednoznacznie, iż to nie pozwany zawarł z poprzednikiem prawnym powoda umowę pożyczki nr (…)”;

–

wyrok Sądu Rejonowego w Puławach z 7 kwietnia 2022 r. w sprawie o sygn. akt I C 475/19, w której Sąd jednoznacznie przyznał, iż „[…] dowodu pozwalającego na weryfikację pozwanego jako strony przedmiotowej umowy nie stanowi samo wskazanie jego danych osobowych: imienia nazwiska, numeru PESEL, a także serii i numeru dowodu osobistego w treści umowy - w szczególności w sytuacji, gdy pożyczka zawierana jest za pośrednictwem platformy internetowej, a więc co oczywiste, pożyczkodawca nie ma możliwości niejako bezpośredniej weryfikacji tożsamości drugiej strony, a sama umowa nie zostaje potwierdzona podpisem pożyczkobiorcy”.

128.

W tym kontekście należy przypomnieć, że krajowy ustawodawca dał możliwość zastrzeżenia numeru identyfikacyjnego PESEL, i czego prawne konsekwencje obowiązują od 1 czerwca 2025 r. Oznacza to zatem, że prawodawca dostrzegł niebezpieczeństwa dla osób, których dane dotyczą, związane z możliwością posłużenia się ich numerem PESEL niezgodnie z prawem.

129.

Trzeba mieć także na uwadze, że prawidłowe wykonanie przez Administratora jego obowiązku wynikającego z art. 34 ust. 1 rozporządzenia 2016/679, związane m.in. z koniecznością przekazania w ramach zawiadomienia o naruszeniu ochrony danych osobowych wszystkich wymaganych informacji, stosownie do art. 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679, nie może być uzależniane od zaistnienia naruszenia praw lub wolności tej osoby w wyniku materializacji możliwych negatywnych konsekwencji naruszenia (por. wyroki WSA w Warszawie z 22 września 2021 r., sygn. II SA/Wa 791/21, utrzymanym przez NSA wyrokiem z 20 marca 2025 r., sygn. akt III OSK 210/22, z 1 lipca 2022 r., sygn. akt II SA/Wa 4143/21, z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 i z 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22).

130.

Jednocześnie należy wskazać, że w niniejszej sprawie nie zostały spełnione przesłanki, o których mowa w art. 34 ust. 3 rozporządzenia 2016/679, chociażby z uwagi na fakt, że osoby, których dane dotyczącą, otrzymały wiadomość e-mail wysłaną z fałszywej skrzynki pocztowej. Oznacza to, że stosowane przez Administratora zabezpieczenia okazały się nieskuteczne, a tym samym nie gwarantowały ochrony poufności danych przetwarzanych w ramach skrzynki poczty elektronicznej.

131.

Administrator zamieścił na swojej stronie internetowej komunikat dotyczący naruszenia ochrony danych osobowych oraz przesłał zawiadomienie za pośrednictwem e-mail i poczty dziennika elektronicznego. Komunikat ten był jednak lakoniczny i pozbawiony kluczowych informacji, natomiast wiadomość e-mail oraz ta przesłana pocztą dziennika elektronicznego również nie zawierała wymaganych elementów, o których mowa w art. 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679. W omawianym przypadku Administrator nie wskazał:

–

imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji,

–

możliwych konsekwencji naruszenia ochrony danych osobowych,

–

środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

132.

Powyższe oznacza, że Administrator nie przekazując osobom, których dane zostały naruszone, wszystkich wymaganych informacji nie wypełnił obowiązku wynikającego z art. 34 ust. 1 rozporządzenia 2016/679.

VIII. Podsumowanie stwierdzonego naruszenia przepisów rozporządzenia 2016/679

133.

Dokonane ustalenia nie dają zatem podstawy do stwierdzenia, że stosowane przez Administratora środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych. Jak już wskazano w uzasadnieniu, Administrator nie wykazał, że zawarł umowę powierzenia przetwarzania danych osobowych z podmiotem świadczącym bezpłatną usługę poczty elektronicznej, nie weryfikował również adekwatności środków technicznych i organizacyjnych wdrożonych przez ten podmiot, które miały zapewnić bezpieczeństwo w procesie przetwarzania danych osobowych, co skutkuje naruszeniem przez Administratora art. 28 ust. 1, 3 i 9 rozporządzenia 2016/679.

134.

Administrator nie przeprowadził analizy ryzyka dla przedmiotowego procesu przetwarzania danych osobowych, a w konsekwencji nie wdrożył adekwatnych środków technicznych i organizacyjnych mających gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych przy użyciu poczty elektronicznej. Co więcej, przed wystąpieniem naruszenia ochrony danych osobowych nie podjął odpowiednich działań w ramach regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa przetwarzania danych osobowych, a tym samym naruszył art. 32 ust. 1 i 2 rozporządzenia 2016/679.

135.

Obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi rozporządzenia 2016/679, zostały nałożone na Administratora (i tylko na Administratora) przepisami art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679. Wobec braku zastosowania przez G. (…) adekwatnych środków bezpieczeństwa, o czym wyżej mowa, uznać należy, że Administrator naruszył także i te przepisy rozporządzenia 2016/679. Konsekwencją zaś ich naruszenia jest konieczność stwierdzenia, że naruszona została również przez Administratora zasada poufności wyrażona w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a w konsekwencji również zasada rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.

136.

Ponadto, w związku z faktem, że Administrator nie zawiadomił prawidłowo osób objętych naruszeniem ochrony danych osobowych naruszył on także art. 34 ust. 1 rozporządzenia 2016/679.

137.

Prawidłowe i skuteczne zabezpieczenie danych osobowych zostało w rozporządzeniu 2016/679 podniesione do rangi ogólnej zasady, co świadczy o tym, że kwestia zapewnienia poufności danych powinna być traktowana w sposób szczególny i priorytetowy przez Administratora. Tymczasem, jak już wykazano w uzasadnieniu niniejszej decyzji Administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych, co doprowadziło do naruszenia ich poufności w związku z wystąpieniem naruszenia ochrony danych osobowych.

138.

Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz, że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez Administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości.

IX. Uzasadnienie udzielenia upomnień

139.

W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, 3 i 9 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, a także upomnienia za naruszenie przepisu art. 34 ust. 1 rozporządzenia 2016/679.

140.

Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

141.

Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie Administratorowi upomnienia za stwierdzone naruszenia. Za okoliczność łagodzącą, która, między innymi, za tym przemawia, Prezes UODO uznał fakt wprowadzenia przez Administratora pewnych zmian mających na celu zapewnienie zgodności jego działań z przepisami o ochronie danych osobowych. Zmiany te dotyczyły np. zasad dostępu do skrzynki e-mail znajdującej się obecnie w domenie (…) – w ich wyniku, pracownicy logują się do niej przy użyciu indywidualnych haseł do własnych kont. Ponadto, należy wziąć pod uwagę, że – pomimo upływu stosunkowo długiego czasu od 1 czerwca 2020 r., gdy w okolicznościach wskazujących na naruszenie przez Administratora przepisów o ochronie danych osobowych doszło do naruszenia ochrony danych osobowych (nieobejmującego szczególnych kategorii danych wymienionych w art. 9 i 10 rozporządzenia 2016/679) – nie stwierdzono, by osoby, których danych dotyczyło zaistniałe wówczas naruszenie, poniosły na skutek uchybień Administratora faktyczną szkodę.

142.

Powyższe okoliczności uzasadniają zastosowanie wobec Administratora takich środków naprawczych w związku ze stwierdzonymi naruszeniami przepisów rozporządzenia 2016/679 – mając na względzie możliwość uniknięcia podobnych zdarzeń w przyszłości.

143.

Niezależnie od zastosowanego wobec Administratora za stwierdzone w niniejszej decyzji naruszenia przepisów o ochronie danych osobowych środka z art. 58 ust. 2 lit. b) rozporządzenia 2016/679, Prezes UODO zastosował wobec Administratora środek naprawczy w postaci nakazu dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679 w terminie 3 miesięcy od dnia doręczenia niniejszej decyzji poprzez przeprowadzenie analizy ryzyka dla operacji przetwarzania danych osobowych przy wykorzystaniu poczty elektronicznej, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, i na jej podstawie wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych w takich systemach informatycznych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

144.

Należy zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji