Stan faktyczny
Burmistrz Miasta Z. (Urząd Miasta Z., dalej: Burmistrz albo administrator danych) zgłosił Prezesowi Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) naruszenie ochrony danych osobowych, do którego doszło w czerwcu 2022 r.
Administrator wskazał, iż naruszenie ochrony danych osobowych polegało na blokadzie przez sieć wewnętrzną dostępu do serwera przez użytkowników końcowych. Zgodnie z treścią zgłoszenia złośliwe oprogramowanie umieściło plik tekstowy w każdym folderze z informacją o okupie. Naruszenie dotyczyło około 9400 osób. Administrator wskazał, iż kategorie danych osobowych, które zostały naruszone, to: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, numer telefonu, wizerunek.
Prezes UODO przeprowadził postępowanie wyjaśniające w sprawie zgłoszonego naruszenia, a następnie wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Burmistrza, jako administratora danych, obowiązków wynikających z przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO.
W ramach postępowania wyjaśniającego w sprawie zgłoszonego naruszenia ochrony danych osobowych oraz postępowania administracyjnego ustalono m.in., że:
- naruszenie ochrony danych osobowych zostało spowodowane atakiem ransomware na skutek wykorzystania podatności istniejącej w systemie teleinformatycznym,
- prawdopodobnie nie doszło do utraty poufności danych osobowych, ale na dzień sporządzenia odpowiedzi administrator danych nie był w stanie tego stwierdzić,
- administrator danych początkowo nie zwracał się do operatora świadczącego usługi dostępu do Internetu z zapytaniem, czy nastąpiło nieuzasadnione pobieranie danych z Urzędu Miejskiego w Z.,
- trwały prace nad odzyskaniem danych z kopii zapasowej; administrator odzyskał około 80% danych,
- przeprowadzono analizę wszystkich procesów przetwarzania danych osobowych, w tym również procesu, w którym doszło do naruszenia,
- serwer, na którym były przetrzymywane kopie zapasowe, uległ awarii,
- na serwerze codziennie są automatycznie aktualizowane sygnatury wirusów (informatyk Urzędu Miasta Z. podjął się weryfikacji, czy nastąpiła aktualizacja).
Z uzasadnienia decyzji Prezesa UODO
W celu prawidłowego wywiązania się z obowiązków nałożonych przepisami RODO administrator danych był zobowiązany do podjęcia działań zapewniających adekwatny poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, a także do podjęcia działań zmierzających do optymalnej konfiguracji wykorzystywanych systemów operacyjnych przez regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych w postaci testów bezpieczeństwa w zakresie infrastruktury informatycznej oraz aplikacji. Charakter i rodzaj tych działań powinny wynikać z przeprowadzonej analizy ryzyka, w której należałoby zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia.
W niniejszej sprawie administracyjna kara pieniężna wobec Burmistrza została nałożona za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a RODO, natomiast za naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO ‒ na podstawie art. 83 ust. 5 lit. a RODO. Jednocześnie kara nałożona na Burmistrza łącznie za naruszenie wszystkich powyższych przepisów nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO, stosownie do art. 83 ust. 5 lit. a RODO.
Decydując o nałożeniu administracyjnej kary pieniężnej, Prezes UODO wziął pod uwagę następujące okoliczności sprawy. Stwierdzone naruszenie ma znaczną wagę i poważny charakter, stwarzało bowiem wysokie ryzyko negatywnych skutków prawnych dla dokładnie nieustalonej, potencjalnie dużej liczby osób. Administrator danych nie stwierdził co prawda naruszania poufności danych, ale z uwagi na brak możliwości wykazania przez administratora danych (zgodnie z zasadą rozliczalności) wykluczenia tego rodzaju naruszenia należy przyjąć, iż występuje ryzyko, iż do utraty poufności danych mogło jednak dojść. Należy w tym miejscu wziąć pod uwagę, iż złośliwe oprogramowanie może się przyczynić do naruszenia poufności danych w następstwie przysyłania w dłuższym okresie danych osobowych na zewnątrz organizacji administratora danych w postaci niewielkich paczek danych, tak aby wzrost ruchu sieciowego był niezauważalny. Natomiast do ataku ransomeware mogło dojść dopiero po przesłaniu danych osobowych na zewnątrz organizacji administratora danych. Burmistrz z uwagi na przejęte przez siebie rozwiązania nie jest w stanie wykazać (zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO), iż nie została naruszona poufność przetwarzanych przez niego danych osobowych.
Naruszenie przez Burmistrza obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieuprawnionym pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano. W tym miejscu wymaga podkreślenia, iż Burmistrz jako organ wykonawczy samorządu terytorialnego (gminy) jest podmiotem zaufania publicznego, od którego należy oczekiwać zarówno znajomości przepisów, jak i adekwatnego ich stosowania, a tym samym wysokich standardów w zakresie bezpieczeństwa przetwarzanych danych.
Ponadto administrator danych utracił dostęp do danych osobowych, które przetwarzał w związku z powierzonymi mu zadaniami, przez okres od czerwca 2022 r. do sierpnia 2022 r.
Istotny wpływ na wystąpienie przedmiotowego naruszenia miało rażące niedbalstwo organu samorządu terytorialnego. Burmistrz mimo świadomości zagrożenia dla bezpieczeństwa w procesie przetwarzania danych osobowych związanego z prawdopodobieństwem przeprowadzenia ataku ransomware podejmował, w sposób nierzetelny, działania w zakresie ochrony danych osobowych. Tym samym nieumyślnie naruszył przepisy o ochronie danych osobowych ‒ art. 5 ust. 1 li. f RODO w zw. z art. 24 ust. 1, 25 ust. 1, 32 ust. 1 i 2 RODO i w konsekwencji również art. 5 ust. 2 RODO.
Wziąwszy pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji, należy stwierdzić, iż administrator dopuścił się zaniedbania skutkującego wystąpieniem naruszenia ochrony danych osobowych, do którego doszło na skutek m.in. rażącego niedbalstwa i nierzetelności organu samorządu terytorialnego. Stanowi to więc istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej.
Dane osobowe znajdujące się w zasobach Burmistrza, do których utracił on dostęp w następstwie ataku ransomware, nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, jednak ich zakres (tj. nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, numer telefonu, wizerunek) wiązał się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracę administratora danych z organem nadzorczym. kooperacja została podjęta i prowadzona w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (zgodnie z art. 83 ust. 2 lit. f RODO). Należy w tym miejscu wskazać, iż poza prawidłowym wywiązywaniem się z ciążących na Burmistrzu obowiązków procesowych w trakcie postępowania administracyjnego, zakończonego wydaniem niniejszej decyzji, Burmistrz w pełnym zakresie zrealizował zalecenia Prezesa UODO dotyczące uzupełnienia zawiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu.
Komentarz
Na przykładzie tej decyzji Prezesa UODO przedstawiono, jak można rozumieć w praktyce podejście, w którym zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych. Zarządzanie ryzykiem ma charakter ciągłego procesu wymuszającego na administratorze danych nie tylko zapewnienie zgodności z przepisami RODO poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale także zapewnienie ciągłości monitorowania poziomu zagrożeń oraz rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń.
Choć wybrzmiewało to już w poprzednich rozstrzygnięciach Prezesa UODO, warto podkreślić, iż w zakresie stosowania odpowiednich środków technicznych i organizacyjnych administratorzy danych muszą pilnować aktualizacji stosowanych środków zabezpieczających. Korzystanie bowiem z systemów informatycznych służących do przetwarzania danych osobowych po zakończeniu wsparcia technicznego przez ich producenta obniża poziom bezpieczeństwa. Brak wbudowanych oraz aktualizowanych zabezpieczeń zwiększa w szczególności ryzyko infekcji dzięki złośliwego systemu oraz ataków poprzez powstawanie nowych luk w zabezpieczeniach. Systemy te stają się bardziej podatne na cyberataki, m.in. typu ransomware, blokujące dostęp do danych oraz żądające okupu za ich odzyskanie.