Decyzja DKN.5131.30.2022

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), art. 7 ust. 1 i 2, art. 60, art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. b) w związku z art. 33 ust. 1, art. 58 ust. 2 lit. i), art. 83 ust. 1 – 3 oraz art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3 oraz art. 32 ust. 1 i 2, a także art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, S.. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej jako rozporządzenie 2016/679,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Gminny Ośrodek Pomocy Społecznej w K. (K. (…), (…)-(…) K.) oraz Wójta Gminy K. (Urząd Gminy K., K. (…), (…)-(…) K.), Prezes Urzędu Ochrony Danych Osobowych,

1)

stwierdzając naruszenie przez Gminny Ośrodek Pomocy Społecznej w K. (K. (…), (…)-(…) K.) art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na:

a)

niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,

b)

niewdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów, aktualizacji oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia,

c)

braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą,

skutkujące naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679),

nakłada na Gminny Ośrodek Pomocy Społecznej w K. (K. (…), (…)-(…) K.), za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 28 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 5 000,00 zł (słownie: pięć tysięcy złotych);

2)

stwierdzając naruszenie przez Gminny Ośrodek Pomocy Społecznej w K. (K. (…), (…)-(…) K.) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,

udziela upomnienia Gminnemu Ośrodkowi Pomocy Społecznej w K. (K. (…), (…)-(…) K.);

3)

stwierdzając naruszenie przez Wójta Gminy K. (Urząd Gminy K., K. (…), (…)-(…) K.) art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewniających ich dostępność,

nakłada na Wójta Gminy K. (Urząd Gminy K., K. (…), (…)-(…) K.), za naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 10 000,00 zł (słownie: dziesięć tysięcy złotych).

Uzasadnienie

1.

16 września 2022 r. Gminny Ośrodek Pomocy Społecznej w K. (K. (…), (…)-(…) K.), dalej jako GOPS lub Administrator, dokonał Prezesowi Urzędu Ochrony Danych Osobowych, zwanemu dalej także Prezesem UODO lub organem nadzorczym, zgłoszenia naruszenia ochrony danych osobowych, do którego doszło 23 marca 2021 r. Wcześniej (26 marca 2021 r.) ww. naruszenie ochrony danych osobowych zostało zgłoszone przez Wójta Gminy K. (Urząd Gminy K., K. (…), (…)-(…) K.), dalej jako Wójt lub Podmiot przetwarzający. Naruszenie ochrony danych osobowych było następstwem ataku ransomware. W następstwie tego incydentu zostały zaszyfrowane dane osobowe znajdujące się w zasobach GOPS.

2.

Ww. zgłoszenia naruszenia ochrony danych osobowych stały się dla organu nadzorczego impulsem do dokonania oceny realizacji przez Administratora i Podmiot przetwarzający spoczywających na nich obowiązków wynikających z przepisów rozporządzenia 2016/679 dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych. W związku z powyższym, Prezes UODO przeprowadził postępowanie wyjaśniające w tej sprawie, a następnie 13 maja 2022 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Wójta obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

3.

W następstwie analizy zgłoszonych naruszeń ochrony danych osobowych przez GOPS i Wójta oraz dalszych wyjaśnień przekazanych przez ww. podmioty stwierdzono, że ww. zgłoszenia dotyczą tego samego incydentu bezpieczeństwa. Wobec tego, pismem z 5 grudnia 2024 r. Prezes UODO zawiadomił GOPS o uznaniu go za stronę postępowania administracyjnego prowadzonego pod sygnaturą DKN.5131.30.2022 wskazując, że przedmiotem tego postępowania jest możliwość naruszenia przez GOPS obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. Jednocześnie pismem z 5 grudnia 2024 r. Prezes UODO rozszerzył postępowanie o sygn. DKN.5130.30.2022 o możliwość naruszenia przez Wójta obowiązków wynikających z przepisów art. 28 ust. 1 i 3 rozporządzenia 2016/679. Następnie pismami z 7 stycznia 2025 r. Prezes UODO zawiadomił Administratora i Podmiot przetwarzający o rozszerzeniu postępowania o sygn. DKN.5130.30.2022 o możliwość naruszenia art. 33 ust. 1 rozporządzenia 2016/679.

Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego w sprawie zgłoszonego naruszenia ochrony danych osobowych oraz postępowania administracyjnego ustalił następujący stan faktyczny.

4.

W pierwszej kolejności należy wskazać, że przedmiotem niniejszego postępowania administracyjnego jest naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3, art. 32 ust. 1 i 2 oraz art. 33 ust. 1 rozporządzenia 2016/679. Nie jest nim natomiast identyfikacja przyczyn naruszenia ochrony danych osobowych z 23 marca 2021 r. Wobec tego ustalenia stanu faktycznego koncentrowały się w głównej mierze na zbadaniu, czy Administrator i Podmiot przetwarzający rzeczywiście wdrożyli adekwatne środki bezpieczeństwa mające gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych, a w szczególności, czy wdrożenie tych środków zostało poprzedzone przeprowadzaniem analiz ryzyka. Ustalając stan faktyczny organ nadzorczy zbadał także, czy wdrożone środki podlegały regularnemu testowaniu, mierzeniu i ocenianiu skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Ustalenia dotyczyły również relacji między Administratorem a Podmiotem przetwarzającym w kontekście zbadania zgodności działań tych podmiotów z wymogami określonymi w rozporządzeniu 2016/679, zarówno w obszarze wdrożenia adekwatnych środków bezpieczeństwa, powierzenia przetwarzania danych osobowych oraz zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu. Ustalenia w tym zakresie wskazują na naruszenie przepisów rozporządzenia 2016/679, które zostały opisane w sentencji niniejszej decyzji.

I. Szczegóły dotyczące naruszenia ochrony danych osobowych z 23 marca 2021 r.

5.

Administrator i Podmiot przetwarzający przekazali organowi nadzorczemu informacje o szczegółach incydentu bezpieczeństwa, który miał miejsce 23 marca 2021 r. i doprowadził do naruszenia ochrony danych osobowych.

6.

W formularzu „Zgłoszenie naruszenia ochrony danych osobowych” z 26 marca 2021 r. Wójt wskazał, że naruszenie ochrony danych osobowych było związane z działaniem złośliwego oprogramowania, w następstwie którego doszło do zaszyfrowania zasobów na jednym z serwerów urzędu. Administrator wskazał, że utracił dostęp do plików, w tym tych, które zawierały dane osobowe (dane beneficjentów GOPS). Administrator wyjaśnił, że „(…) Ze wstępnych ustaleń wynika, że tylko jeden serwer jest objęty incydentem, pozostałe serwery zostały sprawdzone przez specjalistę zajmującego się bezpieczeństwem i nie zostało stwierdzone naruszenie ochrony danych, ani naruszenie bezpieczeństwa. Trwają prace zespołu informatyki śledczej i nie zostało dotąd potwierdzone przesłanie danych na zewnątrz [tzw. Wyciek] (…)”.

7.

Wójt wyjaśnił, że przyczyną naruszenia ochrony danych osobowych było zewnętrzne działanie zamierzone. Określony został ponadto charakter tego naruszenia – Wójt wskazał, że doszło do naruszenia dostępności danych. Wójt określił, że przybliżona liczba osób, których naruszenie dotyczy, wynosi 1500. Wójt wskazał, że kategorie danych osobowych, które zostały naruszone, obejmują:

–

nazwiska i imiona,

–

imiona rodziców,

–

datę urodzenia,

–

numer rachunku bankowego,

–

adres zamieszkania lub pobytu,

–

numer ewidencyjny PESEL,

–

adres e-mail,

–

dane dotyczące zarobków i/lub posiadanego majątku,

–

nazwisko rodowe matki,

–

serię i numer dowodu osobistego,

–

numer telefonu.

Ponadto Wójt wskazał, że naruszone zostały dane dotyczące wyroków skazujących.

8.

W treści zgłoszenia naruszenia ochrony danych osobowych Wójt określił kategorię osób, których dotyczy naruszenie, wskazując, że obejmuje ono jego klientów, ale w toku postępowania ustalono, że osoby, których dane osobowe zostały objęte naruszeniem ochrony danych osobowych, były beneficjentami GOPS.

9.

Ze zgłoszenia naruszenia ochrony danych osobowych przekazanego przez GOPS wynika natomiast, że kategorie osób, których zostały naruszone, obejmują:

–

pracowników,

–

klientów podmiotów publicznych,

–

dzieci,

–

osoby o szczególnych potrzebach (np. osoby starsze, niepełnosprawne itp.).

GOPS wskazał, że naruszone dane osobowe należą do następujących kategorii:

–

nazwiska i imiona,

–

imiona rodziców,

–

data urodzenia,

–

numer rachunku bankowego,

–

adres zamieszkania lub pobytu,

–

numer ewidencyjny PESEL,

–

adres e-mail,

–

dane dotyczące zarobków/lub posiadanego majątku,

–

seria i numer dowodu osobistego,

–

numer telefonu,

–

inne: obywatelstwo, wykształcenie, płeć, stan cywilny, dane opiekuna prawnego, zawód wykonywany, miejsce pracy i nauki, pozycja na rynku, kwalifikacje i doświadczenie zawodowe, osoby zobowiązane do alimentacji, świadczone alimenty,, wydatki, warunki mieszkaniowe, przemoc, problemy opiekuńczo wychowawcze, wsparcie asystenta rodziny, nadzór kuratora, zadłużenia, pobyt w DPS, sytuacja majątkowa.

Ponadto GOPS zawiadomił, że naruszone zostały dane dotyczące wyroków skazujących i dane dotyczące zdrowia.

10.

Wójt został wezwany do złożenia wyjaśnień dotyczących ustalenia, w jaki sposób doszło do zaszyfrowania danych przez złośliwe oprogramowanie, jakie były okoliczności, źródło oraz przyczyny powstania naruszenia ochrony danych osobowych. W piśmie z 14 grudnia 2021 r. wyjaśnił, że „(…) w dniu 22.03.2021 r., około godz. 7:30, po uruchomieniu systemu informatycznego Urzędu Gminy ASI stwierdził, że następuje samoczynne szyfrowanie baz danych. Po uzyskaniu tej informacji IOD nakazał natychmiastowe wyłączenie serwerów i jednostek komputerowych pracowników. Źródła ani przyczyn nie ustalono (…)”. W piśmie z 4 lipca 2022 r. wyjaśnił ponadto, że „(…) zgodnie z ustaleniami zewnętrznego podmiotu profesjonalnego – laboratorium informatyki śledczej – przekazanymi Administratorowi, ataku dokonano z wykorzystaniem oprogramowania (…) z rodziny (…) (…)”.

II. Szczegóły dotyczące naruszenia dostępności danych osobowych w następstwie incydentu bezpieczeństwa z 23 marca 2021 r.

11.

W następstwie incydentu bezpieczeństwa doszło do naruszenia dostępności danych osobowych przetwarzanych przez Administratora. W tym zakresie wyjaśnienia złożył zarówno sam Administrator, jak i Podmiot przetwarzający.

12.

W formularzu zgłoszenia naruszenia ochrony danych osobowych przekazanym przez Administratora wskazano, że w wyniku działań operacyjnych Policji oraz działań następczych podjętych przez profesjonalny podmiot odzyskano „usunięte wpisy z dzienników zdarzeń z przestrzeni nieprzydzielonej zabezpieczonych obrazów”. Jednocześnie Administrator zadeklarował, że podczas trwania naruszenia ochrony danych osobowych zapewnił pełną obsługę mieszkańców w zakresie jego działalności ustawowej. Administrator oświadczył, że wnioski były przyjmowane w formie papierowej, a świadczenia wypłacał zgodnie z przyjętymi terminami (por. pismo GOPS z 22 lipca 2024 r.).

13.

Bardziej szczegółowe wyjaśnienia w omawianym zakresie przedstawił Wójt. Z jego wyjaśnień wynika, że w następstwie incydentu bezpieczeństwa nastąpiło tymczasowe uszkodzenie i prewencyjne wyłączenie systemów informatycznych Urzędu Gminy K. oraz Gminnego Ośrodka Pomocy Społecznej w K.. Wójt podjął działania mające na celu ograniczenie ryzyka eskalacji incydentu i ochronę integralności oraz poufności danych. Po przeprowadzeniu szczegółowej analizy incydentu Wójt nie stwierdził, aby naruszenie ochrony danych osobowych objęło dane osobowe przetwarzane przy wykorzystaniu systemów informatycznych Urzędu Gminy K. (por. pismo z 13 listopada 2024 r.).

14.

W piśmie z 14 grudnia 2021 r. Wójt wskazał, że „(…) ograniczenie dostępności utrzymywało się przez okres od 22.03.21 do 02.04.21, w tym czasie przywrócono wszystkie dane. Administrator [tzn. Wójt – uwaga organu nadzorczego] skorzystał z pomocy specjalistycznej firmy zewnętrznej, która przeskanowała dane z serwera, wyczyściła je i zainstalowała na przejściowym nowym serwerze, podobnie uczyniono [kontrolnie] ze wszystkimi jednostkami końcowymi oczyszczając je z ewentualnego złośliwego oprogramowania. Śledztwo prowadzone przez Policję pod nadzorem Prokuratury zostało umorzone (…) Został zaszyfrowany jeden serwer, komputery stanowiskowe zostały natychmiast wyłączone i dane na nich zgromadzone nie uległy zaszyfrowaniu (…)”. Wójt, wraz z wyjaśnieniami z 14 grudnia 2021 r., przedłożył m.in. procedurę tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, zawartą w dokumencie o nazwie „Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy K.”.

15.

Jak wynika z pisma Administratora z 15 stycznia 2025 r. „(…) Naruszenie ochrony danych osobowych trwało w okresie od 22 marca 2021 r. do 31 marca 2021 r. tak wynika z Protokołu (…) Incydentu. Administrator wyjaśnia, że wskazanie w zgłoszeniu naruszenia ochrony danych osobowych przekazanym przez GOPS daty 30 marca 2021 r. wynika z faktu uruchomienia systemów informatycznych do obsługi świadczeń rodzinnych i funduszu alimentacyjnego oraz wypłat w tym dniu świadczeń dla mieszkańców, inne systemy zostały uruchomione w dniu 31.03.2021 r (…)”

16.

W piśmie z 12 stycznia 2022 r. Podmiot przetwarzający wskazał, że „(…) za przywrócenie baz danych odpowiedzialna była firma M. (…) z Z., we współpracy z dostawcą oprogramowania firmą B. z D.. W wyniku oględzin specjaliści ustalili, że bazy są zaszyfrowane jedynie w części [str. 8-10 załączonego protokołu] i uszkodzenia dotyczą jedynie kilku procent zawartości baz [oznaczone kolorem czerwonym na rys. 2-4 «J. (…)», jednak te uszkodzenia powodowały brak możliwości zaczytania baz przez aplikacje dziedzinowe. UG K. pozyskał od B. strukturę wzorcową, do której dopasowane zostały przez M. (…) dane [zawartość] z uszkodzonych baz, zgodnie ze schematami [schemami], a następnie zaimportowane do nowych baz przez specjalistów z firmy B.. Po przygotowaniu baz, pracownicy GOPS zweryfikowali poprawność zapisów w bazie i po poprawnej weryfikacji rozpoczęto korzystanie z baz [wypłatę świadczeń]. Bazy zostały przywrócone z wykorzystaniem technik odzyskowych, bez konieczności zakupu narzędzia deszyfrującego od atakujących (…)”.

III. Szczegóły dotyczące potencjalnego naruszenia poufności danych osobowych w następstwie incydentu bezpieczeństwa z 23 marca 2021 r.

17.

Administrator oraz Podmiot przetwarzający przekazali Prezesowi UODO informacje dotyczące możliwości naruszenia poufności danych.

18.

W zgłoszeniu naruszenia ochrony danych osobowych Administrator oświadczył, że nie doszło do naruszenia poufności danych osobowych. Wskazał on, że „(…) w wyniku działań operacyjnych funkcjonariuszy Wydziału dw. z C. Komendy Wojewódzkiej Policji w T. oraz działań następczych podjętych przez podmiot profesjonalny M. (…) Z. udało się odzyskać usunięte wpisy z dzienników zdarzeń z przestrzeni nieprzydzielonej zabezpieczonych obrazów. Ponadto, brak eksfiltracji danych osobowych potwierdzono także w oparciu o analizę danych transmisyjnych dostarczonych przez operatora telekomunikacyjnego. W analizowanym okresie nie stwierdzono anomalii w zakresie transferu danych z sieci IT UG na zewnątrz, a z tej sieci korzystał GOPS w K., w porównaniu do podobnych okresów przed wystąpieniem naruszenia (…)”.

19.

Bardziej szczegółowe wyjaśnienia w tym zakresie złożył Podmiot przetwarzający. W piśmie z 14 grudnia 2021 r. oświadczył on, że jego zdaniem „(…) dane nie zostały wykradzione ani odczytane a także nie utracono poufności danych osobowych. Charakter złośliwego oprogramowania wskazuje na szyfrowanie danych niekoniecznie w celu ich wykradzeniu lub odczytaniu, lecz wyłudzenie okupu. Świadczy o tym wpis dotyczący wpłaty na podane konto bitcoinów (…)”.

20.

Organ nadzorczy zwrócił się do Wójta z zapytaniem, czy dokonano analizy logów systemowych w celu ustalenia, czy doszło do pobrania danych przez osobę/osoby nieuprawnione. Wójt w piśmie z 12 stycznia 2022 r. wskazał, że „(…) badanie wykonywane było przez firmę M. (…) z Z. na podstawie artefaktów. Niemożliwe było przeprowadzenie badania na podstawie dziennika zdarzeń, ponieważ atakujący wyczyścili dzienniki (rys. 1, str. 5 Protokołu). W trakcie badania nie ujawniono śladów eksfiltracji danych (pkt. 5 Protokołu) (…)”.

21.

Organ nadzorczy skierował do Wójta zapytanie, czy ten zwrócił się do dostawcy Internetu o udzielenie informacji, czy w dniach wystąpienia zdarzenia został odnotowany transfer danych świadczący o możliwości pobrania danych przez osobę/osoby nieuprawnione. Wójt w piśmie z 12 stycznia 2022 r. wskazał, że dostawca Internetu przekazał taką informację firmie specjalistycznej, która na jego zlecenie zajmowała się odszyfrowywaniem serwerów. Ponadto, Wójt dostarczył kopię swojej korespondencji z dostawcą Internetu (e-mail z 5 stycznia 2022 r. i 12 stycznia 2022 r.), w której wskazano „(…) w tych dniach jedynie odnotowaliśmy połączenia [logi otrzymała firma przywracająca Waszą sieć do działania]. Jak pamiętam rozmawialiśmy z pracownikami tej firmy, nie mogło dojść do zwiększonej ilości przesyłanych danych, ponieważ Urząd Gminy K. nie posiada wielkich baz danych. Jeśli nastąpił zwiększony transfer danych to był w ilościach niezauważalnych dla naszych systemów monitorujących przesyłanie danych – przesyłanie danych zwykłego użytkownika. Wszystkie potrzebne dane co do zaistniałej sytuacji posiada Wasza firma przywracająca dane (…)”.

22.

Prezes UODO zwrócił się do Wójta o wyjaśnienie, na jakiej podstawie uznał, że nie doszło do utraty poufności danych w wyniku zaistniałego incydentu bezpieczeństwa. W piśmie z 4 lipca 2022 r. Wójt wskazał, że „(…) W wyniku działań podjętych przez instytucję specjalistyczną [laboratorium informatyki śledczej] udało się odzyskać usunięte w dniu 20.03.2021 r. o godzinie 10:36:01 wpisy z dzienników zdarzeń z przestrzeni nieprzydzielonej zabezpieczonych obrazów (…) Ponadto, brak eksfiltracji danych osobowych potwierdzono także w oparciu o analizę danych transmisyjnych dostarczonych przez operatora telekomunikacyjnego. W analizowanym okresie nie stwierdzono anomalii w zakresie transferu danych z sieci IT UG na zewnątrz, w porównaniu do podobnych okresów przed wystąpieniem naruszenia. Mając na uwadze powyższe potwierdzamy, że nie doszło od naruszenia poufności danych poprzez ich eksfiltrację, a szkodliwe oprogramowanie szyfrujące dzięki szybkiej reakcji informatyka UG nie spowodowało zaszyfrowania pozostałych baz danych i stacji roboczych należących do UG (…)”. Na dowód powyższego, Wójt przedstawił „Protokół z obsługi incydentu w Urzędzie Gminy K. oraz Gminnym Ośrodku Pomocy Społecznej w K.” z 6 maja 2021 r.

IV. Ustalenie dotyczące środków bezpieczeństwa zastosowanych po naruszeniu ochrony danych osobowych.

23.

Administrator przedłożył wyjaśnienia dotyczące działań naprawczych wdrożonych po naruszeniu ochrony danych osobowych. W piśmie z 22 lipca 2024 r. wskazał on, że „(…)”.

24.

Wyjaśnienia w tym zakresie złożył także Podmiot przetwarzający. W piśmie z 8 września 2021 r. wyjaśnił on, że „(…) Gmina K. w wyniku postępowania o zamówienie publiczne pn. «(…)», wybrała ofertę firmy: F. (…) Sp. z o.o. ul. (…), (…)-(…) D.. Przedmiot zamówienia obejmuje dostawę i montaż nw. Urządzeń: (…). Wykonawca zobowiązał się do wykonania usługi, dokonania uruchomienia urządzeń odbioru końcowego do końca września br. (…)”. Z kolei w piśmie z 14 grudnia 2021 r. Wójt wyjaśnił, że zamówione urządzenia i oprogramowanie są w trakcie montażu.

V. Status Administratora i Podmiotu przetwarzającego.

25.

Administratorem naruszonych danych osobowych był GOPS, a Podmiotem przetwarzającym te dane osobowe w imieniu Administratora był Wójt. Pierwotnie naruszenie ochrony danych osobowych zostało zgłoszone przez Wójta, a następnie 16 września 2022 r. naruszenie ochrony danych osobowych zgłosił GOPS. Po analizie wyjaśnień przedłożonych przez Wójta i GOPS ustalono status ww. podmiotów.

26.

Wójt przedłożył wyjaśnienia dotyczące jego relacji z GOPS w kontekście przedmiotowego naruszenia ochrony danych osobowych informując w piśmie z 31 sierpnia 2022 r., że „(…) 25 maja 2018 roku zawarł z Kierownikiem Gminnego Ośrodka Pomocy Społecznej, Porozumienie w sprawie nieodpłatnego udostępnienia infrastruktury informatycznej Urzędu na potrzeby prowadzenia działalności statutowej. Dnia 1 lutego 2022 r. zostało podpisane uzupełniające Porozumienie w zakresie wspólnego użytkowania infrastruktury informatycznej między Urzędem Gminy, a jednostką organizacyjną (…)”

27.

Wraz z ww. wyjaśnieniami Wójt przedłożył kopię ww. porozumień. W ich treści wskazano, że GOPS przysługuje status administratora danych, a Urzędowi Gminy K. reprezentowanemu przez Wójta przynależny jest status podmiotu przetwarzającego. Celem zawarcia porozumień było ustalenie zasad korzystania przez GOPS z infrastruktury informatycznej Urzędu Gminy K. na potrzeby prowadzenia działalności statutowej. Porozumienia określają zakres obowiązków Podmiotu przetwarzającego. Porozumienie zawarte przed wystąpieniem naruszenia ochrony danych osobowych w części regulującej zobowiązania podmiotu przetwarzającego powtarza treść art. 28 ust. 3 rozporządzenia 2016/679.

28.

W piśmie z 4 lipca 2022 r. Wójt wyjaśnił, że „(…) powiadomił niezwłocznie GOPS o zdarzeniu i jego okolicznościach (…)”. Wraz z ww. pismem Podmiot przetwarzający przekazał „(…) kopię faktury VAT za wykonane usługi przez instytucję specjalistyczną (laboratorium informatyki śledczej), gdzie płatnikiem jest UG oraz GOPS - Załącznik nr (…) (…)”.

29.

Administrator przedstawił wyjaśnienia dotyczące weryfikacji Podmiotu przetwarzającego. W piśmie z 22 lipca 2024 r. GOPS wyjaśnił, że przed zawarciem umowy powierzenia danych osobowych zweryfikował, czy Wójt wdrożył odpowiednie środków techniczne i organizacyjne, aby zapewnić zgodność z rozporządzeniem 2016/679 i ochronę praw osób, których dane dotyczą. Dodatkowe wyjaśnienia w tym zakresie Administrator zawarł w piśmie z 14 listopada 2024 r., w których wskazał, że „(…) zawarł z Podmiotem przetwarzającym porozumienie dotyczące powierzenia przetwarzania danych osobowych, w którym określono obowiązki Podmiotu przetwarzającego i wymagany zakres ochrony, a Podmiot przetwarzający oświadczył, że spełnia te wymagania. Nadto, Administrator poddał analizie obowiązujące u Podmiotu przetwarzającego Politykę ochrony danych osobowych oraz inne dokumenty dotyczące bezpieczeństwa i ochrony danych, jednak - w uwagi na wyznaczenie wspólnego IODO - czynność ta nie została w żaden sposób udokumentowana (…)”.

30.

Wraz z pismem z 22 lipca 2024 r. Administrator przekazał „Protokół sprawdzenia pomieszczeń, w których będą przetwarzane dane osobowe Gminnego Ośrodka Pomocy Społecznej w K.”. Z tego dokumentu wynika, że kontrola została przeprowadzona 25 maja 2018 r., a jej przedmiotem było sprawdzenie pomieszczeń, w których były przetwarzane dane osobowe. W omawianym dokumencie wskazano: „(…) Pomieszczenie w Urzędzie Gminy K., w którym będą przetwarzane dane osobowe zgodnie z zaplanowanym porozumieniem spełnia wymagania ustawy z dnia 10 maja 2018 r. ochronie danych osobowych. Wójt Gminy K. opracował i wdrożył Politykę Bezpieczeństwa Przetwarzania Danych Osobowych. Dostęp do pomieszczenia mają osoby upoważnione przez Administratora Danych Osobowych. Serwery zabezpieczone są programami antywirusowymi (…)”.

31.

Pismem z 5 grudnia 2024 r. Prezes UODO zwrócił się do Administratora o wyjaśnienie, czy przed wystąpieniem naruszenia ochrony danych osobowych korzystał on z prawa kontroli, o którym mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679, wobec Pomiotu przetwarzającego. W odpowiedzi na powyższe w piśmie z 11 grudnia 2024 r. Administrator wyjaśnił, że „(…) korzystał z prawa kontroli wobec Wójta Gminy K., w związku z zawartymi porozumieniami w zakresie wspólnego użytkowania infrastruktury informatycznej i powierzenia przetwarzania danych osobowych (…)”.

32.

Administrator przekazał organowi nadzorczemu protokoły wskazujące na datę i zakres przeprowadzonych przez niego czynności kontrolnych wobec Podmiotu przetwarzającego. W dokumencie o nazwie: „Protokół kontroli działań organizacyjnych stosowanych przez Wójta Gminy K. w związku z przetwarzaniem danych osobowych Gminnego Ośrodka Pomocy Społecznej w K.” z 18 grudnia 2020 r. wskazano, że przedmiotem kontroli było „(…) Sprawdzenie dokumentów i działań organizacyjnych stosowanych przez Urząd Gminy K. w związku z przetwarzaniem danych osobowych zgodnie z zawartym dnia 25 maja 2018 r. porozumieniem z Urzędem Gminy K. dotyczącego wspólnego użytkowania infrastruktury między Urzędem Gminy a Gminnym Ośrodkiem Pomocy Społecznej w K. oraz powierzeniem przetwarzania danych osobowych (…)”.

33.

W przedłożonym protokole (dokument stanowi załącznik do pisma Administratora z 12 grudnia 2024 r.) wskazano, że:

–

pomieszczenie w Urzędzie Gminy K., w którym przetwarzane są dane osobowe zgodnie z zawartym porozumieniem z dnia 25 maja 2018 r. spełnia wymagania ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000),

–

Wójt opracował i wdrożył Politykę Bezpieczeństwa Informacji w Urzędzie Gminy K. Zarządzeniem (…) z dnia 25 maja 2018 r. oraz Instrukcję (…) Systemami Informatycznymi z dnia 25.05.2018 r.,

–

powołano Inspektora Ochrony Danych Osobowych (IOD), który nadzoruje przetwarzanie danych osobowych w GOPS i Urzędzie Gminy, oraz przekazuje niezbędne informacje dotyczące przepisów prawa i ochrony danych osobowych na stanowiskach pracy.

–

powołano Administratora Systemów Informatycznych (ASI),

–

dostęp do pomieszczeń posiadają osoby upoważnione przez Administratora Danych Osobowych, natomiast dostęp do pomieszczenia serwerowni posiada jedynie ASI,

–

prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych w GOPS i UG.

34.

Administrator przedstawił również dokumenty potwierdzające przeprowadzenie czynności kontrolnych wobec Podmiotu przetwarzającego, które zostały wykonane po wystąpieniu naruszenia ochrony danych osobowych. W dokumencie o nazwie: „Protokół sprawdzenia pomieszczeń, w których przetwarzane są dane osobowe Gminnego Ośrodka Pomocy Społecznej w K.” z 1 lutego 2022 r. wskazano, że przedmiotem kontroli było sprawdzenie pomieszczeń, w których przetwarzane były dane osobowe zgodnie z zawartym porozumieniem z Urzędem Gminy K. dotyczącym wspólnego użytkowania infrastruktury oraz powierzeniem przetwarzania danych osobowych.

35.

W treści protokołu wskazano, że:

–

pomieszczenie w Urzędzie Gminy K., w którym przetwarzane są dane osobowe zgodnie z zawartym porozumieniem z dnia 1 lutego 2022 r. spełnia wymagania ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych,

–

Wójt opracował i wdrożył Politykę Bezpieczeństwa Przetwarzania Danych Osobowych, powołał Inspektora Ochrony Danych Osobowych (IOD),

–

dostęp do pomieszczenia mają osoby upoważnione przez Administratora Danych Osobowych,

–

(…),

–

(…),

–

Wójt powołał Administratora Systemu Informatycznego (ASI), który odpowiada za funkcjonowanie infrastruktury teleinformatycznej,

–

kopie zapasowe wszystkich systemów wykonywane są każdego dnia w sposób automatyczny za pośrednictwem dedykowanego narzędzia.

36.

Administrator dostarczył ponadto „Protokół ze sprawdzenia pomieszczeń / stanowisk pracy pod względem przestrzegania zasad ochrony danych osobowych” z 19 grudnia 2022 r. oraz „Protokół ze sprawdzenia pomieszczeń / stanowisk pracy pod względem przestrzegania zasad ochrony danych osobowych” z 22 grudnia 2022 r. Celem kontroli oraz ich zakresem było zweryfikowanie „(…) przestrzegania zasad ochrony danych osobowych w pomieszczeniach i na stanowiskach pracy, zgodnie z obowiązującymi przepisami prawa oraz wewnętrznymi regulacjami organizacji (…)”. Kontrolą z 19 grudnia 2022 r. objęto: „pokój nr (…) - Pomoc społeczna, świadczenia rodzinne, fundusz alimentacyjny”, a kontrolą z 21 grudnia 2022 r.: „pokój nr (…)”.

37.

Jak wynika z ww. protokołów dziania kontrolne polegały na:

–

przeglądzie dokumentacji papierowej pod kątem właściwego przechowywania (szafki zamykane na klucz, segregatory z etykietami itp.),

–

sprawdzeniu przestrzegania zasad czystego biurka (brak pozostawionych dokumentów zawierających dane osobowe na biurkach),

–

weryfikacji dostępu do urządzeń elektronicznych (komputery, drukarki, skanery) oraz stosowania zabezpieczeń (hasła, blokady ekranu),

–

kontroli właściwego korzystania z nośników danych (pendrive'y, dyski zewnętrzne),

–

sprawdzeniu oznaczenia pomieszczeń i urządzeń zgodnie z polityką ochrony danych osobowych,

–

weryfikacji wiedzy pracowników na temat procedur związanych z ochroną danych osobowych.

38.

W pkt 4 protokołu z kontroli z 19 grudnia 2022 r. (Wyniki kontroli), wskazano: „(…) Na podstawie przeprowadzonych rozmów z pracownikami, obserwacji oraz zbadanej dokumentacji należy stwierdzić, że pracownicy prawidłowo przestrzegają zasad ochrony danych osobowych. Kontrola wykazała, że ogólne zasady ochrony danych osobowych są przestrzegane, jednak brak hasła na jednym ze stanowisk pracy stanowi poważne zagrożenie dla bezpieczeństwa danych. Należy natychmiast wprowadzić odpowiednie środki zaradcze (…)”.

39.

W pkt 4 protokołu z kontroli z 22 grudnia 2022 r. (Wyniki kontroli), wskazano: „(…) Na podstawie przeprowadzonych rozmów z pracownikiem, obserwacji oraz zbadanej dokumentacji należy stwierdzić, że pracownik prawidłowo przestrzega zasad ochrony danych osobowych. Kontrola wykazała, że ogólne zasady ochrony danych osobowych są przestrzegane (…)”.

40.

Kolejną kontrolę Administrator przeprowadził 19 grudnia 2023 r. Z protokołu kontroli wynika, że jej zakres był tożsamy z zakresem kontroli przeprowadzonej 1 lutego 2022 r. Wyniki kontroli z 19 grudnia 2023 r. w istocie są zbieżne z wynikami kontroli z 1 lutego 2022 r., z tą różnicą, że w protokole z 19 grudnia 2023 r. wskazano dodatkowo, że „(…) Inspektor Ochrony Danych Osobowych dla pracowników Urzędu Gminy i Gminnego Ośrodka Pomocy Społecznej w K. raz w roku lub zgodnie z potrzebami przeprowadza szkolenia z zakresu ochrony danych osobowych, aktualizacji i zmiany przepisów prawnych. Ponadto Pracownicy zostali zobowiązani do samokształcenia i posiadania bieżącej wiedzy z zakresu ochrony danych osobowych na zajmowanych stanowiskach (…)”.

VI. Ustalenia dotyczące analizy ryzyka przeprowadzonej przez Administratora i Podmiot przetwarzający.

41.

Administrator i Podmiot przetwarzający przekazali Prezesowi UODO wyjaśnienia dotyczące analizy ryzyka przeprowadzonej przed oraz po wystąpieniu naruszenia ochrony danych osobowych.

42.

Wraz z pismem z 14 listopada 2024 r. Administrator dostarczył analizę ryzyka przeprowadzoną w styczniu 2019 r. W „Tabeli szacowania ryzyka” zidentyfikowano między innymi ryzyko określone jako „Zaszyfrowanie danych”. Poziom tego ryzyka określono na 12, co zgodnie z metodologią przyjętą przez Administratora oznacza, że ryzyko było akceptowalne. Jednocześnie Administrator wyjaśnił, że „(…) Przed wystąpieniem naruszenia Administrator przeprowadził analizę ryzyka, w której określono analizę ryzyka zaszyfrowania, nie określono natomiast zaszyfrowania oprogramowaniem ransomware (…)” [por. pismo z 22 lipca 2024 r.].

43.

Po wystąpieniu naruszenia ochrony danych osobowych GOPS również przeprowadził analizę ryzyka, która została wykonana 9 grudnia 2021 r. (GOPS przekazał dokument potwierdzający jej przeprowadzenie wraz z pismem z 22 lipca 2024 r.). W „Tabeli szacowania ryzyka” zidentyfikowano między innymi ryzyko określone jako „Zaszyfrowanie danych”. Poziom tego ryzyka określono na 12, co zgodnie z metodologią przyjętą przez Administratora oznacza, że ryzyko było akceptowalne.

44.

Analizę ryzyka przeprowadził również Podmiot przetwarzający. Wraz z pismem z 14 grudnia 2021 r. przekazał analizę ryzyka wykonaną przed wystąpieniem naruszenia ochrony danych osobowych. Jednocześnie w piśmie z 12 stycznia 2022 r. Wójt wyjaśnił, że w tabeli szacowania ryzyka nie uwzględnił ryzyka zaszyfrowania danych złośliwym oprogramowaniem typu ransomware oraz zadeklarował, że tabela zostanie uzupełniona o postanowienie, które uwzględni to ryzyko.

45.

W analizie ryzyka przeprowadzonej 28 stycznia 2022 r. (tj. po wystąpieniu naruszenia ochrony danych osobowych) Wójt uwzględnił ryzyko związane z zaszyfrowaniem danych (dokument został przekazany Prezesowi UODO wraz z pismem z 1 lutego 2022 r.).

VII. Ustalenia dotyczące środków organizacyjnych i technicznych wdrożonych przez Administratora w celu zapewnienia adekwatnego poziomu bezpieczeństwa w procesie przetwarzania danych osobowych

46.

W formularzu „Zgłoszenia naruszenia ochrony danych osobowych” Administrator opisał środki techniczne i organizacyjne mające zapewniać bezpieczeństwo w procesie przetwarzania danych osobowych, które zostały wdrożone przed wystąpieniem incydentu bezpieczeństwa. W pkt 9A formularza zgłoszenia naruszenia ochrony danych osobowych wskazał on następujące środki: „(…) Polityka (…), wyznaczenie Inspektora Ochrony Danych GOPS w K. oraz Administratora Systemów Informatycznych w podmiocie przetwarzającym - Urzędzie Gminy K.. (…). Pracownicy GOPS w K. posiadali upoważnienia do przetwarzania danych osobowych oraz podpisali oświadczenia zobowiązujące do zachowania w poufności danych osobowych oraz sposobów ich zabezpieczenia. Zawarto porozumienie z Urzędem Gminy w K. w zakresie udostępnienia zasobów informatycznych Gminy, w tym poczty elektronicznej na potrzeby działalności GOPS. Porozumienie zawierało zapisy dotyczące powierzenia przetwarzania danych osobowych w związku z obsługą GOPS przez Urząd Gminy K.. Ponadto stosowane były zabezpieczenia wdrożone przez Urząd Gminy K., jako podmiot przetwarzający dane osobowe (…)”.

47.

Wyjaśnienia w omawianym zakresie złożył także Wójt. W piśmie z 14 grudnia 2021 r. wskazał, że nie stosował innych środków technicznych poza oprogramowaniem antywirusowym na stacjach roboczych. Prezes UODO zwrócił się do Wójta z zapytaniem, dlaczego nie stosował on innych środków technicznych i organizacyjnych poza programami antywirusowymi w celu zapewnienia odpowiedniej ochrony danych osobowych. W piśmie z 4 lipca 2022 r. Wójt wyjaśnił, że „(…) głównym powodem był brak środków finansowych w budżecie UG, jak również przekonanie, że pracownik realizujący zadania w zakresie utrzymania infrastruktury informatycznej UG stosuje optymalne rozwiązania techniczne i organizacyjne. Zgodnie z ustaleniami z wywiadu audytowego przeprowadzonego z pracownikami UG dwukrotnie przez G. sp. j. z K. wynika, że: posiadamy Politykę Bezpieczeństwa Informacji oraz Instrukcję Zarządzania Systemem Informatycznym, posiadamy inwentaryzację aktów teleinformatycznych, nadawane są uprawnienia do systemów IT zgodnie z instrukcją, przeprowadziliśmy szkolenia w zakresie ochrony informacji, konta użytkowników chronione są hasłami, pracownicy mają służbowe konta e-mail i są świadomi, że nie można ich wykorzystywać do celów prywatnych, stosowane jest szyfrowanie danych przesyłanych pocztą elektroniczną, został wyznaczony Inspektor Ochrony Danych (…)”.

48.

W toku niniejszego postępowania ustalono, że oprogramowaniem serwera był X. (…) wraz z oprogramowaniem Y. (…) [por. pismo z 4 lipca 2022 r.]. Ponadto, w piśmie z 31 sierpnia 2022 r. Wójt doprecyzował, że było to oprogramowanie X. (…).

VIII. Ustalenia dotyczące zasad regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych

49.

W piśmie z 14 listopada 2024 r. Administrator wyjaśnił, że „(…) dokonywał i wciąż dokonuje regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, które miały i mają zapewnić bezpieczeństwo przetwarzania danych osobowych w związku z powierzeniem przetwarzania tych danych Wójtowi Gminy. Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych działania w tym zakresie skupiają się w obrębie czynności dotyczących testowania środków organizacyjnych i obejmują: (…)”. Jednocześnie Administrator wyjaśnił, że „(…)”.

50.

Wyjaśnienia dotyczące zasad – obowiązujących przed wystąpieniem naruszenia ochrony danych osobowych – dokonywania regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem przedstawił także Podmiot przetwarzający. W piśmie z 14 grudnia 2021 r. Wójt wskazał, że „(…) nie stosowano testowania mierzenia i oceniania systemów informatycznych, które zapewniłyby bezpieczne przetwarzanie danych (…)”.

51.

W tym zakresie Wójt przedstawił dodatkowe wyjaśnienia w piśmie z 4 lipca 2022 r., w którym wskazał, że „(…) Ze względu na bardzo ograniczone środki budżetowe UG, kwestie bezpieczeństwa i utrzymania infrastruktury informatycznej, zostały delegowane dedykowanemu pracownikowi zatrudnionemu na stanowisku Inspektora ds. (…), który miał informować Wójta o wszelkich potrzebach w tym zakresie. W związku z tragiczną śmiercią wyżej wskazanego pracownika, na dzień udzielania odpowiedzi Prezesowi UODO nie sposób odtworzyć wszystkich okoliczności związanych z procesem obsługi infrastruktury informatycznej UG, w tym podejmowanych działań w zakresie zabezpieczenia narzędzi informatycznych. Mając na uwadze, że województwo (…), przyznać należy, że powstałe niedociągnięcia wynikają z próby pogodzenia interesów różnych, często sprzecznych ze sobą interesariuszy. Stając przed dylematem czy przeznaczyć środki na pomoc najuboższym mieszkańcom Gminy, czy na modernizację infrastruktury IT, nie trudno ulec pokusie, że potrzeby informatyczne muszą poczekać, co prowadzić może do incydentu bezpieczeństwa. Ustawodawca deleguje obowiązki, ale nie wskazuje źródeł finansowania, a w efekcie dochodzi do dysonansu poznawczego pomiędzy tym do czego jestem zobowiązany ustawowo, a tym co jestem w stanie zrobić. Mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych opierało się wyłącznie na przeprowadzaniu podstawowych analiz ryzyka oraz wiedzy i doświadczeniu dedykowanego pracownika, zajmującego się obsługą IT w UG (…)”.

52.

Wójt przedstawił również wyjaśnienia dotyczące zasad regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych, które zostały zmienione po wystąpieniu przedmiotowego naruszenia. W piśmie z 4 lipca 2022 r. Wójt wskazał, że „(…) w związku z wdrożeniem, po wystąpieniu naruszenia ochrony danych osobowych w Urzędzie Gminy w K. [dalej: «UG»] krótko, średnio i długoterminowych działań naprawczych podjęto decyzję o gruntownej przebudowie infrastruktury sieciowej UG oraz stosowanych zabezpieczeniach, zgodnie z rozwiązaniami i zalecanymi stosowanymi przez Departament Cyfryzacji KPRM oraz wskazanymi przez ekspertów zakresie zabezpieczania sieci IT oraz cyberbezpieczeństwa. Dogłębnie zmodernizowano serwerownię oraz infrastrukturę sieciową wraz z urządzeniami zabezpieczającymi ruch sieciowy. Ze względu na zakres prac i występujące trudności obiektywne, związane z przerwaniem łańcuchów dostaw elementów infrastruktury IT, a spowodowane wystąpieniem epidemii SARS-CoV-2 oraz wojną na Ukrainie, nie wszystkie prace na dzień udzielenia Prezesowi UODO odpowiedzi zdołano ukończyć w pełni. Wszystkie pozostałe etapy prac są jednak zaplanowane i raportowane wprost do Wójta. Na dowód czego przekazujemy plan prac (…) od momentu wystąpienia naruszenia ochrony danych osobowych w UG podejmowane są systematyczne działania mające na celu mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych służących zabezpieczeniu danych osobowych przetwarzanych z wykorzystaniem systemów informatycznych UG. W szczególności należy wskazać, że Wójt UG zlecił zewnętrznemu, profesjonalnemu podmiotowi (…) przeprowadzenie szczegółowego audytu bezpieczeństwa informacji w tutejszym urzędzie. Audyt został przeprowadzony w dniach 21-29.07.2021 r., (…) Wójt w styczniu 2022 r. ponownie zlecił przeprowadzenie audytu bezpieczeństwa Informacji, w tym przetwarzanych w systemach informatycznych UG, na dowód czego przesyłamy treść Raportu z Audytu Bezpieczeństwa Informacji w Urzędzie Gminy w K. przeprowadzonego w dniach 20-22.01.2022 (…) Zalecenia poaudytowe zostały zrealizowane zgodnie z informacją przesłaną przez tutejszy UG do Prezesa UODO pismem z dnia 20 maja 2022 r. (…) Ponadto Administrator [tzn. Wójt – uwaga organu nadzorczego] przeprowadził aktualizację analizy ryzyka dla przetwarzań danych osobowych dokonywanych w systemach informatycznych UG (…) W zakresie wniosku z przeprowadzonej analizy ryzyka wskazującego na konieczność natychmiastowej redukcji ryzyka w odniesieniu do podatności polegającej na wykorzystywaniu współdzielonego serwera aplikacyjnego przez UG oraz Gminny Ośrodek Pomocy Społecznej, dochowując należytej staranności, pozyskano dodatkową opinię eksperta z Instytutu (…) w K.. Z opinii jednoznacznie wynika, że serwer ten (…). (…) Systematyczna weryfikacja bezpieczeństwa przetwarzania danych osobowych w infrastrukturze IT UG, sprawdzana jest także na bieżąco przez uprawnionego pracownika UG (…) Po zakończeniu prac modernizacyjnych w infrastrukturze IT UG, w pełni zostanie wdrożony system automatycznej walidacji (komunikat przesyłany do Administratora Systemów Informatycznych) (dalej: (…)) anomalii występujących w sieci informatycznej UG oraz z generowanymi raportami bezpieczeństwa sieci za poszczególne przyjęte okresy, w oparciu o rozwiązanie V. (…). Mając na uwadze powyższe, potwierdzamy, że jako Administrator [tzn. Wójt – uwaga organu nadzorczego], dokonujemy regularnego testowania, mierzenia i oceniania technicznych i organizacyjnych środków zabezpieczenia danych (…)”.

IX. Ustalenia dotyczące zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych z 23 marca 2021 r.

53.

W związku z faktem, że naruszenie ochrony danych osobowych zostało w pierwszej kolejności przekazane organowi nadzorczemu przez Podmiot przetwarzający, Prezes UODO zwrócił się do Administratora o wskazanie, czy przed wystąpieniem tego naruszenia Administrator upoważnił Podmiot przetwarzający do zgłaszania Prezesowi UODO naruszeń ochrony danych osobowych oraz do zawiadamiania osób, które dane osobowe zostały naruszone.

54.

W piśmie z 15 stycznia 2025 r. Administrator wyjaśnił, że przed wystąpieniem naruszenia ochrony danych osobowych nie upoważnił Wójta do zgłaszania Prezesowi UODO naruszeń ochrony danych osobowych oraz do zawiadamiania osób, których dane osobowe zostały naruszone. Jednocześnie wskazał, że „(…) Kierownik Administratora został zapewniony przez IODO, że zgłoszenie naruszenia danych osobowych z dnia 26 marca 2021 r. wypełnia obowiązek z art. 33 RODO, tak w stosunku do Urzędu Gminy, jak i do GOPS. Niezwłocznie po powzięciu wiedzy, że w ocenie UODO koniecznym jest odrębne zgłoszenie od Administratora, Administrator wypełnił swój obowiązek. Odnosząc się do kwestii możliwości naruszenia art. 33 RODO Administrator podnosi, że działał z najwyższą starannością, w porozumieniu z IODO, który zapewniał profesjonalne wsparcie w zakresie ochrony danych osobowych. Kierownik Administratora nie miał podstaw, by kwestionować decyzje i rekomendacje wydane przez IODO w zakresie obsługi incydentu. Działał w tym zakresie w pełnym zaufaniu do IODO (…) Jednocześnie Administrator niezwłocznie dostosowywał się do wskazań tut. Urzędu w zakresie, w jakim prawidłowość działań IOD została podważona przez Urząd (…) Administrator niezwłocznie – zgodnie ze swoją najlepszą wiedzą i stanowiskiem wypracowanym wspólnie z Wójtem, IODO i obsługą informatyczną – zawiadomił o zdarzeniu tut. Urząd, jak również organy powołane do walki z cyberprzestępczością (…)”.

55.

Organ nadzorczy dokonał oceny materiału dowodowego pod kątem zbadania jego wiarygodności i mocy dowodowej. Prezes UODO uznał dowody przedłożone przez Administratora i Podmiot przetwarzający za wiarygodne. Za powyższym przemawia fakt, że ich wyjaśnienia są logiczne, spójne, zgodne z całością materiału dowodowego oraz wzajemnie się uzupełniają, a ich wiarygodność została dodatkowo potwierdzona dokumentami dostarczonymi przez wskazane podmioty. Z uwagi na stosunek prawny łączący GOPS i Wójta, wynikający zarówno z faktu zawarcia umowy powierzenia przetwarzania danych osobowych, jak i z faktu, że GOPS jest jednostką organizacyjną gminy, a także ze względu na spójność wyjaśnień tych podmiotów, organ nadzorczy uznał za zbędne odbieranie dodatkowych wyjaśnień od Administratora, jeżeli istotne w sprawie fakty zostały już ustalone na podstawie dowodów przekazanych przez Podmiot przetwarzający. Strony niniejszego postępowania administracyjnego zostały przed wydaniem przedmiotowej decyzji poinformowane o przysługujących im uprawnieniach wynikających z art. 10 § 1 oraz art. 73 § 1 Kpa^[1], w tym o możliwości zapoznania się z materiałem dowodowym, wypowiedzenia się co do zebranych dowodów, materiałów i zgłoszonych żądań, a także o prawie przeglądania akt sprawy oraz sporządzania z nich notatek, kopii lub odpisów.

56.

Po otrzymaniu pisma Prezesa UODO o zebraniu materiału dowodowego wystarczającego do wydania decyzji administracyjnej, Administrator oraz Podmiot przetwarzający przekazali pismami z 24 i 25 marca 2025 r. swoje końcowe stanowiska w sprawie, które w istocie stanowią podsumowanie dotychczas złożonych wyjaśnień.

W Tym Stanie FaktycznymPo Zapoznaniu Się Z Całością Zgromadzonego W Sprawie Materiału DowodowegoPrezes Urzędu Ochrony Danych Osobowych ZważyłCo Następuje

57.

Na wstępie należy wskazać, że w przedmiotowej sprawie administratorem danych jest GOPS, bowiem – zgodnie z art. 4 pkt 7) rozporządzenia 2016/679 – „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Z kolei Wójt posiada w przedmiotowej sprawie status podmiotu przetwarzającego. Zgodnie z 4 pkt 8) rozporządzenia 2016/679, „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Status ww. podmiotów i ich wzajemną relację potwierdza zgromadzony materiał dowodowy, w szczególności zawarte „Porozumienie w sprawie nieodpłatnego udostępnienia infrastruktury informatycznej Urzędu na potrzeby prowadzenia działalności statutowej z 25 maja 2018 r.” (por. pkt V uzasadnienia faktycznego).

58.

Zgodnie z art. 34 u.o.d.o.^[2], Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.

I. Zasady bezpieczeństwa przetwarzania danych osobowych.

59.

Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

60.

Zgodnie z art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, szczególnie z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Przepisy te uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.

61.

W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

62.

Art. 32 ust. 1 rozporządzenia 2016/679 stanowi, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

63.

W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

II. Zarządzanie ryzykiem naruszenia ochrony danych osobowych. Naruszenie art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

64.

Jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679 jest obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w przytoczonym powyżej art. 32 ust. 1 rozporządzenia 2016/679. Podkreślić należy, że rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy także uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.

65.

Ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie dobór takich środków technicznych i organizacyjnych, które zapewnią odpowiedni poziom bezpieczeństwa względem tego ryzyka. W stosownych przypadkach należy wdrożyć takie środków jak pseudonimizacja i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Na konieczność wdrożenia odpowiednich środków bezpieczeństwa wskazuje także art. 24 ust. 1 oraz art. 25 ust. 1 rozporządzenia 2016/679.

66.

Podmiot, który przetwarza dane osobowe, zobligowany jest nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa.

67.

W świetle powyższego wskazać należy, że przeprowadzona analiza ryzyka powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku realizowanych czynności, albowiem w zależności właśnie od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych.

68.

Aby analiza ryzyka została przeprowadzona w sposób właściwy, winny być zdefiniowane dla każdego z aktywów zagrożenia, mogące wystąpić w procesach przetwarzania danych.

69.

Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych). Jest oczywistym, że szeroki zakres danych osobowych lub przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 lub art. 10 rozporządzenia 2016/679, może spowodować (w przypadku wystąpienia naruszenia ochrony danych osobowych) daleko idące negatywne skutki dla osób, których dane dotyczą, więc winny one być oceniane jako aktywa o wysokiej wartości, a co za tym idzie stopień ich ochrony powinien być odpowiednio wysoki.

70.

Określenie istniejących lub stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego, po pierwsze, może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.

71.

Zgodnie z normą ISO/IEC 27000 podatność jest określana jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia i z jakiego kierunku (powodu) mogą się pojawić^[3].

72.

Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Zazwyczaj wykorzystuje się macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, przedstawiając poziomy ryzyka, dla których organizacja definiuje odpowiednie działania.

73.

Konieczność przeprowadzenia analizy ryzyka podkreślona jest także w orzecznictwie sądowym. W tym przedmiocie wypowiedział WSA w Warszawie, między innymi w wyroku z 13 maja 2021 r., sygn. akt II SA/Wa 2129/20, gdzie podniósł, że „Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”. Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19, wskazał, że „(…) Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością. Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka (…) czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych (…)”.

74.

Ze zgromadzonego materiału dowodowego wynika, że przed wystąpieniem naruszenia ochrony danych osobowych Administrator oraz Podmiot przetwarzający przeprowadzili analizę ryzyka. Jak jednak wskazał GOPS, „(…) Przed wystąpieniem naruszenia Administrator przeprowadził analizę ryzyka, w której określono analizę ryzyka zaszyfrowania, nie określono natomiast zaszyfrowania oprogramowaniem ransomware (…)”. Z kolei Podmiot przetwarzający w ogóle nie uwzględnił ryzyka zaszyfrowania danych w swojej analizie ryzyka (por. pkt VI uzasadnienia faktycznego).

75.

W ocenie organu nadzorczego, brak właściwie przeprowadzonej analizy ryzyka był główną przyczyną niewdrożenia adekwatnych środków technicznych i organizacyjnych mających gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych. Jak przyznał sam Wójt, nie stosował on „innych środków technicznych oprócz programów antywirusowych”. Co więcej, z udzielonych wyjaśnień wynika, że Podmiot przetwarzający jako system operacyjny zainstalowany na serwerze w czasie incydentu bezpieczeństwa wykorzystywał X. (…). Wskazać należy, że ww. system stracił wsparcie producenta (…) 2020 r. (https://(…)). Zgodnie z informacją podaną na stronie internetowej producenta, od (…) 2020 r. nie było żadnych dodatkowych lokalnych bezpłatnych aktualizacji zabezpieczeń, aktualizacji niezwiązanych z bezpieczeństwem, bezpłatnej opcji pomocy technicznej oraz aktualizacji zawartości technicznej online.

76.

Podkreślić należy, że w przypadku dopuszczania przez Wójta wykorzystania określonego oprogramowania informatycznego, Wójt w analizie ryzyka powinien zidentyfikować specyficzne podatności związane z bezpieczeństwem wykorzystywania takiego oprogramowania. W tym kontekście należy wskazać, że korzystanie z systemów informatycznych służących do przetwarzania danych osobowych po zakończeniu wsparcia technicznego przez ich producenta w sposób istotny obniża ich poziom bezpieczeństwa. Taka podatność powinna zostać uwzględniona w analizie ryzyka, bowiem brak wbudowanych oraz aktualizowanych zabezpieczeń zwiększa w szczególności ryzyko infekcji za pomocą złośliwego oprogramowania oraz ataków poprzez powstawanie nowych luk w zabezpieczeniach. Systemy te stają się bardziej podatne na cyberataki, m.in. typu ransomware blokujące dostęp do danych oraz żądające okupu za ich odzyskanie. Takiego zagrożenia Podmiot przetwarzający jednak w analizie ryzyka nie przewidział.

77.

Co prawda, analiza ryzyka przeprowadzona przez samego Administratora uwzględniała ryzyko związane z zaszyfrowaniem danych, ale działania kontrolne Administratora względem Podmiotu przetwarzającego, w związku z powierzeniem mu przetwarzania danych, których administratorem jest GOPS, okazały się nieskuteczne. Nie objęły one bowiem zbadania, czy Wójt przeprowadził analizę ryzyka i czy przewidział w niej ryzyko zaszyfrowania danych za pomocą oprogramowania ransomware (i czy w związku z tym przewidział adekwatne środki bezpieczeństwa) – por. pkt V opisu stanu faktycznego. W konsekwencji wdrożone środki mające zapewnić bezpieczeństwo w procesie przetwarzania danych osobowych okazały się nieadekwatne. Powyższe oznacza, że Administrator naruszył art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji zasadę integralności i poufności wyrażoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.

III. Konieczność zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność szybkiego przywracania dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Naruszenie art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679.

78.

Zastosowane przez Podmiot przetwarzający środki techniczne i organizacyjne okazały się w konsekwencji nieodpowiednie, co doprowadziło do sytuacji, w której systemy stały się bardziej podatne na cyberataki, m.in. typu ransomware blokujące dostęp do danych oraz mające na celu żądanie okupu za ich odzyskanie. W związku z przełamaniem zabezpieczeń systemów informatycznych Wójta zaszyfrowane zostały dane, w tym dane osobowe, w wyniku czego nastąpiła utrata dostępności do baz danych, co oznacza, że Administrator i Podmiot przetwarzający nie zrealizowali obowiązku utrzymania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b) rozporządzenia 2016/679). Tak jak w przypadku nieprawidłowości w przeprowadzeniu analizy ryzyka, naruszenie przez Administratora art. 32 ust. 1 lit. b) rozporządzenia 2016/679 wynika z braku wystarczającej kontroli nad Podmiotem przetwarzającym.

79.

Analizując wyjaśnienia Wójta dotyczące wdrożonych środków organizacyjnych i technicznych, należy również odnieść się do jego wyjaśnień w zakresie kopii zapasowych. Przedłożona analiza ryzyka dokonana przed wystąpieniem naruszenia ochrony danych osobowych nie definiuje jednoznacznie zagrożenia wynikającego z niewykonywania kopii zapasowych. Powyższe jednoznacznie wskazuje, że Wójt, w ramach oceny ryzyka nie uwzględnił wszystkich istotnych zagrożeń związanych z przetwarzaniem danych osobowych, czego od niego wymaga art. 32 ust. 2 rozporządzenia 2016/679. Należy również podkreślić, że i w tej kwestii działania kontrolne Administratora wobec Podmiotu przetwarzającego okazały się nieskuteczne.

80.

Jak wynika za zgromadzonego materiału dowodowego, Podmiot przetwarzający nie prowadził skutecznej polityki ochrony danych osobowych w obszarze wykonywania kopii danych osobowych. Przyjął on co prawda procedurę wykonywania kopii zapasowych (z której wynikało między innymi, że „(…)”), ale były one wykonywane na dysku sieciowym, który w następstwie ataku hackerskiego został także zaszyfrowany. Powyższe skutkowało tym, że Wójt był zmuszony do odtwarzania danych osobowych przy wsparciu podmiotu zewnętrznego. W tym kontekście należy wskazać, że obowiązujące w Podmiocie przetwarzającym (przed wystąpieniem przedmiotowego naruszenia ochrony danych osobowych) zasady tworzenia kopii zapasowych oraz praktyka wykonywania tej kopii nie zapewniały realizacji obowiązków wynikających z art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679, tj. zdolności do ciągłego zapewnienia dostępności systemów i usług przetwarzania oraz zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

81.

Fakt utraty dostępności danych oraz konieczność wdrożenia ekstraordynaryjnego trybu pracy przez Administratora w celu zapewnienia ciągłości realizacji jego zadań statutowych świadczy, że nie podjął on skutecznych działań w zakresie tworzenia kopii zapasowych. W konsekwencji oznacza to naruszenie przez Administratora art. 32 ust. 1 lit. b) i c) rozporządzenia 2016/679.

IV. Rola Administratora i Podmiotu przetwarzającego w procesie przetwarzania danych osobowych. Naruszenie art. 25 ust. 1 oraz art. 28 ust. 1 i 3 rozporządzenia 2016/679.

82.

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, to – zgodnie z brzmieniem art. 28 ust. 1 rozporządzenia 2016/679 – korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Zgodnie z art. 28 ust. 3 rozporządzenia 2016/679, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a)

przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b)

zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c)

podejmuje wszelkie środki wymagane na mocy art. 32;

d)

przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;

e)

biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

f)

uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;

g)

po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h)

udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

lit.

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

83.

W pierwszej kolejności należy podkreślić, że korzystanie z usług podmiotu przetwarzającego nie zwalnia administratora z obowiązku zapewnienia bezpieczeństwa w procesie przetwarzania danych osobowych. Odpowiedzialność w tym zakresie spoczywa bowiem przede wszystkim na administratorze danych. Na konieczność weryfikacji podmiotu przetwarzającego zwracają uwagę Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO^[4] (dalej jako: Wytyczne 07/2020). Wskazuje się w nich, że „(…) gwarancje «zapewniane» przez podmiot przetwarzający to te, które podmiot przetwarzający jest w stanie wykazać w sposób zadowalający administratora, ponieważ są to jedyne gwarancje, które administrator może skutecznie uwzględnić przy ocenie wypełniania swoich obowiązków. Często będzie to wymagało wymiany odpowiedniej dokumentacji [np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000] (…) Ocena administratora, czy gwarancje są wystarczające, jest formą oceny ryzyka, która w znacznym stopniu zależy od rodzaju przetwarzania powierzonego podmiotowi przetwarzającemu i musi być dokonywana indywidualnie dla każdego przypadku, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, a także zagrożeń dla praw i wolności osób fizycznych. W związku z tym EROD nie może przedstawić wyczerpującej listy dokumentów lub działań, które podmiot przetwarzający musi wykazać lub udowodnić w danym scenariuszu, ponieważ w dużej mierze zależy to od konkretnych okoliczności przetwarzania (…)”.

84.

Analogicznie jak w przypadku konieczności przeprowadzenia analizy ryzyka, obowiązek weryfikacji podmiotu przetwarzającego ma charakter ciągły. Zaniechanie przez administratora obowiązku ciągłej weryfikacji gwarancji, o których mowa w art. 28 ust. 1 rozporządzenia 2016/679, może bezpośrednio dotknąć osób fizycznych, których dane osobowe zostały powierzone podmiotowi przetwarzającemu. Na konieczność ciągłości weryfikacji podmiotu przetwarzającego wskazują Wytyczne 07/2020, w których podnosi się, że „(…) 99: Obowiązek korzystania wyłącznie z usług podmiotów przetwarzających «zapewniających wystarczające gwarancje» zawarty w art. 28 ust. 1 RODO jest obowiązkiem ciągłym. Nie kończy się w momencie zawarcia umowy lub innego aktu prawnego przez administratora i podmiot przetwarzający. Administrator powinien raczej w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje (…)”.

85.

Wskazać zatem należy, że na podstawie art. 28 ust. 3 lit. h) rozporządzenia 2016/679 administrator ma prawo przeprowadzania audytów, w tym inspekcji, w podmiocie przetwarzającym. Celem tych działań administratora powinna być stała weryfikacja podmiotu przetwarzającego, czy ten wywiązuje się ze wszystkich obowiązków określonych w art. 28 ust. 3 rozporządzenia 2016/679. Stosowanie ww. środków związane jest z obowiązkiem administratora danych wynikającym z art. 28 ust. 1 rozporządzenia 2016/679. Oznacza to, że wykonywanie działań kontrolnych ma również potwierdzić, czy podmiot przetwarzający nadal zapewnia gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą.

86.

Mając zatem na uwadze, że weryfikacja podmiotu przewarzającego musi mieć charakter procesu ciągłego, brak okresowego i systematycznego przeprowadzania audytów bądź inspekcji prowadzi do sytuacji, w której administrator nie będzie posiadał wiedzy, czy podmiot przetwarzający realizuje swoje zadania zgodnie z wymogami przepisów prawa oraz postanowieniami zawartej umowy powierzenia.

87.

Uprawnienie wynikające z art. 28 ust. 3 lit. h) rozporządzenia 2016/679 dają zatem administratorowi narzędzia, dzięki którym może zapewnić, że proces przetwarzania danych podlegających powierzeniu będzie zgodny z normami określonymi w rozporządzeniu 2016/679, a przedłożenie dowodów potwierdzających wykonanie takich działań kontrolnych – zgodnie z zasadą rozliczalności – może dowodzić, że administrator podjął działania mające na celu weryfikację podmiotu przetwarzającego, że ten wdrożył odpowiednie środki techniczne i organizacyjne, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Omawiane uprawnienie administratora należy traktować jako jeden z istotniejszych środków bezpieczeństwa, jakie powinien on zastosować w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 rozporządzenia 2016/679. Administrator powinien bowiem w czasie korzystania przez niego z usług podmiotu przetwarzającego dysponować wiedzą, czy i w jaki sposób podmiot, któremu powierzył przetwarzanie danych osobowych, spełnia wymogi określone w rozporządzeniu 2016/679.

88.

Odnosząc powyższe rozważania do przedmiotowej sprawy wskazać należy, że Administrator wskazał, w jaki sposób zweryfikował, czy Podmiot przetwarzający zapewnia gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w celu spełnienia wymogów bezpieczeństwa procesu przetwarzania danych osobowych. W momencie zawierania umowy powierzenia przetwarzania danych osobowych z 25 maja 2018 r. działania weryfikacyjne przeprowadzone przy Administratora wobec Podmiotu przetwarzającego były bardzo ograniczone, a proces tej weryfikacji został szczątkowo udokumentowany (por. pkt V uzasadnienia faktycznego). W praktyce ograniczyły się one do skontrolowania pomieszczeń, w których dane osobowe miały być przetwarzane, oraz do przyjęcia oświadczeń od Podmiotu przetwarzającego, w których deklarował on wdrożenie adekwatnych środków bezpieczeństwa. Zważywszy na zakres działalności Administratora, charakter przetwarzania danych osobowych oraz charakter narzędzi wykorzystywanych w tym celu (w tym systemu informatycznego) podkreślić należy, że działania weryfikacyjne, które Administrator podjął, były nieadekwatne. Trudno bowiem uznać, że sprawdzenie pomieszczeń, w których miały być przetwarzane dane osobowe, miało w jakiś sposób potwierdzić, że Podmiot przetwarzający wdrożył właściwe środki bezpieczeństwa, w szczególności, jeśli powierzone dane osobowe przetwarzano w systemie informatycznym. Podatności systemu informatycznego na zagrożenia związane z naruszeniem ochrony danych osobowych nie ograniczają się bowiem jedynie do aspektu fizycznego dostępu do pomieszczeń, w których znajdują się określone urządzenia. Podobnie zagrożenia dla innych procesów związanych z przetwarzaniem danych osobowych (np. przetwarzanie danych osobowych w dokumentacji papierowej) nie są związane jedynie z brakiem adekwatnych zabezpieczeń pomieszczeń, w których taki proces się odbywa. W protokole pokontrolnym z 25 maja 2018 r. wskazano, co prawda, że serwery, na których przetwarzano dane osobowe posiadały oprogramowania antywirusowe, ale nie oznacza to, że wdrożone przez Podmiot przetwarzający środki techniczne i organizacyjne były adekwatne.

89.

Przede wszystkim należy ponownie podkreślić, że wdrożenie odpowiednich środków bezpieczeństwa powinno być poprzedzone przeprowadzeniem analizy ryzyka. Tymczasem Administrator nie sprawdził, czy Podmiot przetwarzający właściwie ją przeprowadził i czy uwzględnił w niej zagrożenia dla powierzonych danych osobowych. Weryfikacja analizy ryzyka pozwoliłaby także Administratorowi ocenić, czy środki techniczne i organizacyjne stosowane przez Podmiot przetwarzający były adekwatne do zidentyfikowanych zagrożeń. Potwierdzeniem nieskuteczności działań weryfikacyjnych, w tym ograniczenie się do przyjęcia oświadczenia, że „serwery zabezpieczone są programami antywirusowymi”, potwierdza sam fakt wystąpienia incydentu bezpieczeństwa.

90.

Kolejne działania weryfikacyjne wobec Podmiotu przetwarzającego podjęte zostały dopiero 18 grudnia 2020 r. Były one jednak równie ograniczone, jak te przeprowadzone w momencie zawarcia umowy powierzenia (por. pkt V uzasadnienia faktycznego). Co więcej, Administrator nie przedstawił dowodu potwierdzającego przeprowadzenie audytu środków technicznych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Z dostarczonego protokołu pokontrolnego wynika, że przedmiotem kontroli z 18 grudnia 2020 r. była jedynie weryfikacja „dokumentów i działań organizacyjnych” stosowanych przez Podmiot przetwarzający. W rzeczywistości działania Administratora miały charakter wyłącznie formalny i sprowadzały się do przyjęcia oświadczeń Podmiotu przetwarzającego.

91.

Należy również zauważyć, że nawet te formalne działania nie były przeprowadzone rzetelnie. Administrator po raz kolejny nie zweryfikował, czy Podmiot przetwarzający właściwie przeprowadził analizę ryzyka. Jak wcześniej wskazano, analiza przeprowadzona przez Podmiot przetwarzający nie uwzględniała ryzyka zaszyfrowania danych, mimo że Administrator takie ryzyko przewidział. Administrator był świadomy tego zagrożenia, lecz nie przeprowadził kontroli obejmującej weryfikację Podmiotu przetwarzającego w tym zakresie. W konsekwencji nie zweryfikował prawidłowości wykonywania kopii zapasowych ani środków, które mogłyby zminimalizować ryzyko utraty dostępności do danych osobowych w następstwie ich zaszyfrowania (w tym zaszyfrowania na skutek ataku hackerskiego, np. ransomware). Co więcej, działania kontrolne zostały podjęte dopiero w grudniu 2020 r., podczas gdy umowa powierzenia przetwarzania danych osobowych została zawarta 25 maja 2018 r. Nie można więc uznać, że Administrator prowadził regularne działania weryfikacyjne wobec Podmiotu przetwarzającego. Tego rodzaju działania Administrator podjął dopiero po wystąpieniu naruszenia ochrony danych osobowych (por. V uzasadnienia faktycznego).

92.

Jednocześnie należy wskazać, że „Porozumienie w sprawie nieodpłatnego udostępnienia infrastruktury informatycznej Urzędu na potrzeby prowadzenia działalności statutowej” z 25 maja 2018 r. zawierało uregulowania umożliwiające Administratorowi uzyskanie informacji niezbędnych do wykazania spełnienia przez niego obowiązków wynikających z art. 28 rozporządzenia 2016/679 [w ww. porozumieniu wskazano: „(…) Podmiot przetwarzający zobowiązuje się do: (…) udostępniania Administratorowi danych, na jego uzasadnione żądanie wszelkich niezbędnych informacji niezbędnych do wykazania spełnienia przez Administratora danych obowiązków wynikających z art. 28 RODO (…)”]. Nie mniej jednak Administrator nie przedłożył dowodów na to, że takie adekwatne działania kontrolne przed wystąpieniem naruszenia ochrony danych osobowych były przez niego regularnie podejmowane.

93.

Brak regularnych audytów, w tym inspekcji, w Podmiocie przetwarzającym oznacza zatem naruszenie przez Administratora nie tylko art. 28 ust. 1 rozporządzenia 2016/679, lecz także art. 25 ust. 1 rozporządzenia 2016/679, który obliguje go do wdrażania odpowiednich środków technicznych i organizacyjnych, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania. Ciągłość wpisana w ten obowiązek może więc w praktyce przejawiać się m.in. w konieczności zapewnienia regularnego monitoringu zastosowanych zabezpieczeń oraz prowadzenia stałego nadzoru nad podmiotem przetwarzającym poprzez np. audyty i inspekcje, o których mowa w art. 28 ust. 3 lit. h) rozporządzenia 2016/679, i których w okolicznościach niniejszej sprawy zabrakło.

94.

Zgodnie z Wytycznymi 07/2020, 135: Przechodząc do konkretnych obowiązków, podmiot przetwarzający ma obowiązek, po pierwsze, pomagać administratorowi w wywiązywaniu się z obowiązku przyjęcia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania. Chociaż może to w pewnym stopniu pokrywać się z wymogiem, zgodnie z którym podmiot przetwarzający sam przyjmuje odpowiednie środki bezpieczeństwa, w przypadku gdy operacje przetwarzania prowadzone przez podmiot przetwarzający wchodzą w zakres RODO, pozostają one dwoma odrębnymi obowiązkami, ponieważ jeden odnosi się do własnych środków podmiotu przetwarzającego, a drugi odnosi się do administratora danych. 138: Obowiązek pomocy nie polega na przeniesieniu odpowiedzialności, ponieważ obowiązki te są nakładane na administratora danych. Na przykład, chociaż ocena skutków dla ochrony danych może być w praktyce przeprowadzana przez podmiot przetwarzający, administrator pozostaje odpowiedzialny za obowiązek przeprowadzenia oceny, a podmiot przetwarzający jest zobowiązany do udzielenia pomocy administratorowi „w razie potrzeby i na żądanie”. W związku z tym to administrator musi podjąć inicjatywę w celu przeprowadzenia oceny skutków dla ochrony danych, a nie podmiot przetwarzający.

95.

Z art. 32 rozporządzenia 2016/679, interpretowanego w świetle wyżej zacytowanych wytycznych, wynika, że obowiązki wdrożenia środków organizacyjnych i technicznych nałożono zarówno na podmioty przetwarzające, jak i na administratorów danych. Fakt zawarcia umowy i powierzenia pewnych czynności przetwarzania danych osobowych podmiotowi przetwarzającemu nie zwalnia zatem administratora, co należy ponownie powtórzyć, z obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie zwalnia również administratora danych z obowiązku prowadzenia stałego nadzoru nad podmiotem przetwarzającym w tym zakresie.

96.

W konsekwencji, w ocenie Prezesa UODO, zastosowane przez Administratora środki techniczne i organizacyjne jedynie w bardzo ograniczonym stopniu odpowiadały wymogom określonym w art. 32 rozporządzenia 2016/679, w związku z faktem, że Administrator nie egzekwował od Podmiotu przetwarzającego realizacji postanowień łączącej ich umowy oraz nie weryfikował Podmiotu przetwarzającego w zakresie powierzonego mu zadania.

97.

Dopiero po wystąpieniu naruszenia ochrony danych osobowych Administrator podjął działania weryfikacyjne, które można uznać za wystarczające. Jak wynika z protokołu pokontrolnego z 1 lutego 2022 r., Administrator zweryfikował środki techniczne wdrożone przez Podmiot przetwarzający, których wdrożenie mitygowało ryzyko utraty dostępności danych. Przeprowadzenie przez Administratora w sposób właściwy audytów po wystąpieniu naruszenia ochrony danych osobowych nie wpływa na negatywną ocenę Prezesa UODO dotychczasowych jego działań, a stanowi jedynie przesłankę do odstąpienia od wydania nakazu dostosowania operacji przetwarzania danych osobowych do wymogów określonych w rozporządzeniu 2016/679.

98.

Jednocześnie należy wskazać, że fakt niewdrożenia adekwatnych środków bezpieczeństwa wynikający z braku właściwej współpracy między administratorem a podmiotem przetwarzającym nie oznacza, że odpowiedzialność za naruszenie przepisów rozporządzenia 2016/679 należy przypisać tylko administratorowi. Zgodnie z wyrokiem Wojewódzkiego Sądu Administracyjnego w Warszawie z 5 października 2021 r., sygn. akt II SA/Wa 528/21, „(…) zastępca [reprezentant] administratora jest odrębnym podmiotem prawa, działającym za reprezentowanego, na podstawie umocowania udzielonego w zawartej z administratorem umowie o powierzeniu przetwarzania. Jeżeli czynności przetwarzania wykonuje podmiot przetwarzający, a nie administrator, to co do zasady do działania tego zastępcy należałoby odnosić przepisy określające obowiązki związane z przetwarzaniem. Rozporządzenie nr 2016/679 rozkłada jednakże te obowiązki pomiędzy administratora i podmiot przetwarzający, co oznacza, że administrator powierzając przetwarzanie danych innemu podmiotowi nie jest zwolniony całkowicie z odpowiedzialności za niedopełnienie prawnych wymagań dotyczących przetwarzania. Przepisy rozporządzenia kierują niektóre obowiązki do administratora danych (art. 5 ust. 2), inne zaś są adresowane jednocześnie do administratora i do podmiotu przetwarzającego (art. 32 ust. 1 i 2). Ponadto podmiot przetwarzający ma odrębne obowiązki w tym zakresie (art. 28 rozporządzenia). Co prawda te obowiązki podmiotu przetwarzającego powinny być umieszczone w zawartej między stronami umowie o przetwarzanie danych. Niemniej jednak obligatoryjne dla stron wprowadzenie ich do umowy nie odbiera im charakteru publicznoprawnego, nie czyni obowiązkami wyłącznie obligacyjnymi, co ma oczywiście zasadnicze znaczenie dla określenia odpowiedzialności za ich naruszenie i co znajduje potwierdzenie w art. 83 ust. 4 lit. a rozporządzenia. Trzeba podkreślić, że podmiot przetwarzający jest obowiązany do współdziałania z administratorem, a nawet do udzielania mu pomocy w wywiązywaniu się z jego obowiązków określonych w art. 32-36 (art. 28 rozporządzenia). Nałożenie zarówno na administratora, jak i na podmiot przetwarzający dość ogólnego obowiązku zapewnienia bezpieczeństwa danych (art. 32 ust. 1) nie implikuje oczywiście konieczności podejmowania przez te podmioty działań tego samego rodzaju i nie rodzi po ich stronie odpowiedzialności za naruszenia, niezależnie od tego, któremu z nich można je przypisać. Nie ma tu mowy o jakimkolwiek solidarnym, w rozumieniu prawnym wykonywaniu przez strony obowiązków dotyczących zapewnienia bezpieczeństwa przetwarzania danych i solidarnej odpowiedzialności za naruszenie tych obowiązków (…)”.

99.

W odniesieniu do powyższego wskazać należy, że brak właściwie przeprowadzonych działań w zakresie wdrożenia adekwatnych środków gwarantujących bezpieczeństwo w procesie przetwarzania danych osobowych (poprzedzonych właściwie przeprowadzoną analizą ryzyka) świadczy o braku należytej staranności Podmiotu przetwarzającego w zakresie udostępniania jego zasobów informatycznych w celu realizacji zadań statutowych Administratora (do czego był zobowiązany na podstawie porozumienia z 25 maja 2018 r.). Skutkiem omawianej nierzetelności było naruszenie przez Podmiot przetwarzający art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679.

V. Obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa przetwarzania danych osobowych. Naruszenie art. 32 ust. 2 lit. d) rozporządzenia 2016/679.

100.

Kontynuując rozważania dotyczące środków bezpieczeństwa należy pamiętać, że rola administratora nie ogranicza się tylko do jednorazowego opracowania i wdrożenia środków organizacyjnych i technicznych mających zapewnić przetwarzanie danych osobowych zgodne z zasadami wyrażonymi w rozporządzeniu 2016/679. Konieczność bieżącej weryfikacji adekwatności tych środków jest szczególnie ważna w przypadku przetwarzania danych osobowych w formie elektronicznej. W przypadku zdarzenia takiego, jak to zaistniałe w przedmiotowej sprawie (atak ransomware), bardzo istotne jest przeanalizowanie prawidłowości przestrzegania przez Administratora jego obowiązku wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, tj. regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

101.

Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora i podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Każdy z nich zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych, na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk i proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, świadomie zaplanowany, zorganizowany i udokumentowany (w związku z zasadą rozliczalności – art. 5 ust. 2 rozporządzenia 2016/679) w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych.

102.

Nowe ryzyka lub zagrożenia mogą zmaterializować się lub zostać ujawnione również samoistnie, w sposób całkowicie niezależny od administratora i jest to fakt, który również powinien być brany pod uwagę zarówno podczas budowania systemu ochrony danych osobowych, jak i w czasie jego realizowania. To zaś z kolei definiuje konieczność prowadzenia regularnej weryfikacji całego systemu ochrony danych osobowych zarówno pod kątem adekwatności, jak i skuteczności wdrożonych rozwiązań organizacyjnych i technicznych. Badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.

103.

Na konieczność realizacji przez administratorów i pomioty przetwarzające omawianego obowiązku zwrócił również uwagę Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z 21 października 2021 r., sygn. akt II SA/Wa 272/21, wskazał, że „(…) rację miał również Prezes UODO, wskazując w uzasadnieniu zaskarżonej decyzji, że brak w przyjętych przez Spółkę procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych przyczynił się do wystąpienia naruszenia ochrony danych osobowych. Trafnie także wskazuje organ, że w postępowaniu wykazano, że Spółka nie przeprowadzała testów nastawionych na weryfikację zabezpieczeń aplikacji (…) oraz WebAPI systemu (…), dotyczących podatności systemu informatycznego związanej z zaistniałym naruszeniem danych osobowych (…) dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające. Spółka bowiem, jak wynika ze zgromadzonego materiału, mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów wdrożonego przez Spółkę systemu (…) Nie sposób w tym kontekście zakwestionować więc ocen Prezesa UODO, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d RODO (…)”. Z kolei w wyroku z 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22, Wojewódzki Sąd Administracyjny w Warszawie wskazał, że „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO)”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23.

104.

Działania podjęte przez Administratora w omawianym zakresie (por. pkt VII uzasadnienia faktycznego) okazały się nieadekwatne, ograniczone i w konsekwencji nieskuteczne. Jednocześnie należy wskazać, że w tym aspekcie Podmiot przetwarzający również nie dopełnił swoich obowiązków, co – biorąc pod uwagę przyczynę naruszenia ochrony danych osobowych – obciąża zarówno GOPS, jak i Wójta. Z przedstawionych wyjaśnień wynika, że Podmiot przetwarzający nie przeprowadzał regularnego testowania, mierzenia i oceniania środków technicznych i organizacyjnych, których wdrożenie miało gwarantować bezpieczeństwo systemów informatycznych wykorzystywanych do celów przetwarzania danych osobowych. Powyższe oznacza, że Administrator i Podmiot przetwarzający nie wywiązali się z obowiązku, o którym mowa w art. 32 ust. 1 lit. d) rozporządzenia 2016/679, a przy tym Administrator naruszył również zasadę rozliczalności (art. 5 ust. 2 rozporządzania 2016/679).

105.

Wójt wyjaśnił, że przyczyną niepodejmowania adekwatnych działań w tym obszarze były ograniczone środki finansowe. Taka argumentacja nie może zostać uznana jako uzasadnienie niewprowadzenia właściwych rozwiązań w omawianym obszarze, chociażby z uwagi na fakt, że po wystąpieniu naruszenia ochrony danych osobowych Wójt wygospodarował środki finansowe niezbędne do wprowadzenia odpowiednich zmian w celu dostosowania procesu przetwarzania danych osobowych do wymogów określonych w rozporządzeniu 2016/679. Nie może umknąć uwadze fakt, iż od dnia rozpoczęcia stosowania przepisów ww. rozporządzenia do wystąpienia przedmiotowego naruszenia ochrony danych osobowych upłynął wystarczająco długi okres czasu niezbędny dla wprowadzenia właściwych rozwiązań organizacyjnych i technicznych gwarantujących bezpieczeństwo w procesie przetwarzania danych osobowych, a co za tym idzie, również na etapie konstruowania budżetu nie istniały obiektywne przesłanki dla odstąpienia od wprowadzenia adekwatnych rozwiązań. Impulsem dla wprowadzenia zmian stało się dopiero naruszenie ochrony danych osobowych.

106.

Jak wynika ze zgromadzonego materiału dowodowego, przed wystąpieniem naruszenia ochrony danych osobowych, „(…) mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych opierało się wyłącznie na przeprowadzaniu podstawowych analiz ryzyka oraz wiedzy i doświadczeniu dedykowanego pracownika, zajmującego się obsługą IT w UG (…)”. Biorąc zatem pod uwagę wyjaśnienia Wójta oraz efekty działań, należy stwierdzić, że testom nie były poddawane w pełnym zakresie zabezpieczenia techniczne oraz organizacyjne w odniesieniu do systemów informatycznych wykorzystywanych do przetwarzania danych osobowych. W związku z powyższym Wójt nie był w stanie wykazać, ani stwierdzić, że zastosowane środki bezpieczeństwa posiadają znamiona wystarczalności.

107.

W przedmiotowym stanie faktycznym nie sposób uznać, że Wójt wywiązywał się z omawianego obowiązku, weryfikując i modyfikując poziom skuteczności wdrożonych zabezpieczeń. Działanie Wójta polegające „wyłącznie na przeprowadzaniu podstawowych analiz ryzyka oraz wiedzy i doświadczeniu dedykowanego pracownika, zajmującego się obsługą IT w UG”, nie może zostać uznane za realizację obowiązku określonego powołanym przepisem rozporządzenia 2016/679. Przyjęta przez Wójta metodyka przeprowadzonych testów nie była w stanie wykazać rzetelnej oceny stanu bezpieczeństwa systemów informatycznych wskazującej wszystkie podatności oraz odporność na próby przełamania zabezpieczeń na skutek nieuprawnionego działania osoby trzeciej oraz złośliwego oprogramowania. Wobec powyższego ocena stanu bezpieczeństwa okazała się niewystarczająca w zakresie zastosowania odpowiednich zabezpieczeń technicznych i organizacyjnych.

108.

Działania Administratora w tym zakresie był również bardzo ograniczone. Nie można bowiem uznać, że „regularne aktualizacje i przegląd polityki bezpieczeństwa”, „kontrola dostępu do pomieszczenia serwerowego, ograniczoną wyłącznie do uprawnionych osób”, „przeglądy stacji roboczych” były wystarczające, zwłaszcza, że Podmiot przetwarzający (jak sam przyznał) nie dokonywał weryfikacji wdrożonych środków mających gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych.

109.

Z powyższego wynika zatem, że Administrator nie wykazał (wbrew obowiązkowi przewidzianemu w art. 5 ust. 2 rozporządzenia 2016/679) ani faktu, ani sposobu przeprowadzania w sposób regularny testów dotyczących weryfikacji zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych.

110.

Dokonane ustalenia nie dają podstawy do stwierdzenia, że środki techniczne i organizacyjne stosowane przez Administratora w celu zapewnienia bezpieczeństwa danych osobowych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania; środki te w ocenie Prezesa UODO nie były w odpowiedni sposób poddawane przeglądom i uaktualniane, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych.

VI. Obowiązek przestrzegania zasady rozliczalności. Naruszenia art. 5 ust. 2 rozporządzenia 2016/679.

111.

Kolejną kwestią, którą należy podnieść, jest konieczność przestrzegania zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. W orzecznictwie wskazuje się, że „(…) rozporządzenie 2016/679 nie przesądza jednak o tym, jak administrator powinien realizować obowiązki wynikające z zasady rozliczalności zawartej w art. 5 ust. 2 ww. rozporządzenia, niemniej jednak wskazuje na konieczność rozliczania się z przestrzegania przepisów, raportowania ich realizacji oraz przedstawiania dowodów świadczących o prawidłowym wykonywaniu obowiązków. Zasada rozliczalności zobowiązuje administratorów do demonstrowania podjęcia wszelkich środków mających na celu zapewnienie zgodności z obowiązkiem ochrony danych osobowych. W świetle ww. zasady to administrator, a nie organ nadzorczy zajmujący się ochroną danych osobowych, odpowiada za opracowanie, aktualizowanie i utrzymywanie wszystkich procedur i dokumentów związanych z ochroną danych osobowych, a także za stworzenie możliwości dowodowych wykazujących zgodność przetwarzania z przepisami (…)” (wyrok WSA w Warszawie z 1 lutego 2022 r., sygn. II SA/Wa 2106/21, LEX nr 3392761). Powyższe potwierdza orzeczenie WSA w Warszawie z 10 lutego 2021 r., sygn. II SA/Wa 2378/20: „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych.” Podobnie kwestię zasady rozliczalności interpretuje WSA w Warszawie w wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 (utrzymanym w mocy wyrokiem Naczelnego Sądu Administracyjnego z 28 lutego 2024 r., sygn. akt III OSK 3839/21): „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679.”

112.

Przed wystąpieniem naruszenia ochrony danych osobowych Administrator przeprowadził co prawda analizę ryzyka dla operacji przetwarzania danych osobowych w związku z wykorzystywaniem sprzętu komputerowego zagrożonego możliwością infekcji złośliwym oprogramowaniem, ale wobec faktu, że Podmiot przetwarzający takiej analizy nie przeprowadził, a także dlatego, że Administrator nie podjął odpowiednich działań w zakresie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania – Administrator nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, wbrew nie tylko obowiązkom wynikającym z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, ale także zasadzie rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.

113.

Z przedłożonych przez Administratora i Podmiot przetwarzający wyjaśnień wynika, że wdrożenie odpowiednich procedur i rozwiązań nastąpiło dopiero po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych (por. pkt IV uzasadnienia faktycznego).

114.

Podkreślić zatem należy, że wprowadzenie po naruszeniu ochrony danych osobowych przez Administratora i Podmiot przetwarzający zmian w obszarze zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych nie zmienia negatywnej oceny tego aspektu procesu przetwarzania danych osobowych realizowanego przez Podmiot przetwarzający w imieniu Administratora, a stanowi jedynie przesłankę za odstąpieniem od nakazania ww. podmiotom dokonania zmian w tym obszarze celem dostosowania operacji przetwarzania danych do wymogów rozporządzenia 2016/679.

VII. Obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Naruszenia art. 33 ust. 1 rozporządzenia 2016/679.

115.

Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

116.

Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

117.

Z treści powołanych wyżej przepisów rozporządzenia 2016/679 wynika, że w przypadku wystąpienia naruszenia ochrony danych osobowych po stronie administratora danych powstaje obowiązek zgłoszenia go Prezesowi UODO, jeśli z danym naruszeniem wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, niezależnie od poziomu tego ryzyka. Podkreślić w tym miejscu należy, że „małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, które stosownie do art. 33 ust. 1 rozporządzenia 2016/679 powoduje brak konieczności zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, powinno być utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle – a zatem wtedy, gdy mówimy o „braku ryzyka”. Warto zauważyć, że w polskiej wersji rozporządzenia 2016/679 użyto sformułowania „mało prawdopodobne”, zaś w angielskiej – terminu „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwie lub niemal niemożliwe. Warto również odwołać się w tym miejscu do Wytycznych 09/2022 dotyczących zgłaszania naruszenia ochrony danych osobowych na podstawie RODO^[5], dalej jako Wytyczne 09/2022, a zwłaszcza do działu II tych Wytycznych dotyczącego art. 33 rozporządzenia 2016/679 oraz wynikającego z niego obowiązku powiadomienia organu nadzorczego. W rozdziale D tego działu EROD omówiła warunki, w których powiadomienie takie nie jest wymagane. Wnikliwe przeanalizowanie treści tego rozdziału pozwala stwierdzić, że EROD stoi na stanowisku, że wyjątek z art. 33 ust. 1 rozporządzenia 2016/679 (tj. przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ze względu na małe prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych) należy rozumieć wąsko – inaczej mówiąc: jako wyjątek, który znajdzie zastosowanie w sytuacjach, gdy to prawdopodobieństwo jest w sposób oczywisty małe.

118.

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz – jeżeli takie ryzyko wystąpiło – czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informacje, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) – c) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem.

119.

W przedmiotowej sprawie zgłoszenia naruszenia ochrony danych osobowych z 23 marca 2021 r. zostało pierwotnie przekazane organowi przez Podmiot przetwarzający. Administrator także zgłosił to naruszenie ochrony danych osobowych, ale zrealizował swój obowiązek dopiero 16 września 2022 r.

120.

Jak wskazują Wytyczne 07/2020 „(…) podmiot przetwarzający musi pomagać administratorowi w wypełnianiu obowiązku powiadamiania organu nadzorczego i osób, których dane dotyczą, o naruszeniu ochrony danych osobowych. Podmiot przetwarzający musi powiadomić administratora o każdym przypadku wykrycia naruszenia ochrony danych osobowych mającego wpływ na urządzenia/systemy informatyczne podmiotu przetwarzającego lub podwykonawcy przetwarzania oraz pomóc administratorowi w uzyskaniu informacji, które należy zawrzeć w sprawozdaniu dla organu nadzorczego. W RODO wymaga się, aby administrator zgłaszał naruszenie bez zbędnej zwłoki, aby zminimalizować szkodę poniesioną przez osoby fizyczne i zmaksymalizować możliwość zaradzenia naruszeniu w odpowiedni sposób. W związku z tym podmiot przetwarzający powinien powiadomić administratora danych bez zbędnej zwłoki. W zależności od szczególnych cech przetwarzania powierzonego podmiotowi przetwarzającemu właściwe może być, aby strony uwzględniły w umowie konkretny termin (np. liczbę godzin), w którym podmiot przetwarzający powinien zgłosić naruszenie administratorowi, a także punkt kontaktowy dla takich zgłoszeń, sposób zgłoszenia i minimalny zakres jego treści oczekiwane przez administratora. Ustalenia umowne między administratorem a podmiotem przetwarzającym mogą również obejmować upoważnienie i zobowiązanie podmiotu przetwarzającego do bezpośredniego zgłaszania naruszenia ochrony danych zgodnie z art. 33 i 34, przy czym odpowiedzialność prawna za zgłoszenie spoczywa na administratorze. Jeżeli podmiot przetwarzający zgłosi naruszenie ochrony danych bezpośrednio organowi nadzorczemu i poinformuje osoby, których dane dotyczą, zgodnie z art. 33 i 34, podmiot przetwarzający musi również poinformować administratora i przekazać administratorowi kopie zgłoszenia i informacje przekazane osobom, których dane dotyczą (…)”. Z kolei Wytyczne 09/2022 wskazują, że „(…) w umowie między administratorem a podmiotem przetwarzającym należy określić, w jaki sposób planuje się zagwarantować spełnienie wymogów ustanowionych w art. 33 ust. 2 oraz zapewnić zgodność z innymi przepisami RODO. Może wiązać się to z ustanowieniem obowiązku wczesnego zgłaszania naruszeń przez podmiot przetwarzający, co z kolei ułatwia administratorowi wywiązanie się ze spoczywających na nim obowiązków w zakresie zgłaszania naruszeń organowi nadzorczemu w terminie 72 godzin (…) Podmiot przetwarzający mógłby dokonać zgłoszenia w imieniu administratora, jeżeli administrator udzieliłby takiemu podmiotowi przetwarzającemu stosownego zezwolenia, a kwestia ta zostałaby uregulowana w uzgodnieniach umownych między administratorem a podmiotem przetwarzającym. Takiego zgłoszenia należy dokonać zgodnie z art. 33 i 34 RODO. W tym kontekście należy jednak pamiętać, że zgodnie z obowiązującymi przepisami odpowiedzialność za dokonanie zgłoszenia spoczywa na administratorze (…)”.

121.

Jak już szczegółowo wykazano w pkt IX stanu faktycznego, Administrator nie zawarł z Podmiotem przetwarzającym stosowanego porozumienia dotyczącego zgłaszania naruszeń organowi nadzorczemu.

122.

Zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 Administrator powinien zgłosić naruszenie ochrony danych osobowych w terminie 72 godzin od jego stwierdzenia. W tej sprawie Administrator stwierdził naruszenie 23 marca 2021 r, a zgłoszenia naruszenia ochrony danych osobowych GOPS dokonał dopiero 16 września 2022 r., tj. znacznie po upływie 72 godzin od jego stwierdzenia. Uznać zatem należy, że Administrator naruszył art. 33 ust. 1 rozporządzenia 2016/679.

VIII. Podsumowanie stwierdzonego naruszenia przepisów rozporządzenia 2016/679

123.

Dokonane ustalenia nie dają zatem podstawy do stwierdzenia, że stosowane przez Administratora oraz Podmiot przetwarzający środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych. Jak już wskazano w uzasadnieniu, Administrator nie weryfikował adekwatności środków technicznych i organizacyjnych wdrożonych przez Podmiot przetwarzający, które miały zapewnić bezpieczeństwo w procesie przetwarzania danych osobowych, co skutkuje naruszeniem przez Administratora art. 28 ust. 1 rozporządzenia 2016/679.

124.

Podmiot przetwarzający nie przeprowadził analizy ryzyka, która uwzględniałaby zagrożenia wynikające z możliwości zaszyfrowania serwera w następstwie ataku hackerskiego. Ponadto Administrator oraz Podmiot przetwarzający nie wdrożyli polityki regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa przetwarzania danych osobowych. Powyższe oznacza, że Administrator naruszył art. 32 ust. 1 i 2 rozporządzenia 2016/679, a Podmiot przetwarzający naruszył art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679.

125.

Obowiązki w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełniać wymogi rozporządzenia 2016/679, zostały nałożone na Administratora (i tylko na Administratora) przepisami art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679. Wobec braku zastosowania przez Administratora adekwatnych środków bezpieczeństwa, o czym wyżej mowa, uznać należy, że Administrator naruszył także i te przepisy rozporządzenia 2016/679. Konsekwencją zaś ich naruszenia jest konieczność stwierdzenia, że naruszona została również przez Administratora zasada poufności wyrażona w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a w konsekwencji również zasada rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.

126.

Prawidłowe i skuteczne zabezpieczenie danych osobowych zostało w rozporządzeniu 2016/679 podniesione do rangi ogólnej zasady, co świadczy o tym, że kwestia zapewnienia poufności danych powinna być traktowana w sposób szczególny i priorytetowy przez Administratora. Tymczasem, jak już wykazano w uzasadnieniu niniejszej decyzji, Administrator i Podmiot przetwarzający nie wdrożyli odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.

127.

Podsumowując stwierdzone naruszenie przepisów rozporządzenia 2016/679 należy wskazać, że Administrator naruszył także art. 33 ust. 1 rozporządzenia 2016/679, bowiem nie wywiązał się z obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO w terminie 72 godzin po stwierdzeniu naruszenia ochrony danych osobowych, a jednocześnie nie wykazał, że zawarł z Podmiotem przetwarzającym stosowne porozumienie, które uprawniało Podmiot przetwarzający do realizacji tego obowiązku za Administratora.

IX. Uzasadnienie udzielenia upomnienia Administratorowi za naruszenie art. 33 ust. 1 rozporządzenia 2016/679

128.

Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz, że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez Administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości.

129.

W celu monitorowania i egzekwowania stosowania przepisów rozporządzenia 2016/679 Prezes UODO został wyposażony w instrumenty, które służą doprowadzeniu do sytuacji, w której administrator i/lub podmiot przetwarzający wywiąże się z obowiązków nałożonych na niego tym rozporządzeniem. W przedmiotowej sprawie stan naruszenia przepisów rozporządzenia 2016/679 został zażegnany. Nie oznacza to jednak braku konieczności wyegzekwowania od Administratora i Podmiotu przetwarzającego odpowiedzialności za stwierdzone naruszenie przepisów tego rozporządzenia. Pośród przyznanych organowi nadzorczemu narzędzi znajdują się takie, które w sytuacji stwierdzenia naruszenia przepisów o ochronie danych osobowych mają służyć wzmocnieniu respektowania prawa o ochronie danych, poprzez oddziaływanie o charakterze upominawczym (art. 58 ust. 2 lit. b) rozporządzenia 2016/679) bądź represyjnym (art. 58 ust. 2 lit. i) w zw. z art. 83 rozporządzenia 2016/679). Ocena zasadności skorzystania z tego rodzaju narzędzi pozostawiona została organowi nadzorczemu.

130.

Zgodnie z art. 58 ust. 2 lit. b) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania.

131.

Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne - oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

132.

Określenie charakteru naruszenia polega na ustaleniu, który przepis rozporządzenia 2016/679 został naruszony i zakwalifikowaniu naruszenia do właściwej kategorii naruszonych przepisów, tj. wskazanych w art. 83 ust. 4 rozporządzenia 2016/679 lub/oraz w art. 83 ust. 5 i 6 rozporządzenia 2016/679. Na ocenę wagi naruszenia (np. niską, średnią lub znaczną) wskazywać będą charakter naruszenia, jak również zakres, cel danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody.

133.

Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem za naruszenie art. 33 ust. 1 rozporządzenia 2016/679 jest udzielenie Administratorowi upomnienia. Mimo znaczącego opóźnienia w zgłoszeniu naruszenia ochrony danych osobowych przez Administratora należy zaznaczyć, że zgłoszenia dokonał Podmiot przetwarzający, który w tym zgłoszeniu przekazał organowi nadzorczemu wszystkie informacje, o których mowa w art. 33 ust. 3 rozporządzenia 2016/679.

134.

Naruszenie przez GOPS art. 33 ust. 1 rozporządzenia 2016/679 dotyczy więc jednorazowego zdarzenia, a zatem nie mamy do czynienia z systematycznym działaniem lub zaniechaniem, które stanowiłoby poważne zagrożenie dla praw osób, których dane osobowe są przetwarzane. Powyższe okoliczności uzasadniają udzielenie Administratorowi upomnienia za stwierdzone naruszenie 33 ust. 1 rozporządzenia 2016/679, co zapewni także, aby w przyszłości podobne zdarzenia nie miały miejsca. Niemniej jednak, gdyby podobne naruszenie ww. przepisu prawa powtórzyło się w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia administracyjnej kary pieniężnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

X. Administracyjne kary pieniężne

135.

Na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) - h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze ustalenia stanu faktycznego, Prezes UODO korzystając z przysługującego mu uprawnienia określonego we wskazanym wyżej przepisie rozporządzenia 2016/679 stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie administracyjnej kary pieniężnej na Administratora i Podmiot przetwarzający.

136.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 –39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

137.

Zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

138.

Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

139.

Natomiast zgodnie z art. 102 ust. 1 pkt 1 u.o.d.o., Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2023 r. poz. 1270 ze zm.). Zarówno Administrator, jak i Podmiot przetwarzający stanowią podmioty, których dotyczy ten limit kar. Administracyjne kary pieniężne, o których mowa w ust. 1 i 2, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679 (art. 102 ust. 3 u.o.d.o.).

140.

W niniejszej sprawie administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia. Jednocześnie kara nałożona na Administratora łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, ani nie przekracza limitu kar określonego w art. 102 ust. 1 pkt 1 u.o.d.o.

141.

Z kolei administracyjna kara pieniężna wobec Podmiotu przetwarzającego nałożona została za naruszenie art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679 na podstawie art. 83 ust. 4 lit. a) rozporządzenia 2016/679, które stosownie do tego przepisu prawa podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, ani nie przekracza limitu kar określonego w art. 102 ust. 1 pkt 1 u.o.d.o.

XI.a) Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej na Administratora

142.

Decydując o nałożeniu administracyjnej kary pieniężnej na Administratora Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

143.

Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

W niniejszej sprawie stwierdzono naruszenie przez Administratora przepisów: art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1 i 2, art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679. Obciążający charakter omawianej przesłanki wynika przede wszystkim z faktu, że naruszone przepisy rozporządzenia 2016/679 określają fundamentalne obowiązki, jakie na nim spoczywają. Naruszenie zasady, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, oznacza, że nie zdołał on wdrożyć adekwatnych środków technicznych i organizacyjnych, co ma bezpośredni wpływ na możliwość materializacji ryzyka naruszenia praw lub wolności osób fizycznych, których dane osobowe przetwarzał. Podobnie naruszenie zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679 związane jest z naruszeniem podstawowych obowiązków, których nie dochowano. Nieprzestrzeganie tej zasady wiąże się z niepewnością osób fizycznych i obniża poziom ich zaufania wobec jednostki samorządu terytorialnego. Naruszenie przepisu art. 25 ust. 1 rozporządzenia 2016/679 również ma poważny charakter, bowiem przepis ten nakłada na Administratora obowiązek przyjęcia proaktywnego podejścia do kwestii ochrony danych osobowych.

O znacznej wadze i poważnym charakterze naruszenia przesądza także brak realizacji obowiązków związanych z powierzeniem przetwarzania danych osobowych, tj. niezapewnienie, aby powierzenie to nastąpiło dopiero po przeprowadzeniu właściwej weryfikacji podmiotu przetwarzającego oraz jej dalszym prowadzeniu w sposób ciągły w celu potwierdzenia, że od chwili powierzenia, a później w dalszym ciągu, zapewniał on wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Wymóg tej właściwej i ciągłej weryfikacji Podmiotu przetwarzającego przez Administratora wynika z art. 28 ust. 1 rozporządzenia 2016/679. Wskazać także należy na istotność norm, które wynikają z art. 32 ust. 1 i 2 rozporządzenia 2016/679, bowiem przepisy te wskazują na konieczność wdrożenia adekwatnych środków bezpieczeństwa odpowiadających ryzyku naruszenia praw lub wolności osób fizycznych. W świetle powyższego należy podkreślić, że naruszenie tych przepisów również ma poważny charakter i znaczną wagę.

Zakładając nawet, że w efekcie braku zastosowania odpowiednich środków bezpieczeństwa nie doszło do utraty poufności danych, należy wziąć pod uwagę, że Administrator utracił pełen dostęp do danych osobowych, przetwarzanych w związku z wykonywaniem powierzonych zadań. Wobec tego należy założyć, że w okresie utraty dostępności wystąpiło ryzyko braku możliwości załatwienia spraw konkretnych osób (których dane zostały naruszone). Zamiast realizować swoje zadania w pełnym zakresie i w normalnym trybie (tj. z wykorzystaniem systemów informatycznych), Administrator musiał najpierw odzyskać do dostęp do danych osobowych. Dotkliwość skutków omawianego incydentu potwierdza sam Administrator, wskazując, że procedował sprawy, w tym rozpatrywał wnioski, w oparciu o dokumentację papierową. Brak dostępności do danych odczuł nie tylko Administrator, ale nade wszystko naruszenie dostępności mogło spowodować utrudnienia w realizacji praw przez osoby, których dane zostały naruszone. Potencjalne utrudnienia w realizacji praw osób, których dane dotyczą, należy uznać za szkodę. Powyższe okoliczności determinują stwierdzenie, że naruszenie wskazanych wyżej przepisów rozporządzenia 2016/679 miało znaczącą wagę i poważny charakter.

Należy również podkreślić długi czas trwania naruszenia przepisów rozporządzenia 2016/679, bowiem należy przyjąć, że rozpoczęło się ono w dniu 25 maja 2018 r., tj. w dniu rozpoczęcia stosowania rozporządzenia 2016/679, a zakończyło się najwcześniej 28 stycznia 2022 r., tj. po przeprowadzeniu analizy ryzyka przez Podmiot przetwarzający i wdrożeniu na jej podstawie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, co jest równoznaczne z zaprzestaniem naruszenia przepisów rozporządzenia 2016/679 przez Administratora.

Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych stwarzało wysokie ryzyko negatywnych skutków dla wszystkich osób, których dane osobowe Administrator przetwarza, tj. co najmniej dla ok. 1500 osób (taką liczbę osób wskazano w zgłoszeniu naruszenia ochrony danych osobowych).

Podkreślić należy ponadto, że GOPS jest jednostką organizacyjną gminy odpowiedzialną za świadczenie pomocy społecznej, wobec której należy oczekiwać zarówno znajomości przepisów, jak i właściwego ich stosowania, i tym samym wysokich standardów w zakresie bezpieczeństwa przetwarzanych danych.

144.

Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).

Zgodnie z Wytycznymi Grupy Roboczej ds. Ochrony Danych Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (dalej jako Wytyczne WP253) potwierdzonymi Wytycznymi 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (dalej jako Wytyczne 04/2022^[6]), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”.

Administrator był świadomy, że w przypadku dopuszczenia przetwarzania danych osobowych w systemach informatycznych, powinien przetwarzać dane osobowe w taki sposób, aby zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed potencjalnym atakiem złośliwego oprogramowania, a więc w taki sposób, aby zapewnić przestrzeganie zasady „integralności i poufności” wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679. Z uwagi na zakres działalności jednostki organizacyjnej gminy, był on świadomy konieczności wykorzystywania systemu informatycznego dla celów związanych z realizacją świadczeń społecznych. Powinien zatem przewidzieć możliwość naruszenia ochrony danych osobowych w następstwie ataku ransomware.

Mimo przyjętej praktyki wykorzystywania systemu informatycznego dla celów wiążących się z koniecznością przetwarzania danych osobowych, Administrator nie przeprowadził między innymi analizy ryzyka w zakresie ataku za pomocą oprogramowania ransomware, nie dokonywał także regularnego testowania, mierzenia i oceniania skuteczności wprowadzonych rozwiązań oraz nie wprowadził skutecznej polityki bezpieczeństwa w zakresie wykonywania kopii zapasowych. Dopiero po wystąpieniu naruszenia ochrony danych osobowych podjął on określone czynności o charakterze techniczno – organizacyjnym. W jego działaniach uwidoczniona została świadomość, co do braku zapewnienia odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych z wykorzystaniem systemów informatycznych. W omawianym przypadku Administrator mógł przewidzieć, że przyjęte rozwiązania nie zapewnią odpowiedniego stopnia bezpieczeństwa danych osobowych, co będzie stanowiło naruszenie przepisów o ochronie danych osobowych. Tym samym, umyślnie naruszył art. 24 ust. 1, 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1 i 2, art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679.

Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Administrator dopuścił się zaniedbania skutkującego wystąpieniem naruszenia dotyczącego dostępności danych. Tak więc stanowi to istotną okoliczność wpływającą obciążająco na wysokość kary administracyjnej.

145.

Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).

Stwierdzone naruszenie przepisów rozporządzenia 2016/679 wiąże się z naruszeniem szerokiego zakresu danych. Naruszone zostały dane należące do szczególnej kategorii danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679 (dane dotyczące zdrowia), oraz dane dotyczące wyroków skazujących (art. 10 rozporządzenia 2016/679). Ponadto naruszone zostały dane w zakresie:

–

nazwiska i imiona,

–

imiona rodziców,

–

data urodzenia,

–

numer rachunku bankowego,

–

adres zamieszkania lub pobytu,

–

numer ewidencyjny PESEL,

–

adres e-mail,

–

dane dotyczące zarobków/lub posiadanego majątku,

–

seria i numer dowodu osobistego,

–

numer telefonu,

–

inne: obywatelstwo, wykształcenie, płeć, stan cywilny, dane opiekuna prawnego, zawód wykonywany, miejsce pracy i nauki, pozycja na rynku, kwalifikacje i doświadczenie zawodowe, osoby zobowiązane do alimentacji, świadczone alimenty,, wydatki, warunki mieszkaniowe, przemoc, problemy opiekuńczo wychowawcze, wsparcie asystenta rodziny, nadzór kuratora, zadłużenia, pobyt w DPS, sytuacja majątkowa.

W przedmiotowej sprawie nie ma dowodu, że doszło na naruszenia poufności danych, ale sam fakt naruszenie takiego szerokiego danych osobowych przesądza o konieczności uznania tej przesłanki jako obciążającej. Powyższe wnika, że z faktu, że numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.

W tym kontekście warto przywołać Wytyczne 04/2022, w których to wskazano: „(…) Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 RODO oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać temu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych (…)”.

146.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność znacząco łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Administratora z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków [art. 83 ust. 2 lit. f) rozporządzenia 2016/679]. Należy w tym miejscu wskazać, że poza prawidłowym wywiązywaniem się z ciążących na Administratorze obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji, podjął on działania mające na celu zwiększenie poziomu bezpieczeństwa w procesie przetwarzania danych osobowych (por. pkt IV uzasadnienia faktycznego). W ocenie Prezesa UODO wykonanie ww. czynności należy uznać za okoliczność łagodzącą mającą wpływ na obniżenie wysokości wymierzonej kary.

147.

Na fakt zastosowania wobec Administratora w niniejszej sprawie przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679 okoliczności, to jest:

148.

Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).

W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie Administratora, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO nie odnotował w niniejszym przypadku tego typu działań Administratora. Samo przekazanie osobom, których dotyczą ujawnione dane, informacji o zdarzeniu nie może być w przedmiotowej sprawie uznane za działanie w celu zminimalizowania szkody poniesionej przez te osoby.

149.

Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).

W niniejszej sprawie Prezes UODO stwierdził między innymi naruszenie art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679. W ocenie organu nadzorczego na Administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie „zrobił wszystkiego, czego można by było od niego oczekiwać”; nie wywiązał się tym samym z nałożonych na nią przepisami art. 25 i 32 rozporządzenia 2016/679 obowiązków.

W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia przepisów rozporządzenia 2016/679; nie jest jedynie czynnikiem wpływającym - łagodząco lub obciążająco - na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar administracyjnej kary pieniężnej nałożonej na Administratora.

150.

Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).

Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.

151.

Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).

Prezes UODO stwierdził naruszenie przepisów rozporządzenia 2016/679 w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Administratora (a wcześniej także przez Podmiot przetwarzający). Administrator dokonując tego zgłoszenia realizował jedynie ciążący na nim obowiązek prawny, brak jest podstaw do uznania, że okoliczność ta stanowi okoliczność łagodzącą. Zgodnie z Wytycznymi 04/2022 „(…) Przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu organ nadzorczy z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze – na przykład – skargi lub postępowania. Okoliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń [np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33 RODO]. W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną (…)”.

152.

Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).

Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym nie miał on obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

153.

Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).

Administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak - jak stanowią przepisy rozporządzenia 2016/679 - obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na jego korzyść natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

154.

Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).

W związku z naruszeniem ochrony danych osobowych Prezes UODO nie stwierdził, aby Administrator odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej ten podmiot. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie tego rodzaju korzyści, jako stanu naturalnego, niezależnego od naruszenia i jego skutków, nie może być uznane za okoliczność łagodzącą. Potwierdza to sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” - zaistniałe po stronie podmiotu dokonującego naruszenia.

155.

Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).

Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

156.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych, uznał, iż nałożenie administracyjnej kary pieniężnej na Administratora jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych mu naruszeń. Stwierdzić należy, iż zastosowanie wobec niego jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że w przyszłości nie dojdzie do kolejnych zaniedbań.

157.

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszająca.

158.

Nałożona kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Administrator stosować będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszących procesom przetwarzania tych danych osobowych. Skuteczność kary oznacza również gwarancję, że od momentu zakończenia niniejszego postępowania, Administrator z najwyższą starannością będzie podchodzić do wymogów wynikających z przepisów o ochronie danych osobowych.

159.

Zastosowana administracyjna kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia, w szczególności jego wagi, skutków, kręgu osób fizycznych nim dotkniętych oraz wysokiego ryzyka negatywnych konsekwencji, jakie w związku z naruszeniem mogą ponieść. Zdaniem Prezesa UODO, nie będzie ona stanowiła dla Administratora nadmiernego obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków Administratora, z drugiej zaś nie prowadziła do istotnego pogorszenia jego sytuacji finansowej. Administrator powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 5 000 złotych (pięć tysięcy złotych) jest w pełni uzasadnione.

160.

Administracyjna kara pieniężna spełni w tych konkretnych okolicznościach również funkcję represyjną, jako odpowiedź na naruszenie przez Administratora przepisów rozporządzenia 2016/679, jak i prewencyjną, zapobiegając w przyszłości naruszaniu przez ten podmiot obowiązków wynikających z przepisów o ochronie danych osobowych. W niniejszej sprawie spełnia ona zatem przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 - zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.

161.

Celem nałożonej kary jest doprowadzenie do przestrzegania przez Administratora w przyszłości przepisów rozporządzenia 2016/679.

XI.b) Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej na Podmiot przetwarzający

162.

Decydując o nałożeniu administracyjnej kary pieniężnej na Podmiot przetwarzający Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

163.

Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

W niniejszej sprawie stwierdzono naruszenie przez Podmiot przetwarzający art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679. Obciążający charakter omawianej przesłanki wynika przede wszystkim z faktu, że naruszone przepisy rozporządzenia 2016/679 określają fundamentalne obowiązki, jakie na nim spoczywają.

O znacznej wadze i poważnym charakterze naruszenia przesądza brak realizacji obowiązków związanych z przetwarzaniem danych osobowych przez Podmiot przetwarzający w imieniu Administratora, tj. Podmiot przetwarzający nie podjął wszelkich środków wymaganych na mocy art. 32 rozporządzenia 2016/679. Wskazać także na istotność norm, które wynikają z art. 32 ust. 1 i 2 rozporządzenia 2016/679, bowiem przepisy te wskazują na konieczność wdrożenia adekwatnych środków bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. W świetle powyższego należy podkreślić, że naruszenie tych przepisów również ma poważny charakter i znaczną wagę.

Zakładając nawet, że w efekcie braku zastosowania odpowiednich środków bezpieczeństwa nie doszło do utraty poufności danych, należy wziąć pod uwagę, że Podmiot przetwarzający utracił pełen dostęp do danych osobowych (przetwarzanych w imieniu Administratora) w związku z wykonywaniem powierzonych mu zadań.

Wobec tego należy założyć, że w okresie utraty dostępności danych wystąpiło ryzyko braku możliwości załatwienia spraw konkretnych osób (których dane zostały naruszone). Zamiast realizować swoje zadania w pełnym zakresie i w normalnym trybie (tj. z wykorzystaniem systemów informatycznych), Administrator musiał najpierw odzyskać do dostęp do danych osobowych. Dotkliwość skutków omawianego incydentu potwierdza sam Administrator, wskazując, że procedował sprawy, w tym rozpatrywał wnioski, w oparciu o dokumentację papierową. Brak dostępności do danych odczuł nie tylko Administrator, ale nade wszystko naruszenie dostępności mogło spowodować utrudnienia w realizacji praw przez osoby, których dane zostały naruszone. Potencjalne utrudnienia w realizacji praw osób, których dane dotyczą, należy uznać za szkodę. Powyższe okoliczności determinują stwierdzenie, że przedmiotowe naruszenie ochrony danych osobowych miało znaczącą wagę i poważny charakter.

Należy również podkreślić długi czas trwania naruszenia przepisów rozporządzenia 2016/679, bowiem należy przyjąć, że rozpoczęło się ono w dniu 25 maja 2018 r., tj. w dniu rozpoczęcia stosowania rozporządzenia 2016/679, a zakończyło się najwcześniej 28 stycznia 2022 r. (tj. po przeprowadzeniu analizy ryzyka przez Podmiot przetwarzający i wdrożeniu na jej podstawie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych).

Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych stwarzało wysokie ryzyko negatywnych skutków dla wszystkich osób, których dane osobowe Podmiot przetwarzający w imieniu Administrator przetwarza, tj. co najmniej dla ok. 1500 osób (taką liczbę osób wskazano w zgłoszeniu naruszenia ochrony danych osobowych).

Podkreślić należy ponadto, że Wójt jako organ wykonawczy samorządu terytorialnego (gminy), jest podmiotem zaufania publicznego, wobec którego należy oczekiwać zarówno znajomości przepisów, jak i właściwego ich stosowania, i tym samym wysokich standardów w zakresie bezpieczeństwa przetwarzanych danych.

164.

Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).

Zgodnie z Wytycznymi WP253 potwierdzonymi Wytycznymi 04/2022, umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Podmiot przetwarzający był świadomy, że w przypadku dopuszczenia przetwarzania danych osobowych w systemach informatycznych, powinien przetwarzać dane osobowe w taki sposób, aby zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed potencjalnym atakiem złośliwego oprogramowania, tj. w taki sposób, aby proces ten odbywał się zgodnie z wymogami określanymi w art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679. Z uwagi na zakres działalności organu samorządu terytorialnego, był on świadomy konieczności wykorzystywania systemu informatycznego dla celów związanych z realizacją świadczeń społecznych. Powinien zatem przewidzieć możliwość naruszenia ochrony danych osobowych w następstwie ataku ransomware.

Mimo przyjętej praktyki wykorzystywania systemu informatycznego dla celów wiążących się z koniecznością przetwarzania danych osobowych, Podmiot przetwarzający nie przeprowadził między innymi analizy ryzyka w zakresie ataku za pomocą oprogramowania ransomware, nie dokonywał także regularnego testowania, mierzenia i oceniania skuteczności wprowadzonych rozwiązań oraz nie wprowadził skutecznej polityki bezpieczeństwa w zakresie wykonywania kopii zapasowych. Dopiero po wystąpieniu naruszenia ochrony danych osobowych podjął on określone czynności o charakterze techniczno – organizacyjnym, takie jak uzupełnienia analizy ryzyka o zagrożenia związane z następstwami ataku ransomware. W jego działaniach uwidoczniona została świadomość, co do braku zapewnienia odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych z wykorzystaniem systemów informatycznych. W omawianym przypadku Podmiot przetwarzający mógł przewidzieć, że przyjęte rozwiązania nie zapewnią odpowiedniego stopnia bezpieczeństwa danych osobowych, co będzie stanowiło naruszenie przepisów o ochronie danych osobowych. Tym samym, umyślnie naruszył art. 32 ust. 1 i 2 w związku z art. 28 ust. 3 lit. c) i f) rozporządzenia 2016/679.

Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Podmiot przetwarzający dopuścił się zaniedbania skutkującego wystąpieniem naruszenia dotyczącego dostępności danych. Tak więc stanowi to istotną okoliczność wpływającą obciążająco na wysokość kary administracyjnej.

165.

Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).

Stwierdzone naruszenie przepisów rozporządzenia 2016/679 wiąże się z naruszeniem szerokiego zakresu danych. Naruszone zostały dane należące do szczególnej kategorii danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679 (dane dotyczące zdrowia), oraz dane dotyczące wyroków skazujących (art. 10 rozporządzenia 2016/679). Ponadto naruszone zostały dane w zakresie:

–

nazwiska i imiona,

–

imiona rodziców,

–

data urodzenia,

–

numer rachunku bankowego,

–

adres zamieszkania lub pobytu,

–

numer ewidencyjny PESEL,

–

adres e-mail,

–

dane dotyczące zarobków/lub posiadanego majątku,

–

seria i numer dowodu osobistego,

–

numer telefonu,

–

inne: obywatelstwo, wykształcenie, płeć, stan cywilny, dane opiekuna prawnego, zawód wykonywany, miejsce pracy i nauki, pozycja na rynku, kwalifikacje i doświadczenie zawodowe, osoby zobowiązane do alimentacji, świadczone alimenty,, wydatki, warunki mieszkaniowe, przemoc, problemy opiekuńczo wychowawcze, wsparcie asystenta rodziny, nadzór kuratora, zadłużenia, pobyt w DPS, sytuacja majątkowa.

W przedmiotowej sprawie nie ma dowodu, że doszło na naruszenia poufności danych, ale sam fakt naruszenie takiego szerokiego danych osobowych przesądza o konieczności uznania tej przesłanki jako obciążającej. Powyższe wnika, że z faktu, że numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga.

W tym kontekście warto przywołać Wytyczne 04/2022, w których to wskazano: „(…) Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 RODO oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większą wagę organ nadzorczy może przypisać temu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych (…)”.

166.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność znacząco łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Podmiotu przetwarzającego z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Należy w tym miejscu wskazać, że poza prawidłowym wywiązywaniem się z ciążących na Podmiocie przetwarzającym obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji, podjął on działania mające na celu zwiększenie poziomu bezpieczeństwa w procesie przetwarzania danych osobowych (por. pkt IV uzasadnienia faktycznego). W ocenie Prezesa UODO wykonanie ww. czynności należy uznać za okoliczność łagodzącą mającą wpływ na obniżenie wysokości wymierzonej kary.

167.

Na fakt zastosowania wobec Podmiotu przetwarzającego w niniejszej sprawie przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały wpływu inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności, to jest:

168.

Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).

W kontekście tej przesłanki znaczenie ma cel, jakiemu ma służyć działanie Podmiotu przetwarzającego, czyli zminimalizowanie szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO nie odnotował w niniejszym przypadku tego typu działań Podmiotu przetwarzającego.

169.

Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).

Ustalenia dokonane przez Prezesa UODO pozwalają na stwierdzenie, że Podmiot przetwarzający nie realizował swoich obowiązków w zakresie wdrożenia adekwatnych środków bezpieczeństwa w procesie przetwarzania danych osobowych.

W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia przepisów rozporządzenia 2016/679; nie jest jedynie czynnikiem wpływającym – łagodząco lub obciążająco – na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 rozporządzenia 2016/679, nie może zostać uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar administracyjnej kary pieniężnej nałożonej na Podmiot przetwarzający.

Natomiast w przypadku obowiązków wynikających z art. 25 rozporządzenia 2016/679 wskazać należy, że dotyczą one administratorów, a wobec tego omawiana przesłanka w tym zakresie nie może być traktowana jako obciążająca lub łagodząca dla wysokości administracyjnej kary pieniężnej nałożonej na Podmiot przetwarzający.

170.

Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).

Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Podmiot przetwarzający, wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego podmiotu przetwarzającego jest przestrzeganie przepisów prawa (w tym o ochronie danych osobowych), więc brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.

171.

Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).

Prezes UODO stwierdził naruszenie przepisów rozporządzenia 2016/679 w wyniku zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Podmiot przetwarzający. Okoliczność ta nie ma jednak charakteru obciążającego lub łagodzącego dla ustalenia wysokości administracyjnej kary pieniężnej nałożonej na Podmiot przetwarzający, bowiem obowiązek zgłoszenia naruszenia ochrony danych osobowych został nałożony na Administratora i to on ponosi odpowiedzialność za realizację tego obowiązku.

172.

Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).

Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Podmiotu przetwarzającego w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym nie miał on obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

173.

Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).

Podmiot przetwarzający nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o których mowa w przepisach rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Podmiotu przetwarzającego. Na jego korzyść natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

174.

Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).

W związku z naruszeniem ochrony danych osobowych Prezes UODO nie stwierdził, aby Podmiot przetwarzając odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej ten podmiot. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie tego rodzaju korzyści, jako stanu naturalnego, niezależnego od naruszenia i jego skutków, nie może być uznane za okoliczność łagodzącą. Potwierdza to sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte”, tj. zaistniałe po stronie podmiotu dokonującego naruszenia.

175.

Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k rozporządzenia 2016/679).

Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

176.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych, uznał, że nałożenie administracyjnej kary pieniężnej na Podmiot przetwarzający jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych mu naruszeń. Stwierdzić należy, iż zastosowanie wobec niego jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że w przyszłości nie dojdzie do kolejnych zaniedbań.

177.

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszająca.

178.

Nałożona kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Podmiot przetwarzający stosować będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszących procesom przetwarzania tych danych osobowych. Skuteczność kary oznacza również gwarancję, że od momentu zakończenia niniejszego postępowania, Podmiot przetwarzający z najwyższą starannością będzie podchodzić do wymogów wynikających z przepisów o ochronie danych osobowych.

179.

Zastosowana administracyjna kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia, w szczególności jego wagi, skutków, kręgu osób fizycznych nim dotkniętych oraz wysokiego ryzyka negatywnych konsekwencji, jakie w związku z naruszeniem mogą ponieść. Zdaniem Prezesa UODO, nie będzie ona stanowiła dla Podmiotu przetwarzającego nadmiernego obciążenia. Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków Podmiotu przetwarzającego, z drugiej zaś nie prowadziła do istotnego pogorszenia jego sytuacji finansowej. Podmiot przetwarzający powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 10 000 złotych (dziesięć tysięcy złotych) jest w pełni uzasadnione.

180.

Administracyjna kara pieniężna spełni w tych konkretnych okolicznościach również funkcję represyjną, jako odpowiedź na naruszenie przez Podmiot przetwarzający przepisów rozporządzenia 2016/679, jak i prewencyjną, zapobiegając w przyszłości naruszaniu przez ten podmiot obowiązków wynikających z przepisów o ochronie danych osobowych. W niniejszej sprawie spełnia ona zatem przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów rozporządzenia 2016/679.

181.

Celem nałożonej kary jest doprowadzenie do przestrzegania przez Podmiot przetwarzający w przyszłości przepisów rozporządzenia 2016/679.

182.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.