Decision logo
Warszawa, 18 lutego 2026nieprawomocna

Decyzja DKN.5131.37.2021

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego[1] (dalej: „k.p.a.”), art. 7 ust. 1 i 2, art. 60, art. 101 oraz art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych[2] (dalej: „u.o.d.o.”), a także art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. b) w związku z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych, dalej: „rozporządzenie 2016/679”)[3],
po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez F. (…) (dalej także: „Administrator” lub „F.”), Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO” lub „organ nadzorczy”):
stwierdzając naruszenie przez Administratora przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst, cele przetwarzania i ryzyko naruszenia praw lub wolności osób fizycznych, w tym ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,
skutkującym naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679),
udziela Administratorowi upomnienia.

Uzasadnienie

I. Informacje wstępne

1.
10 lutego 2021 roku F. dokonał Prezesowi UODO wstępnej notyfikacji naruszenia ochrony danych osobowych (zarejestrowanego pod sygnaturą DKN.5130.1100.2021), które zostało uzupełnione zgłoszeniem nadesłanym 8 czerwca 2021 r.
2.
Zgłoszone naruszenie ochrony danych osobowych (zwane dalej „incydentem”) polegało na przełamaniu zabezpieczeń systemów informatycznych Z. (…) (dalej: „Z.”) i zainfekowaniu ich złośliwym oprogramowaniem typu ransomware[4] o nazwie X. (…), skutkującym naruszeniem dostępności zgromadzonych w nich danych osobowych[5] dotyczących (…) osób fizycznych[6]. Na podstawie przeprowadzonego postępowania wyjaśniającego dotyczącego przedmiotowego incydentu Administrator nie stwierdził, aby w jego wyniku doszło również do naruszenia poufności danych ww. osób.
3.
Przedmiotowe zgłoszenia naruszenia ochrony danych osobowych stały się dla Prezesa UODO impulsem do weryfikacji prawidłowości realizacji przez F. obowiązków spoczywających na nim jako administratorze. W związku z tym Prezes UODO zainicjował działania mające na celu zbadanie nie tylko okoliczności incydentu, ale także zgodności przetwarzania[7] przez F. danych osobowych objętych naruszeniem z przepisami o ochronie danych osobowych, tj. rozporządzeniem 2016/679 i u.o.d.o.
4.
Przedmiot niniejszego postępowania administracyjnego stanowiło zatem zbadanie możliwości naruszenia przez Administratora przepisów o ochronie danych osobowych w postaci naruszenia m.in. art. 32 ust. 1 i 2 rozporządzenia 2016/679, nie zaś ustalenie przyczyn wystąpienia incydentu i wynikająca z tego faktu ewentualna odpowiedzialność Administratora.
5.
W konsekwencji przeprowadzonego na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679 postępowania wyjaśniającego, Prezes UODO, 5 sierpnia 2021 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Administratora przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. Postępowanie w sprawie zostało zarejestrowane pod sygnaturą DKN.5131.37.2021.

II. Stan faktyczny.

6.
Organ nadzorczy pismami z 20 kwietnia 2021 roku, 5 sierpnia 2021 roku, 10 września 2021 roku, 17 marca 2025 roku oraz 11 kwietnia 2025 roku zwrócił się do Administratora o złożenie dodatkowych wyjaśnień, których F. udzielił w pismach z 4 maja 2021 roku, 19 sierpnia 2021 roku, 16 września 2021 roku, 31 marca 2025 roku i 25 kwietnia 2025 roku.
7.
W oparciu o materiał dowodowy zgromadzony w ramach zgłoszeń naruszenia ochrony danych osobowych, dodatkowych wyjaśnień przekazanych przez Administratora, odnoszących się do incydentu oraz w toku postępowania administracyjnego Prezes UODO dokonał następujących ustaleń dotyczących stanu faktycznego:

A. Charakter incydentu.

8.
Incydent miał miejsce (…) 2021 r. i został stwierdzony przez Administratora dnia następnego. Polegał on na „(…) nieuprawnionym zaszyfrowaniu danych Z. złośliwym oprogramowaniem z jednoczesnym żądaniem okupu za odszyfrowanie. Przedmiotem ataku była infrastruktura serwerowa i kliencka Z. oparta o system Q. (serwery wirtualne i fizyczne), w tym m.in. serwer poczty, plików, baz danych, backupu, jak i stacje końcowe”[8].
9.
Przedmiotowe naruszenie ochrony danych osobowych dotyczyło (…) osób fizycznych (zob. pkt 5 formularza zgłoszenia uzupełniającego). Dane tych osób przetwarzane były w powyższych systemach w szerokim zakresie, obejmującym w szczególności następujące kategorie: numer PESEL, seria i numer dowodu osobistego, imiona i nazwiska, nazwisko rodowe matki, dane dotyczące zarobków lub posiadanego majątku, dane zawarte w wypisie z rejestru gruntów, numer księgi wieczystej posiadanej nieruchomości, dane zawarte w akcie notarialnym, dane dotyczące zdrowia, dane dotyczące wyroków skazujących, dane dotyczące czynów zabronionych, dane o poglądach politycznych, nazwa użytkownika lub hasło, informacja o potrąceniach na składkę na związki zawodowe działające w Z. oraz wizerunek (pełny wykaz kategorii danych osobowych objętych naruszeniem przedstawiony został w załączniku nr 5 do zgłoszenia uzupełniającego).
10.
F. poinformował, że skutkiem incydentu była „(…) utrat[a] dostępności danych osobowych (m.in. klientów, kontrahentów i pracowników Z.) (…)”, o których mowa powyżej w pkt 9[9].
11.
Przedmiotem ataku była infrastruktura serwerowa i kliencka Z. oparta o system Q. (serwery wirtualne i fizyczne), w tym m.in. serwer poczty, plików, baz danych, backupu, jak i stacje końcowe. Administrator poinformował, że „(…) [z]aszyfrowane zostały serwery, na których znajdowały się aplikacje/systemy wspomagające funkcjonowanie i zarządzanie Z.. Były to dane poczty elektronicznej, usługa katalogowa, dane finansowo-księgowe, dane dotyczące funduszy unijnych, dane plikowe, systemy środowiskowe, system zgłoszeń (helpdesk), portal informacyjny, dane dotyczące przewoźników, dane archiwum geologicznego, dane ewidencji mienia, dane dotyczące prowadzenia postępowań egzekucyjnych, system komunikacji wewnętrznej oraz system komunikacji wideo, system zarządzania stacjami roboczymi, system rejestracji czasu pracy i kontroli dostępu, dane backupowe.”[10].
12.
Infrastruktura serwerowa objęta atakiem była zainstalowana na systemach operacyjnych W. pracujących w domenie (…). „(…) Serwery w ponad (…)% były zlokalizowane na maszynach wirtualnych w środowisku (…). Na maszynach fizycznych zlokalizowane były serwery backupowe oraz wybrane serwery bazodanowe oraz kontrolery domeny. Zaszyfrowane zostały również te stacje klienckie, które były uruchomione i wpięte do sieci w momencie ataku”[11].
13.
Administrator był w posiadaniu kopii zapasowej, niemniej jednak serwer obsługujący kopię zapasową również został zaszyfrowany. Ostatecznie, F. przywrócił funkcjonowanie systemu informatycznego wspierającego funkcjonowanie i zarządzanie Z. oraz odzyskał dane posadowione na kopiach zapasowych – „(…) w pierwszym etapie został przywrócony do użytkowania serwer backupowy, dokonano analizy kopii zapasowych oraz utworzony dedykowany zasób do przywracania kopii”.
14.
Nie ustalono źródła cyberataku oraz jego wektora. „(…) [P]otencjalnym (prawdopodobnym) wektorem ataku było uruchomienie złośliwego załącznika lub wejście ze stacji klienckiej na stronę zawierającą złośliwy skrypt (…)”[12].
15.
Administrator przekazał, że nie posiada „(…) żadnych sygnałów o pozyskaniu danych osobowych przez osoby nieuprawnione i dalszym wykorzystaniu tych danych.” Pomimo niestwierdzenia naruszenia poufności danych osobowych, F., zidentyfikowawszy wysokie ryzyko dla praw lub wolności osób, których dane objęte zostały przedmiotowym naruszeniem, wystosował do tych osób zawiadomienie w trybie art. 34 rozporządzenia 2016/679. Niezależnie od powyższego, Administrator zgłosił fakt zaistnienia incydentu CSIRT NASK (znak: (…)) oraz organom ścigania, w tym Agencji Bezpieczeństwa Wewnętrznego.

B. Techniczne i organizacyjne środki bezpieczeństwa danych osobowych stosowane przez Administratora w chwili wystąpienia incydentu.

16.
(…).
17.
(…).
18.
(…).
19.
(…).
20.
(…).
21.
(…).
22.
(…).
23.
(…).
24.
(…).
25.
(…).
26.
(…).
27.
Na mocy zarządzenia nr (…) F. (…) z dnia 29 sierpnia 2018 roku w sprawie wyznaczenia Inspektora Ochrony Danych w Z. (…) powołano inspektora ochrony danych.
28.
(…).
29.
(…).
30.
(…)[13].
31.
„(…)”. Polityka backupowa przed atakiem obejmowała „(…)”[14].
32.
„(…)”[15]. Polityka bezpieczeństwa dotycząca postępowania z nośnikami zewnętrznymi uregulowana była w dokumencie (…)[16].
33.
Administrator zapewnił, iż „(…) dokonywał regularnego odtwarzania wybranych systemów z wykonanych kopii zapasowych pod kątem ich przydatności dla zapewnienia zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego”. Jako potwierdzenie dokonywanych działań w tym zakresie F. przedstawił pomiar efektywności dla funkcjonujących zabezpieczeń zgodnie z obowiązującą (…) oraz notatki z odtworzeń[17].
34.
Analiza ryzyka dla operacji przetwarzania danych osobowych, których dotyczył przedmiotowy incydent, „(…) odbywała się w 2019 roku. Analiza ryzyka została przeprowadzona zgodnie z metodyką opisaną w (…)”[18].
35.
Administrator przekazał dowody świadczące o tym, że dokonywał testowania, mierzenia i oceniania skuteczności „(…) środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania”[19].

C. Środki zastosowane przez Administratora w celu zaradzenia incydentowi oraz zminimalizowania jego ewentualnych negatywnych skutków.

36.
Administrator podał w szczególności, że (…)[20].
37.
Nadto, Administrator wskazał, że (…)[21].

D. Techniczne i organizacyjne środki bezpieczeństwa danych osobowych zastosowane przez Administratora po wystąpieniu incydentu.

38.
Po wystąpieniu incydentu Administrator przeprowadził ponowną analizę ryzyka, (…)[22]. Na podstawie tak zaktualizowanego wykazu zagrożeń „(…) Administratorzy (…) (Dyrektorzy Departamentów) dokonywali szacowania ryzyka w podległych departamentach. W wyniku przeprowadzonej analizy ryzyka osiągnięto ryzyko oczekiwane (niskie, średnie) we wszystkich obszarach Z. w odniesieniu do wszystkich zagrożeń. Nie stwierdzono ryzyka dużego (ryzyka akceptowalnego) ani ryzyka wysokiego (tj. ryzyka nieakceptowalnego)”.
39.
Do wdrożonych na ww. podstawie technicznych środków bezpieczeństwa w celu mitygacji ryzyka wystąpienia ataku typu ransomware Administrator zaliczył, w szczególności: modyfikację atrybutu filtracji poczty elektronicznej – „(…)”[25]. Niezależnie od powyższego, Administrator poinformował o (…)[26]. „(…)”.
40.
Do innych technicznych środków bezpieczeństwa wdrożonych w celu mitygacji ryzyka Administrator zaliczył: przebudowę „(…)”[27], rekonfigurację „(…)”[28]. Niezależnie od powyższego Administrator dokonał wdrożenia: systemu L.[29], (…)[30] i systemu M.[31].
41.
Ponadto, Administrator przekazał, że „(…)”[32]. Uruchomione również zostały dodatkowe „(…) funkcjonalności w ramach wdrożonego oprogramowania antywirusowego w zakresie ochrony przed szkodliwym oprogramowaniem (…)” w postaci bardziej agresywnej polityki ochrony stacji roboczych[33].
42.
Administrator poinformował, że „(…)”[34] – (…)[35]. Administrator przekazał dowody dokonywania odtworzeń systemu (…)[36].
43.
Jako organizacyjne środki bezpieczeństwa Administrator wskazał działania podjęte „(…) w obszarze podnoszenia świadomości pracowników w zakresie cyberzagrożeń m.in.: poprzez umożliwienie udziału w szkoleniach (…)”[37] oraz prowadzenie względem wszystkich pracowników stosownych działań informacyjnych związanych z zasadami bezpiecznego korzystania z sieci Internet i poczty elektronicznej[38].
44.
Poleceniem służbowym nr (…) Sekretarza Województwa z dnia 19 lipca 2023 r. w sprawie ustalenia „(…)” zwiększono minimalną długość hasła (…).

III. Uzasadnienie prawne.

45.
Zgodnie z art. 34 ust. 1 i 2 u.o.d.o., Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych oraz organem nadzorczym, o którym mowa w art. 4 pkt 21 rozporządzenia 2016/679.
46.
Zgodnie z art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia oraz prowadzi postępowania w sprawie jego stosowania.
47.
W niniejszej sprawie Prezes UODO stwierdził naruszenie przez Administratora art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.
48.
W art. 5 rozporządzenia 2016/679 prawodawca sformułował elementarne zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów. Zasady te odgrywają szczególną rolę w rozporządzeniu 2016/679, ponieważ przypisuje się im nadrzędną moc w stosunku do pozostałych przepisów o ochronie danych osobowych[39].
49.
Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („zasada integralności i poufności”).
50.
W myśl art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („zasada rozliczalności”).
51.
Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i aby móc to wykazać. Rezultatem wdrożenia tych środków powinno być zatem dostosowanie działań administratora do wymogów tego rozporządzenia – pośrednio więc też, choć nie wyłącznie, odpowiednie zabezpieczenie przetwarzanych danych osobowych ze względu na poziom ryzyka związanego z przetwarzaniem[40].
52.
Należy podkreślić, że prawodawca uzupełnia treść normy, o której mowa powyżej, wskazując, że techniczne i organizacyjne środki wdrożone w celu zapewnienia zgodności przetwarzania z prawem powinny być „poddawane przeglądom i uaktualniane”. Administratorzy powinni więc dokonywać regularnych rewizji stosowanych rozwiązań oraz udoskonalać je w razie potrzeby. Świadczy to o dynamicznym i elastycznym charakterze procesu zapewnienia przez administratora bezpieczeństwa danych osobowych.
53.
Zgodnie z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia 2016/679 oraz chronić prawa osób, których dane dotyczą („zasada uwzględniania ochrony danych w fazie projektowania”).
54.
W myśl art. 32 ust. 1 rozporządzenia 2016/679 administrator, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym m.in. w stosownym przypadku:
a)
pseudonimizacji i szyfrowania danych osobowych;
b)
zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c)
zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d)
regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
55.
Art. 32 ust. 2 rozporządzenia 2016/679 wskazuje, że oceniając, czy stopień bezpieczeństwa gwarantowany przez ww. środki jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
56.
W literaturze podnosi się, że wdrażanie „odpowiednich” środków bezpieczeństwa należy rozumieć jako proces, w ramach którego administrator dąży do tego, aby zastosowane przez niego techniczne i organizacyjne środki były „skuteczne”, a więc – na ile to możliwe – pozwalały zapobiegać naruszeniom ochrony danych osobowych lub minimalizować ryzyko ich wystąpienia[41].
57.
Przepisy art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 stanowią więc konkretyzację ogólnej zasady integralności i poufności, o której mowa w art. 5 ust. 1 lit. f) tego aktu prawa. W związku z tym niniejszą sprawę należy analizować przede wszystkim pod kątem spełnienia przez F., jako administratora, wymagań wyznaczających poziom właściwych do zastosowania środków technicznych i organizacyjnych w celu zabezpieczenia przetwarzanych danych osobowych.
58.
Jednocześnie, jak wynika z treści art. 24 ust. 1 rozporządzenia 2016/679, administrator ma obowiązek zagwarantowania poprzez odpowiednie rozwiązania, że w razie potrzeby będzie w stanie wykazać osobom, których dane dotyczą, a także organom nadzorczym, w jaki sposób zapewnił zgodność z przepisami o ochronie danych osobowych, co należy utożsamiać z urzeczywistnieniem zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679[42].
59.
W literaturze wskazuje się, że „rozliczalność powinna być więc rozumiana jako pewna właściwość czynności przetwarzania, pozwalająca na dowodzenie zgodności z przepisami prawa operacji na danych osobowych, w szczególności za pomocą dokumentacji ochrony danych osobowych. (…) Konsekwencją zasady rozliczalności jest to, że w razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym administrator danych powinien być w stanie przedstawić dowody na to, że przestrzega przepisów o ochronie danych osobowych. Dowodami takimi mogą być przede wszystkim dokumenty opisujące zasady przetwarzania i ochrony danych osobowych. Pomimo braku wyraźnego wymogu wynikającego z przepisów [rozporządzenia 2016/679] zasadne i rekomendowane jest więc prowadzenie dokumentacji przetwarzania danych osobowych”[43].
60.
Należy w tym miejscu podkreślić, że administrator, stosownie do zasady rozliczalności wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679, jest zobowiązany wykazać, że spełnia wymogi rozporządzenia 2016/679 poprzez udowodnienie, że opracował i stosuje środki mające na celu przestrzeganie przepisów o ochronie danych osobowych. Stosownie więc do wyrażonej w powyższym przepisie zasady rozliczalności, w razie wątpliwości co do przestrzegania przez administratora przepisów rozporządzenia 2016/679, to na nim, a nie na organie nadzorczym spoczywa ciężar wykazania się, że realizuje procesy przetwarzania danych osobowych zgodnie z zasadami określonymi w tym akcie prawnym („rozliczalność”) – orzecznictwo sądów administracyjnych jest w tej materii ugruntowane i jednolite[44].

Podejście oparte na ryzyku.

61.
Rozporządzenie 2016/679 zostało oparte na ryzyku. Oznacza to, że ryzyko stanowi kryterium, na podstawie którego dochodzi do konkretyzacji obowiązków spoczywających na administratorach w odniesieniu do poszczególnych procesów przetwarzania[45]. Unijny prawodawca zrezygnował więc z formułowania sztywnych i jednolitych norm postępowania na rzecz elastycznych i technologicznie neutralnych regulacji skoncentrowanych na perspektywie podmiotów danych oraz specyfice przetwarzania[46]. Taka orientacja prowadzi do zapewnienia administratorom stosunkowo szerokiej swobody w zakresie dobieranych zabezpieczeń przy jednoczesnym zaostrzeniu wobec nich wymagań dotyczących realizacji określonych obowiązków oraz zwiększeniu odpowiedzialności za ich naruszenie[47].
62.
Motyw 74 preambuły do rozporządzenia 2016/679 stanowi: „Należy nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych”.
63.
Projektowanie mechanizmów przetwarzania powinno więc odbywać się w procesie dwuetapowym. W pierwszej kolejności konieczne jest przeanalizowanie przez administratora ryzyka dla praw lub wolności osób fizycznych wynikającego z przetwarzania ich danych osobowych. Następnym etapem jest ustalenie, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić zgodność z przepisami rozporządzenia 2016/679, w tym stopień bezpieczeństwa odpowiadający temu ryzyku.
64.
Również w literaturze wskazuje się, że „[a]dministrator danych powinien przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia, aby móc zastosować odpowiednie środki pozwalające skutecznie zabezpieczyć przetwarzane dane”[48]. Podobnie wypowiadają się także sądy administracyjne, wskazując m.in., że „[a]dministrator danych powinien (…) przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”[49] oraz że „przeprowadzenie oceny ryzyka stanowi podstawę do wdrażania przez administratora adekwatnych środków zabezpieczających dane, zarówno o charakterze technicznym jak i organizacyjnym. Nieprawidłowe oszacowanie ryzyka powoduje przyjęcie środków, które w niedostateczny sposób chronią dane osobowe w przypadku wystąpienia przewidywanych zdarzeń (…)”[50].
65.
Kryterium ryzyka zostało szerzej opisane w motywie 75 preambuły do rozporządzenia 2016/679, który wskazuje: „Ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osób wymagających szczególnej opieki, w szczególności dzieci oraz jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą”.
66.
Ponadto unijny prawodawca wyjaśnił poprzez motyw 76 preambuły do rozporządzenia 2016/679, że „[p]rawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko”.
67.
W motywie 83 preambuły do rozporządzenia 2016/679 wskazano natomiast: „W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z rozporządzeniem 2016/679 administrator powinien oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych”.

Ryzyko dla praw lub wolności osób fizycznych związane z przetwarzaniem przez F. danych osobowych.

68.
Wobec powyższego, aby prawidłowo zrealizować obowiązki wynikające z rozporządzenia 2016/679, Administrator zobowiązany był do zapewnienia właściwego poziomu bezpieczeństwa przetwarzanych danych, w tym danych osobowych objętych incydentem, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych mających zapewnić ich poufność, integralność i dostępność. Decyzje o charakterze podejmowanych w tym kierunku działań powinny zaś znaleźć oparcie we wnioskach wynikających z przeprowadzanych analiz ryzyka wiążącego się z przetwarzaniem, uwzględniających m.in. identyfikację potencjalnych zagrożeń, konsekwencje ich urzeczywistnienia, a także proponowane rozwiązania mające na celu ich możliwie skuteczną mitygację.
69.
Co równie istotne, F., stosownie do wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679 zasady rozliczalności, zobowiązany był wykazać przed organem nadzorczym, czy – i w jaki sposób – wykonał obowiązki w tym zakresie. Jak wskazał NSA, „[z] brzmienia art. 24 i 32 [rozporządzenia 2016/679] wynika (…), że odpowiedni charakter środków wdrożonych przez administratora należy oceniać w sposób konkretny, biorąc pod uwagę różne kryteria, o których mowa w tych artykułach, oraz potrzeby ochrony danych specyficznie związane z danym przetwarzaniem, a także wynikające z niego ryzyko, tym bardziej że wspomniany administrator musi być w stanie wykazać zgodność tych środków z tym rozporządzeniem (…)”[51]. Z kolei WSA w Warszawie podkreślił, że „[o]rgan jest (…) uprawniony do oceny analizy ryzyka, w tym weryfikacji jej przeprowadzenia w odniesieniu do obiektywnych okoliczności, konfrontując je z kryteriami zawartymi w art. 32 ust. 1 i 2 rozporządzenia 2016/679”[52].
70.
Ze zgromadzonego w sprawie materiału dowodowego wynika jednak, że Administrator zarządzał systemami informatycznymi objętymi incydentem, nie przeprowadzając uprzednio takich analiz w sposób prawidłowy, tj. zgodny ze standardami wynikającymi z rozporządzenia 2016/679.
71.
Administrator poinformował, że przed wystąpieniem incydentu dokonał „Analizy (…)” w obszarach poszczególnych departamentów Z., jako dowód przekazując „(…) formularze analizy ryzyka bezpieczeństwa informacji w obszarach departamentów Z. przed wystąpieniem naruszenia (…)”[53]. Ponadto, F. przekazał datowany na 12 czerwca 2018 r. „Załącznik (…)”, pn. (…), zawierający „Wykaz zagrożeń wraz z określeniem prawdopodobieństwa wystąpienia strat dla Z.”[54]. Na podstawie drugiego z wymienionych dokumentów Administrator zidentyfikował m.in. ryzyko związane ze złośliwym oprogramowaniem, w szczególności ransomware.
72.
Zgodnie z dokonaną przez WSA w Warszawie oceną, „[art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679 – dod. wł.] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością” oraz że „[p]rzyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka”[55]. W konsekwencji, przedłożona przez Administratora analiza ryzyka pozostaje wadliwa z punktu widzenia przepisów o ochronie danych osobowych.
73.
Należy zauważyć, iż ww. „Analiza (…)” zawiera wprawdzie identyfikację potencjalnych zagrożeń w organizacji Administratora (wyszczególnione w kolumnie „(…)”), niemniej jednak pozbawiona jest informacji o posiadanych przez Administratora aktywach oraz istniejących zabezpieczeniach. Nie wskazano w niej również żadnych podatności związanych z ww. zagrożeniami, które Administrator powinien w miarę możliwości wyeliminować (lub ograniczyć) w celu zmitygowania ryzyka wystąpienia rozpoznanych niebezpieczeństw, a przecież konkretna podatność została wykorzystana przez atakujących do skutecznego przeprowadzenia przedmiotowego cyberataku[56]. F. nie powiązał zatem logicznie hipotetycznych zagrożeń dla zarządzanych systemów informatycznych z ewentualnymi słabościami tych systemów lub innego rodzaju źródłami ryzyka. Ponadto, rzeczony dokument nie zawiera informacji o tym, w jaki sposób wdrożone środki bezpieczeństwa wpływają na ryzyko. W konsekwencji, nie wiadomo, w jaki sposób oszacowane zostało prawdopodobieństwo wystąpienia ryzyka, skoro analiza pomija informację o posiadanych zabezpieczeniach.
74.
Podobne uwagi odnieść można do wzmiankowanej „(…)”, zawierającej „Wykaz zagrożeń wraz z określeniem prawdopodobieństwa wystąpienia strat dla Z.”. Na podstawie analizy tego dokumentu uznać można, że przed wystąpieniem incydentu Administrator wykazał świadomość istnienia hipotetycznych zagrożeń polegających na przełamaniu zabezpieczeń systemów informatycznych, narażeniem ich na działanie złośliwego oprogramowania, w szczególności ransomware (L.p. tabeli: 22, 24, 27, 36, 37, 38, 43, 44). Niemniej jednak, F. nie przedstawił konkretnych podatności, które potencjalnie mogą wystąpić. Co więcej, z ww. dokumentu wynika, że podatność „występuje” jedynie w odniesieniu do dwóch rozpoznanych zagrożeń, tj. „Błędnych operacji wykonywanych przez pracowników w systemie informatycznym” (L.p. 22) oraz „Nieświadomość pracownika” (L.p. 27), lecz częstotliwość ich pojawienia się została zaklasyfikowana odpowiednio jako „rzadko” i „czasami”. Z ww. dokumentu nie wynika jednak, dlaczego częstotliwość ta została w ten sposób oceniona, tym bardziej, że nie zostały wskazane związki pomiędzy podatnościami (które nawet, jeśli występują, to jednak nie zostały opisane), a zagrożeniami.
75.
Zdaniem Prezesa UODO przedłożona dokumentacja, dotycząca analizy ryzyka budzi poważne zastrzeżenia, wykluczające możliwość doboru na jej podstawie odpowiednich środków technicznych i organizacyjnych mających zapewnić zgodność przetwarzania z rozporządzeniem 2016/679 oraz dokonania obiektywnej oceny gwarantowanego przez nie stopnia bezpieczeństwa.
76.
Administrator nie wskazał bowiem w treści przedłożonej dokumentacji, jakie procesy przetwarzania poddawał analizie, ani nie powiązał tych procesów z rozpoznanymi zagrożeniami, podatnościami oraz ostateczną oceną ryzyka. F. nie tylko nie określił więc prawdopodobieństwa i powagi ryzyka naruszenia praw lub wolności osób, których dane dotyczą, ale też w żaden sposób nie odniósł się w swojej ocenie do charakteru, zakresu, kontekstu i celów przetwarzania danych osobowych[57].
77.
Uwagę zwraca również znajdujący się w „Analizie (…)” opis „proponowanych działań doskonalących”, mających na celu postępowanie z ryzykiem. Bazuje on na dużym poziomie ogólności, charakteryzującym się nieprecyzyjnością zawartych w nim sformułowań - np. „szkolenia pracowników z zakresu bezpieczeństwa informacji” (str. 167, str. 175), „stworzenie zbioru/procesu przetwarzania danych osobowych” i „dostosowanie dokumentacji do regulacji RODO w zakresie obowiązków” (str. 183, 185, 197, 199, 203), czy też adnotacje o złożeniu 28 grudnia 2018 r. wniosków o odnotowanie zbiorów danych (str. 407, 410, 411, 412). Na podstawie tak zdawkowych zapisów nie sposób rozpoznać ani szczegółowych planów postępowania z ryzykiem ani tym bardziej konkretnych terminów ich realizacji. „Proponowane działania doskonalące” pozostają zatem oderwane od wymogów wynikających z rozporządzenia 2016/679, co w konsekwencji przesądza o niemożliwości dokonania weryfikacji tych działań pod kątem ich adekwatności oraz skuteczności (w szczególności w zakresie ich ostatecznego wpływu na poziom ryzyka).
78.
W związku z powyższym, wobec nieprzeprowadzenia prawidłowego procesu analizy ryzyka wiążącego się z realizowanymi przez F. procesami przetwarzania danych osobowych, nie można uznać, ażeby Administrator wykazał w toku postępowania, że wdrażając techniczne i organizacyjne środki mające zapewnić zgodność przetwarzania z rozporządzeniem 2016/679, a także oceniając, czy stopień bezpieczeństwa danych osobowych jest odpowiedni, rzeczywiście uwzględnił kryteria opisane w art. 24 ust. 1, art. 25 ust. 1 oraz 32 ust. 1 rozporządzenia 2016/679, w tym w szczególności ryzyko naruszenia praw lub wolności osób fizycznych, wynikające w szczególności z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, zgodnie z obowiązkiem wynikającym z art. 32 ust. 2 rozporządzenia 2016/679.

Techniczne i organizacyjne środki bezpieczeństwa danych osobowych stosowane przez Administratora w chwili wystąpienia incydentu.

79.
Opis technicznych i organizacyjnych środków bezpieczeństwa stosowanych przez Administratora w celu zapewnienia zgodności z prawem przetwarzania danych osobowych objętych incydentem przytoczony zostały w pkt B decyzji.
80.
Zdaniem Prezesa UODO środki te nie mogą zostać uznane za odpowiednie wobec ryzyka związanego z przetwarzaniem danych osobowych w systemach objętych incydentem, a zatem za spełniające wymogi rozporządzenia 2016/679. Na ocenę tę rzutuje przede wszystkim fakt, iż – jak zostało to wykazane powyżej – Administrator nie uwzględnił przy ich wdrażaniu czynników oceny ryzyka określonych w rozporządzeniu 2016/679, a w konsekwencji nie wykazał przed Prezesem UODO właściwego stopnia gwarantowanego przez nie bezpieczeństwa.
81.
Podkreślić jednocześnie należy, że wystąpienie incydentu nie przesądziło samo w sobie o naruszeniu przez F. przepisów rozporządzenia 2016/679. Organy nadzorcze nie uzależniają bowiem zgodności działań administratorów z przepisami rozporządzenia 2016/679 od zdolności do zapobieżenia przez nich wszystkim potencjalnym naruszeniom ochrony danych osobowych[58]. Incydent stanowił wyłącznie asumpt do podjęcia przez Prezesa UODO czynności w kierunku zbadania prawidłowości przetwarzania przez Administratora danych osobowych w obszarze objętym tym zdarzeniem, a także przesłankę wskazującą na potencjalną możliwość zastosowania przez Administratora nieodpowiednich zabezpieczeń objętych nimi danych osobowych. W toku postępowania F. powinien był natomiast wykazać przed organem nadzorczym, że – pomimo zaistnienia incydentu – przestrzegał zasad dotyczących przetwarzania danych osobowych oraz zrealizował obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony takich danych przy przetwarzaniu[59], czego jednak, stosownie do zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679) nie uczynił. Wskazać zatem należy, że w razie wątpliwości co do przestrzegania przez administratora przepisów rozporządzenia 2016/679, to na nim, a nie na organie nadzorczym spoczywa ciężar wykazania się, że realizuje procesy przetwarzania danych osobowych zgodnie z zasadami określonymi w tym akcie prawnym („rozliczalność”) – orzecznictwo sądów administracyjnych jest w tej materii ugruntowane i jednolite[60].

Regularne testowanie, mierzenie i ocenianie przez Administratora skuteczności technicznych i organizacyjnych środków bezpieczeństwa danych osobowych.

82.
Jak zostało to zasygnalizowane, rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter nieprzerwanego procesu. Warunkiem zaś kluczowym dla wykazania spełnienia stawianych przed administratorami wymogów, zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, pozostaje nie tylko jednorazowe wdrożenie przez nich technicznych i organizacyjnych środków w celu zagwarantowania procesom przetwarzania danych osobowych odpowiedniego poziomu ochrony, ale również – w ramach dynamicznego podejścia – zapewnienie ciągłości monitorowania poziomu zagrożeń w relacji do adekwatności wprowadzonych zabezpieczeń. Administrator obowiązany jest zatem samodzielnie dokonać szczegółowej analizy realizowanych procesów przetwarzania danych osobowych i w sposób wyczerpujący ocenić potencjalne zagrożenia dla prywatności osób, których te dane dotyczą, a następnie zastosować środki, które będą adekwatne do oszacowanego ryzyka. W konsekwencji, uznać należy, że analiza ryzyka formuje grunt do odpowiedniego zarządzania możliwymi podatnościami, rozumianymi jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie danej organizacji, a nawet prowadzić do incydentów bezpieczeństwa bądź naruszeń ochrony danych osobowych.
83.
Nie ulega wątpliwości, że w przedstawionym stanie faktycznym niniejszej sprawy główne ryzyko związane z realizowanymi przez Administratora procesami przetwarzania danych osobowych należało identyfikować z zagrożeniem płynącym z możliwości skompromitowania, z wykorzystaniem złośliwego oprogramowania, jego infrastruktury informatycznej, uruchomieniem w niej obcych procesów oraz rozpoczęciem procesu szyfrowania w celu uzyskania korzyści finansowej w zamian za późniejszą dekryptację danych, tj. ransomware. W tym kontekście szczególnego znaczenia nabiera zatem obowiązek regularnego testowania, mierzenia i oceniania przez administratorów skuteczności technicznych i organizacyjnych środków bezpieczeństwa danych osobowych, w szczególności okresowych ewaluacji systemów informatycznych wykorzystywanych w procesach przetwarzania danych osobowych.
84.
Przepis art. 24 ust. 1 rozporządzenia 2016/679 obliguje bowiem administratorów do poddawania przeglądom i uaktualniania środków mających zapewnić zgodność przetwarzania z obowiązującym prawem, w tym – stosownie do art. 32 ust. 1 lit. d) rozporządzenia 2016/679 – regularnego testowania, mierzenia i oceniania skuteczności technicznych i organizacyjnych środków mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Obowiązek ten stanowi zarazem odzwierciedlenie koncepcji uwzględniania ochrony danych w fazie projektowania, wyrażonej w art. 25 ust. 1 rozporządzenia 2016/679, w myśl której ww. działania są jednymi z kluczowych w świetle zasady integralności i poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679[61].
85.
Jak z kolei wyjaśniła Europejska Rada Ochrony Danych (dalej: „EROD”) w Wytycznych 4/2019 dotyczących artykułu 25, „[a]rtykuł 25 ust. 1 stanowi, że administratorzy powinni uwzględnić ochronę danych w fazie projektowania oraz domyślną ochronę danych odpowiednio wcześnie, na etapie planowania kolejnej operacji przetwarzania. Wdrażają oni ochronę danych w fazie projektowania oraz domyślną ochronę danych przed przetwarzaniem, a także w sposób ciągły podczas przetwarzania, dokonując regularnych przeglądów skuteczności wybranych środków i zabezpieczeń”[62].
86.
Podobnie, w utrwalonych poglądach wskazuje się, m.in., że „powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne [rozporządzenia 2016/679], wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 [rozporządzenia 2016/679 – dod. wł.])”[63].
87.
Jakkolwiek art. 24 ust. 1, art. 25 ust. 1 oraz 32 ust. 1 lit. d) rozporządzenia 2016/679 nie wskazują żadnej szczegółowej procedury w tym zakresie, to sam wymóg testowania mechanizmów przetwarzania, w tym systemów informatycznych, traktowany jest więc powszechnie jako standard, do którego zapewnienia (w proporcjonalnym wymiarze) zobowiązany jest każdy administrator.
88.
Ze względu na charakter incydentu, polegającego na przełamaniu zabezpieczeń infrastruktury informatycznej Z., a następnie zainfekowaniu jej złośliwym oprogramowaniem typu ransomware, skutkującym naruszeniem dostępności danych osobowych dotyczących (…) podmiotów zgromadzonych w zainfekowanych systemach informatycznych, Prezes UODO zwrócił szczególną uwagę na przedstawione przez Administratora dowody, dotyczące testowania, mierzenia i oceniania skuteczności wdrożonych środków bezpieczeństwa dla danych osobowych.
89.
Ze zgromadzonego w sprawie materiału dowodowego wynika, że Administrator wprawdzie testował, mierzył i oceniał skuteczność stosowanych zabezpieczeń, niemniej jednak – w ocenie organu nadzorczego – fakt ten nie oznacza, ażeby Administrator był zdolny wykazać, że przedsiębrane przez niego działania zorientowane były na zapewnienie zgodności przetwarzania z przepisami rozporządzenia 2016/679.
90.
Z perspektywy oceny proporcjonalności dobranych przez Administratora środków bezpieczeństwa danych przetwarzanych w systemach informatycznych objętych incydentem, istotne wątpliwości organu nadzorczego budzi przede wszystkim „Raport (…)” przeprowadzonego przez zespół audytorów (…) z siedzibą w Y. w terminie 1 – 4 lutego 2021 r., a więc na kilka dni przed wystąpieniem incydentu.
91.
W pierwszym rzędzie należy zauważyć, że audyt ten został przeprowadzony w celu dokonania „(…) [o]cen[y] funkcjonowania wdrożonego systemu zarządzania klienta pod kątem stałego spełnienia wymagań określonych w kryteriach auditu”, które wyznaczone były normami PN-EN ISO 9001:2015-10 oraz PN-EN ISO/IEC 27001:2017-06 (od 22 sierpnia 2023 r. zastąpiona normą PN-EN ISO/IEC 27001:2023-08). W konsekwencji, audyt ten nie objął swoim zakresem oceny zgodności funkcjonowania Z. z przepisami o ochronie danych osobowych, służąc zbadaniu funkcjonowania systemu zarządzania Z. jako organizacją. Wskazać bowiem należy, iż wymienione normy koncentrują się na zarządzaniu bezpieczeństwem informacji w organizacji, w tym m.in. na zapewnieniu bezpiecznego i niezakłóconego świadczenia usług, nie zaś – jak ma to miejsce w przypadku rozporządzenia 2016/679 – na ochronie praw lub wolności osób fizycznych.
92.
Należy jednocześnie odnotować, że Prezes UODO nie podważa ani wiarygodności przedstawionych na podstawie ww. ewaluacji wniosków ani obiektywizmu i niezależności formułujących je audytorów, tym niemniej metodyka przeprowadzonego badania budzi już pewne zastrzeżenia organu nadzorczego co do jego skuteczności. W pkt C pn. „Ustalenia i wnioski z auditu” wskazano bowiem, że „(…) obejmowała [ona - dod. wł.] wywiady, obserwacje działań oraz przegląd udokumentowanych informacji”, podczas gdy w „pkt E: Informacje dodatkowe” zawarto informację o tym, że „[z]e względu na sytuację związaną z Covid 19 audyt został przeprowadzony w trybie zdalnym”. Nie wiadomo zatem, w jaki sposób działania powzięte przez audytorów, o których mowa w pkt C, miały zostać rzeczywiście zrealizowane w formie zdalnej. W kontekście zbadania okoliczności przedmiotowej sprawy moc dowodową ww. audytu należy zatem uznać za częściowo ograniczoną, tym bardziej, że w jego podsumowaniu znalazła się jedynie wzmianka o tym, że „(…) [o]rganizacja ustanowiła, wdrożyła i utrzymuje system zarządzania zgodny z kryteriami odniesienia [które stanowiły ww. normy – dod. wł.]. W wyniku przeprowadzonego auditu oraz uzyskanych dowodów potwierdzona została zdolność systemu do spełniania mających zastosowanie wymagań, osiągania oczekiwanych wyników oraz realizacji celów w zdefiniowanym zakresie systemu. Organizacja przedstawiła dowody skutecznego funkcjonowania, utrzymywania i doskonalenia systemu zarządzania, w tym dowody realizacji auditów wewnętrznych i przeglądów zarządzania. Przyjęte cele auditu zostały zrealizowane, stosowność zakresu certyfikacji potwierdzona”. Powyższe konkluzje potwierdzają tylko, iż audyt ten nie służył zbadaniu zgodności funkcjonowania Z. z przepisami o ochronie danych osobowych, a zatem nie może być on uznany za spełnienie przez Administratora warunku rozliczalności w związku z przepisem art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Uwagę zwraca również fakt, iż na podstawie zakończonego 4 lutego 2021 r. audytu nie zidentyfikowano żadnych niezgodności i nie zaproponowano działań korygujących, a już 10 lutego 2021 r. Administrator stwierdził wystąpienie przedmiotowego incydentu. Pomimo tego faktu, raport z audytu został opracowany i zatwierdzony podpisem audytora wiodącego 22 marca 2021 r. Nie można zatem racjonalnie uznać, że stanowił on skuteczne i proporcjonalne do inherentnego ryzyka ransomware narzędzie wykorzystywane przez Administratora w celu identyfikacji podatności systemów informatycznych.
93.
Uwagi przedstawione w pkt 92 z powodzeniem można odnieść do złożonego przez Administratora „(…)” (dalej: „Podsumowanie”). Podobnie zatem, jak w przypadku wspomnianego wyżej audytu, wskazać należy, że dokument ten odnosił się do oceny spełnienia przez Z., jako organizacji, wymagań ustanowionych normą PN-ISO/IEC 27001:2017-06. W konsekwencji, Podsumowanie dotyczące kwestii, czy wdrożone w organizacji Z. zabezpieczenia pozostają efektywne, poprzez pryzmat przyjętych mierników skuteczności dla funkcjonujących zabezpieczeń, nie objęły swoim zakresem oceny zgodności funkcjonowania Z. z przepisami o ochronie danych osobowych. Przypomnieć należy, że wspomniana norma odnosi się do standardów zarządzania bezpieczeństwem informacji w organizacji, dokonane zaś na jej podstawie pomiary efektywności stosowanych zabezpieczeń nie koncentrują się – jak ma to miejsce w przypadku rozporządzenia 2016/679 – na ochronie praw lub wolności osób fizycznych.
94.
Zaznaczyć trzeba, że pomimo faktu, iż wymagania wynikające z norm zarządzaniem bezpieczeństwem informacji w organizacji oraz ochroną danych osobowych mogą częściowo się pokrywać (np. w zakresie szeroko rozumianego bezpieczeństwa systemów informatycznych), stanowią one odrębne obszary regulacyjne. Administrator powinien więc w toku postępowania przed organem nadzorczym wykazać się dowodami uprawdopodobniającymi, że w sposób prawidłowy zastosował się do przepisów, których naruszenie stwierdzono w przedmiotowej sprawie.
95.
Niezależnie od powyższego, uwagę zwraca negatywny wynik pomiaru dla obszaru oznaczonego „A.7 (…)” w okresie bezpośrednio poprzedzającym wystąpienie incydentu, tj. pomiędzy 1 lipca 2020 r. a 31 grudnia 2020 r. Administrator jednoznacznie przy tym wskazał, że w podanym odcinku czasu „(…) zatrudniono: (…) pracowników i przyjęto (…) stażystów, z czego w zakresie bezpieczeństwa informacji łącznie przeszkolono: (…) osób”, co zracjonalizowane zostało przyczynami obiektywnymi związanymi z trwającą ówcześnie epidemią Sars-Cov-2. Z utrwalonego w sprawie materiału dowodowego wynika, że istotnie „(…) proces uświadamiania obejmował wszystkich nowozatrudnionych pracowników/stażystów (…)” mógł następować „(…) poprzez samokształcenie i dostęp do poszerzonego pakietu materiału ww. zakresie [bezpieczeństwa informacji – dod. wł.] zamieszczonego w Intranecie”, tym niemniej stwierdzona w Podsumowaniu podatność przyjętych w Z. zabezpieczeń nie została przed wystąpieniem incydentu usunięta. Potwierdzenie tego stanu rzeczy stanowi „Zestawienie (…)” (Zał. (…) do pisma z 31 marca 2025 r.). Wynika z niego niezbicie, że w 2020 roku miały miejsce jedynie 2 szkolenia w ww. zakresie: 24 listopada 2020 r. – „(…)” oraz 2 grudnia 2020 r. – „(…)”. Niezależnie od faktu, że w okresie poprzedzającym wystąpienie incydentu przeszkolono zaledwie (…) nowych pracowników/stażystów, Administrator nie przedstawił również żadnych dowodów na to, że agenda tych szkoleń obejmowała tematykę cybersecurity awareness, w tym zagrożeń związanych z cyberatakami o charakterze ransomware.
96.
Wskazać należy, że analiza przypadku przedmiotowego incydentu po raz kolejny dobitnie pokazuje, że niezależnie od przyjętych w organizacji środków bezpieczeństwa informacji, niejednokrotnie najsłabszym ich ogniwem pozostaje czynnik ludzki – co potwierdza sam Administrator, wskazując, że właśnie „(…) potencjalnym (prawdopodobnym) wektorem ataku było uruchomienie złośliwego załącznika lub wejście ze stacji klienckiej na stronę zawierającą złośliwy skrypt”[64]. Skoro F. identyfikował jako podatność wdrożonych przez siebie zabezpieczeń w postaci „czynnika ludzkiego”, zatem tym bardziej dążyć powinien do wyeliminowania tej luki bezpieczeństwa. Mając powyższe na uwadze, należy podkreślić, że nieprzeszkolenie przez Administratora przed wystąpieniem incydentu wszystkich zatrudnionych w jego organizacji osób, mających dostęp do jego systemów informatycznych, nie może być uznane za wdrożenie środka skutecznie ograniczającego ryzyko ataku o charakterze ransomware. W tym świetle nie można więc stwierdzić, że zastosowany przez Administratora środek organizacyjny w sposób wystarczający kształtował świadomość osób zobowiązanych do ochrony danych osobowych i stosowania procedur określających środki bezpieczeństwa tych danych. Dążąc do ograniczenia ryzyka związanego z atakiem ransomware Administrator powinien był bowiem zadbać, aby przeprowadzone przed wystąpieniem incydentu szkolenia pozwoliły jego uczestnikom nie tylko nabyć choćby w podstawowym zakresie niezbędną wiedzę odnośnie do rodzajów cyberzagrożeń oraz odpowiednich technik prewencji. Substytutu takich działań doskonalących nie mogą stanowić inicjowane w Z. szkolenia e-learningowe, zwłaszcza, że Administrator nie przedstawił informacji odnośnie faktycznej liczby pracowników, która wzięła w nich udział ani osiągniętych przez nich postępów edukacyjnych. Konkludując, nieosiągnięcie przed wystąpieniem incydentu pożądanego stanu wiedzy związanego z cyberzagrożeniami przez wszystkie zatrudnione w organizacji Administratora osoby, sprawiło, że zastosowany przez Administratora organizacyjny środek bezpieczeństwa nie przyczynił się do obniżenia ryzyka wystąpienia przedmiotowego incydentu, co przesądza o niemożności wykazania przez niego spełnienia określonych na gruncie rozporządzenia 2016/679 wymogów w zakresie zapewnienia procesom przetwarzania danych osobowych adekwatnego do ryzyka poziomu ochrony i w konsekwencji naruszeniu zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679).
97.
W tym kontekście, podkreślenia wymaga, że złośliwe oprogramowanie typu ransomware uznawane było za jedno z najczęściej występujących w cyberprzestrzeni zagrożeń już w 2018 r.[65], czego F., jako administrator przetwarzający za pośrednictwem systemów informatycznych szeroki zakres wrażliwych danych osobowych, powinien był mieć pełną świadomość.
98.
Według platformy internetowej Statista, specjalizującej się w gromadzeniu i wizualizacji danych, w 2018 r. organizacje na całym świecie odnotowały w sumie ponad 206 milionów prób ataków za pomocą oprogramowania ransomware[66].
99.
Warto także podnieść, że w treści popularnego raportu „OWASP API Security Top 10 2019”, reprezentującego szeroki konsensus co do najważniejszych zagrożeń dla bezpieczeństwa aplikacji internetowych, wskazano, że brak rejestrowania i monitorowania systemów (np. poprzez mechanizmy logowania zdarzeń) w połączeniu z brakiem skutecznych instrumentów zintegrowanej reakcji na incydenty znacznie zwiększa ryzyko ataków na infrastrukturę informatyczną, przeprowadzanych m.in. w celu zmiany, kradzieży lub niszczenia danych. Większość badań w zakresie naruszeń bezpieczeństwa informacji pokazuje bowiem, że czas ich wykrycia wynosi ponad 200 dni[67]. Podkreślenia wymaga zatem, że fakt wykrycia przez Administratora obecności złośliwego oprogramowania dopiero po uruchomieniu przy jego pomocy algorytmów szyfrujących wskazuje na możliwość spenetrowania systemów Z. nawet wiele miesięcy przed tym zdarzeniem.
100.
Tymczasem, ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika nie tylko, że doszło do skutecznego ataku na infrastrukturę informatyczną Z. i czasowej utraty dostępności przetwarzanych za jej pomocą danych osobowych. Z jego analizy wyraźnie przebija też opieszałość Administratora w dążeniach, mających na celu realizację wymogów związanych ze zdolnością do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Należy bowiem zauważyć, że odzyskanie przez Administratora dostępu do danych, kiedy to „(…) wszystkie zaszyfrowane serwery zostały przywrócone z posiadanych kopii zapasowych”[68] nastąpiło po upływie aż 4 miesięcy od ich zaszyfrowania. Niezdolność Administratora do szybkiego przywrócenia dostępności danych osobowych stanowi zatem konsekwencję niespełnienia przez niego wymogów wyznaczonych przepisami rozporządzenia 2016/679, o których mowa w sentencji niniejszej decyzji, potwierdzając jednocześnie zasadność postawionych F. zarzutów, dotyczących naruszenia tych przepisów. Wdrożone przez Administratora procedury tworzenia, przechowywania oraz testowania kopii zapasowych okazały się być nieskuteczne w przypadku oprogramowania wykorzystanego do przeprowadzenia przedmiotowego cyberataku (podczas gdy informacje dotyczące oprogramowania X. były powszechnie dostępne przed wystąpieniem incydentu[69]). Odnotować więc trzeba, że sytuacji związanej z brakiem realnej zdolności do szybkiego odtworzenia czasowo utraconych danych można było uniknąć, a przynajmniej istotnie ograniczyć rozmiar negatywnych skutków dla osób fizycznych (w związku z 4-miesięcznym brakiem dostępności ich danych osobowych), gdyby Administrator wdrożył organizacyjne i techniczne środki bezpieczeństwa w kształcie przytoczonym w pkt II. D. decyzji - nastąpiło to jednak dopiero po wystąpieniu przedmiotowego incydentu.

Uzasadnienie upomnienia.

101.
Zdaniem Prezesa UODO, przedstawione powyżej ustalenia stwarzają dostateczne podstawy do stwierdzenia, że techniczne i organizacyjne środki wdrożone przez Administratora, aby przetwarzanie odbywało się zgodnie z przepisami rozporządzenia 2016/679 i aby móc to wykazać, w tym w szczególności środki mające zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych Z. objętych incydentem, nie tylko okazały się nieskuteczne, ale także zostały dobrane bez uwzględnienia kryteriów określonych w rozporządzeniu 2016/679, tj. stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, co przesądza o przetwarzaniu przez Administratora ww. danych osobowych w sposób niezapewniający odpowiedniego ich bezpieczeństwa, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
102.
W konsekwencji, w ocenie Prezesa UODO, przetwarzanie przez F. danych osobowych za pośrednictwem systemów informatycznych objętych incydentem odbywało się niezgodnie z przepisami rozporządzenia 2016/679, tj. z naruszeniem przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 tego rozporządzenia. Stwierdzone zaś w toku postępowania naruszenia przepisów rozporządzenia 2016/679 skutkują koniecznością orzeczenia przez organ nadzorczy względem Administratora proporcjonalnej sankcji, o której mowa w tym rozporządzeniu.
103.
Działając zatem na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Administratorowi upomnienia w zakresie stwierdzonych naruszeń przepisów rozporządzenia 2016/679, o których mowa w sentencji niniejszej decyzji.
104.
Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.
105.
Prezes UODO, w wyniku wszechstronnej analizy zgromadzonego w sprawie materiału dowodowego, zważył, że wystarczającym środkiem sankcyjnym jest udzielenie F. upomnienia. Za okoliczność łagodzącą, która między innymi za tym przemawia, Prezes UODO uznał, że w przedmiotowej sprawie brak jest dowodów uprawdopodobniających, że doszło również do naruszenia poufności danych osobowych. Czasowa utrata atrybutu ich dostępności przesądza zaś o konieczności przypisania niższego – a więc inaczej niż w przypadku jednoczesnego naruszenia poufności danych osobowych – poziomu ryzyka dla praw lub wolności podmiotów danych.
106.
Z zastrzeżeniem uwag poczynionych powyżej, w szczególności w pkt 73 – pkt 81 oraz pkt 89 – pkt 100 niniejszej decyzji, wskazać należy, że Administrator w toku postępowania dostatecznie wykazał, że w chwili wystąpienia incydentu posiadał rozbudowane instrumentarium technicznych i organizacyjnych środków bezpieczeństwa dla procesów przetwarzania danych osobowych (których dobór poprzedzony został przeprowadzeniem analizy ryzyka) poddawanych przez niego regularnemu testowaniu, mierzeniu i ocenieniu (pkt B niniejszej decyzji). Co równie istotne, do dnia wydania niniejszej decyzji F. podjął dalsze działania (opisane w pkt D decyzji) zmierzające do zapewnienia stanu przestrzegania przepisów rozporządzenia 2016/679, zgodnie z celem tego rozporządzenia, które – jak wynika z jego motywu 10 – dąży do zapewnienia wysokiego poziomu ochrony osób fizycznych w Unii[70].
107.
Na wyróżnienie zasługuje przy tym fakt rzetelnej współpracy Administratora z Prezesem UODO przy wyjaśnianiu stanu faktycznego, które w wymierny sposób przyczyniło się do możliwości wszechstronnego zbadania przez organ nadzorczy wszystkich istotnych okoliczności sprawy.
108.
Niezależnie od powyższego, wskazać należy, że po wystąpieniu incydentu Administrator dokonał ponownej analizy ryzyka przetwarzania danych osobowych w odniesieniu do wszystkich procesów przetwarzania zachodzących w jego strukturze, a następnie na jej gruncie wdrożył techniczne i organizacyjne środki bezpieczeństwa dla realizowanych procesów. W konsekwencji, Administrator wykazał inicjatywę ukierunkowaną na naprawienie zaistniałego stanu naruszenia ww. przepisów rozporządzenia 2016/679. Powyższe działania jednoznacznie potwierdzają chęć współpracy z Prezesem UODO celem usunięcia tego naruszenia, a to z kolei musi znaleźć swoje odzwierciedlenie w zastosowaniu wobec Administratora łagodniejszej sankcji, niż np. administracyjna kara pieniężna.
109.
Na fakt nałożenia na F. łagodnej sankcji miała również wpływ ta okoliczność, że prowadzi on na obszarze swojej właściwości działalność związaną z wykonywaniem doniosłych zadań z punktu widzenia właściwego działania państwa polskiego. Działalność ta nie jest ponadto związana z osiąganiem korzyści finansowych, a okoliczności popełnienia naruszeń przepisów rozporządzenia 2016/679 wskazują na nieumyślne działanie ze strony Administratora.
110.
Powyższe okoliczności uzasadniają zatem udzielenie F. jedynie upomnienia za stwierdzone naruszenia przepisów rozporządzenia 2016/679, o których mowa w decyzji, mając na względzie realną możliwość uniknięcia podobnych zdarzeń w przyszłości. Należy zauważyć, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia administracyjnej kary pieniężnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.
111.
Wobec powyższego, Prezes UODO orzekł, jak w sentencji niniejszej decyzji.
[3] Dz. Urz. UE L 119, s. 1, Dz. Urz. UE L 127 z 2018 r., str. 2, Dz. Urz. UE L 74 z 2021 r., s. 35.
[4] „Ransomware” jest rodzajem cyberataku, który m.in. blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych, wysuwając następnie żądanie zapłaty w zamian za pomoc w przywróceniu stanu pierwotnego.
[5] Zob. art. 4 pkt 1 rozporządzeni 2016/679, który definiuje pojęcie „danych osobowych”.
[6] Zob. Załącznik 5 do uzupełniającego zgłoszenia naruszenia ochrony danych osobowych z 7 czerwca 2021 r.
[7] Zob. art. 4 pkt 2 rozporządzenia 2016/679, który definiuje pojęcie „przetwarzania”.
[8] Zob. pkt 4A formularza zgłoszenia uzupełniającego.
[9] Zob. Załącznik 6 do uzupełniającego zgłoszenia naruszenia ochrony danych osobowych z 7 czerwca 2021 r.
[10] Zob. pkt 4A uzupełniającego zgłoszenia naruszenia ochrony danych osobowych z 7 czerwca 2021 r.
[11] Zob. pkt 4A uzupełniającego zgłoszenia naruszenia ochrony danych osobowych z 7 czerwca 2021 r.
[12] Zob. pismo z 25 kwietnia 2025 r.
[13] Zob. pkt 9A uzupełniającego zgłoszenia naruszenia ochrony danych osobowych z 7 czerwca 2021 r.
[14] Zob. pismo z 31 marca 2025 r.
[15] Zob. pismo z 31 marca 2025 r.
[16] Zob. pismo z 25 kwietnia 2025 r.
[17] Zob. Załącznik 5.1 do pisma z 31 marca 2025 r.
[18] Zob. pismo z 31 marca 2025 r.; formularze analizy ryzyka bezpieczeństwa informacji w obszarach departamentów Z. przed wystąpieniem incydentu zawarte w zał. 1.1 do pisma z 25 kwietnia 2025 r.
[19] Zob. Załączniki: 1, 2, 26, 27, 30 do pisma z 19 sierpnia 2021 r.
[20] Zob. pkt 9C uzupełniającego zgłoszenia naruszenia ochrony danych osobowych z 7 czerwca 2021 r.
[21] Zob. pismo z 25 kwietnia 2025 r.
[22] Zob. Załącznik 1.4 do pisma z 31 marca 2025 r.
[23] Zob. Załącznik 2.1 do pisma z 31 marca 2025 r.
[24] Zob. Załącznik 2.2 do pisma z 31 marca 2025 r.
[25] Zob. Załącznik 2.3 do pisma z 31 marca 2025 r.
[26] Zob. Załączniki 2.4 i 2.5 do pisma z 31 marca 2025 r.
[27] Zob. Załączniki 3.1–3.5 do pisma z 31 marca 2025 r.
[28] Zob. Załącznik 3.6 do pisma z 31 marca 2025 r.
[29] Zob. Załączniki 3.7–3.9 do pisma z 31 marca 2025 r.
[30] Zob. Załączniki 3.10–3.12 do pisma z 31 marca 2025 r.
[31] Zob. Załączniki 3.13–3.15 do pisma z 31 marca 2025 r.
[32] Zob. Załączniki 3.16–3.18 do pisma z 31 marca 2025 r.
[33] Zob. Załącznik 3.19 do pisma z 31 marca 2025 r.
[34] Zob. Załączniki 5.2–5.4 do pisma z 31 marca 2025 r.
[35] Zob. Załącznik 5.5 do pisma z 31 marca 2025 r.
[36] Zob. Załączniki 5.6–5.10 do pisma z 31 marca 2025 r.
[37] Zob. Załącznik 6.1 do pisma z 31 marca 2025 r. „Zestawienie szkoleń przeprowadzonych/zorganizowanych dla pracowników Z. F. (…), które swoim zakresem obejmowały kwestie cyberbezpieczeństwa”.
[38] Zob. Załączniki 3.22–3.28 do pisma z 31 marca 2025 r.
[39] Zob. P. Drobek [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 5, pkt 3.
[40] Zob. P. Barta, P. Litwiński, M. Kawecki [w:] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, Legalis 2021, art. 24, pkt 1.
[41] Zob. P. Fajgielski [w:] Komentarz do rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 32, pkt 9.
[42] Zob. tamże, art. 24, pkt 8.
[43] Zob. P. Barta, P. Litwiński, M. Kawecki, Op. cit., art. 5.
[44] Por. wyrok WSA w Warszawie z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19 (utrzymany w mocy przez NSA wyrokiem z 28 lutego 2024 r., sygn. akt III OSK 3839/21); wyrok WSA w Warszawie z 5 października 2023 r., sygn. akt II SA/Wa 502/23; wyrok WSA w Warszawie z 27 lutego 2024 r., sygn. akt II Sa/Wa 1404/23; wyrok NSA z 5 lipca 2024 r., sygn. akt III OSK 2654/22; wyrok WSA w Warszawie z 30 września 2025 r., sygn. akt II SA/Wa 536/25.
[45] Zob. A. Krasuski, 3. Zastosowanie konstrukcji konkretyzacji obowiązków prawnych w oparciu o kryterium ryzyka w wybranych aktach prawnych [w:] A. Krasuski, P. Siembida, Analiza ryzyka w ochronie danych osobowych, Warszawa 2022.
[46] Zob. D. Lubasz, Analiza ryzyka jako podstawa do realizacji obowiązków administratora, LEX/el. 2023.
[47] Zob. P. Fajgielski, Op. cit., art. 5, pkt 23.
[48] Zob. tamże.
[49] Por. wyrok WSA w Warszawie z 13 maja 2021 r., II SA/Wa 2129/20, LEX nr 3230694.
[50] Por. wyrok WSA w Warszawie z 17 kwietnia 2024 r., II SA/Wa 1342/23, LEX nr 3790155.
[51] Por. wyrok NSA z 5 lipca 2024 r., III OSK 2654/22, LEX nr 3750274.
[52] Por. wyrok WSA w Warszawie z 27 listopada 2024 r., II SA/Wa 251/24, LEX nr 3851869.
[53] Zob. Załącznik 1.1 do pisma z 25 kwietnia 2025 r.
[54] Zob. Załącznik 2.1 do pisma z 25 kwietnia 2025 r.
[55] Por. wyrok WSA w Warszawie z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19, LEX nr 3067899, utrzymany w mocy przez NSA wyrokiem z 28 lutego 2024 r., sygn. akt III OSK 3839/21, LEX nr 3755962.
[56] Np. oprogramowanie X. korzystało z podatności (…) (znanej od 2018 r.). Zob. (…)
[57] Zob. motyw 76 do preambuły rozporządzenia 2016/679.
[58] Por. wyrok NSA z 9 lutego 2023 r., III OSK 3945/21, LEX nr 3508987.
[59] Por. wyrok TSUE z 14 grudnia 2023 r., C-340/21, Natsionalna agonista za prihodite, pkt 34, LEX nr 3642726.
[60] Por. wyrok WSA w Warszawie z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19 (utrzymany w mocy przez NSA wyrokiem z 28 lutego 2024 r., sygn. akt III OSK 3839/21); wyrok WSA w Warszawie z 5 października 2023 r., sygn. akt II SA/Wa 502/23; wyrok WSA w Warszawie z 27 lutego 2024 r., sygn. akt II Sa/Wa 1404/23; wyrok NSA z 5 lipca 2024 r., sygn. akt III OSK 2654/22; wyrok WSA w Warszawie z 30 września 2025 r., sygn. akt II SA/Wa 536/25.
[61] Zob. Wytyczne nr (…) dotyczące artykułu 25. Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych. Wersja 2.0. Przyjęte 20 października 2020 r., str. 29, dostępne w Internecie: https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_pl.pdf
[62] Zob. tamże, str. 4
[63] Por. wyrok WSA w Warszawie z 6 czerwca 2023 r., II SA/Wa 1939/22; wyrok WSA w Warszawie z 21 czerwca 2023 r., II SA/Wa 150/23, LEX nr 3619707.
[64] Zob. pismo z 25 kwietnia 2025 r.
[65] Zob. NASK/CERT Polska, Krajobraz bezpieczeństwa polskiego internetu. Raport roczny z działalności CERT Polska. 2018, dostępne [on-line]: https://cert.pl/uploads/docs/Raport_CP_2018.pdf
[66] Zob. Annual number of ransomware attempts worldwide from 2017 to 2022, Statista, dostępne [on-line]: https://www.statista.com/statistics/494947/ransomware-attempts-per-year-worldwide/
[67] Zob. OWASP, OWASP API Security Top 10 2019, dostęp [on-line]: https://owasp.org/API-Security/editions/2019/en/0x11-t10/
[68] Zob. pismo z 31 marca 2025 r.
[69] Zob. (…)
[70] Zob. wyrok TSUE z 9 lutego 2023 r., C-453/21, X-Fab Dresden GmbH and Co. KG, pkt 25.