Prezes UODO wydał decyzję, na mocy której nałożył karę pieniężną w wysokości prawie 1,5 mln złotych. Na jej podstawie można sformułować kilka przydatnych wskazówek dla administratora dotyczących reakcji na działania Prezesa UODO.
20 maja 2024 r. Prezes UODO wydał decyzję (znak sprawy: DKN.5112.35.2021), na mocy której nałożył karę pieniężną na spółkę American Heart of Poland S.A. (dalej „Spółka” lub „administrator”) w wysokości prawie 1,5 mln złotych w związku z naruszeniem ochrony danych. Polegało ono, jak wynika z uzasadnienia decyzji, na uzyskaniu nieuprawnionego dostępu przez grupę hakerską do zasobów informatycznych (dysków sieciowych) Spółki oraz na zainstalowaniu w jej systemie informatycznym systemu typu ransomware, w wyniku czego doszło do utraty dostępności oraz poufności danych osobowych przetwarzanych przez Spółkę. Przedmiotowe naruszenie ochrony danych osobowych dotyczyło szerokiego zakresu danych osobowych – zarówno pacjentów, jak i pracowników Spółki. Organ stwierdził w decyzji, iż ukarana Spółka stosowała niewystarczające środki techniczne i organizacyjne w celu zabezpieczenia danych.
Decyzja pozwala na zidentyfikowanie praktyk stosowanych przez organ przy załatwieniu spraw. Umożliwia to ustalenie, jakich działań Prezes UODO oczekuje od administratora, wobec którego wszczął postępowanie w przedmiocie naruszenia przepisów RODO – choć w niektórych przypadkach działania organu mogą powodować wątpliwości.
Ostrożność w korespondencji z organem
Prezes UODO, wydając decyzję, oparł się m.in. na ustaleniach zewnętrznego eksperta, który na zlecenie Spółki stworzył dwa raporty wskazujące na potencjalne podatności w obszarze ataku ransomware. Spółka wykazała tym samym, jakich uchybień się dopuściła, samodzielnie stwierdzając, iż nie aktualizowała systemu ww. urządzeń oraz iż stosowała niewystarczająco skomplikowane hasła.
Organ nadzorczy potwierdził w toku kontroli wnioski wynikające z ww. raportów i wydał w tym zakresie rozstrzygnięcie. Oparł się m.in. na ustaleniach, które przedstawił sam administrator, trudno mu zatem będzie kwestionować te ustalenia na dalszym etapie postępowania. Zauważyć przy tym trzeba, iż Spółka w ramach wewnętrznych ustaleń nie była w stanie definitywnie stwierdzić, co w rzeczywistości było przyczyną, iż atak hakerski się powiódł.
Co prawda Prezes UODO wskazuje w decyzji cyt. „zarzuty postawione Spółce przez Prezesa UODO w przedmiotowym postępowaniu, wbrew sugestii Spółki, nie przesądzają o bezpośredniej przyczynie wystąpienia naruszenia ochrony danych”, jednak opiera się jednocześnie w treści decyzji na okolicznościach stwierdzonych w raporcie przedstawionym przez Spółkę. Co więcej organ wskazuje jednocześnie, iż co prawda, raporty zostały wzięte pod uwagę przez Prezesa UODO przy rozpatrywaniu sprawy, jednak wnioski pokontrolne oraz postawione zarzuty wobec Spółki zostały sformułowane przede wszystkim na podstawie:
– oceny stanu faktycznego, który został ustalony przez kontrolujących w oparciu o pozyskany materiał dowodowy i opisany w protokole kontroli, a także
– aktualnie przyjętych i powszechnie znanych w branży informatycznej podstawowych standardów bezpieczeństwa danych.
Nie zmienia to jednak faktu, iż w omawianej sprawie organ powiela tezy i twierdzenia zawarte w raportach otrzymanych od administratora. Zatem faktycznie Spółka, przedstawiając organowi ww. dokumenty, pośrednio wskazała nie tylko potencjalne kierunki prowadzenia postępowania ale również własne uchybienia, w sposób na tyle przekonujący, iż Prezes UODO uznał te ustalenia za wiarygodne i dokonał ich oceny w oparciu o przepisy RODO.
Zauważyć przy tym trzeba, iż przedmiotem sprawy na pierwszy rzut oka było zdarzenie polegające na wystąpieniu naruszenia, natomiast sama decyzja została wydana w dużo szerszym zakresie, tj. uwzględniając ogólne praktyki administratora w zakresie bezpieczeństwa danych osobowych.
Brak wiążących, konkretnych standardów bezpieczeństwa informatycznego w przepisach prawa
Organ w treści decyzji powołuje się na brak stosowania przez Spółkę standardów, które nie wynikają z prawa powszechnie obowiązującego. O ile w normie PN-EN ISO/IEC 27002 Rozdz. 9.4.3. przewidziano standard dotyczący stosowania długości i złożoności haseł, to pamiętać trzeba, iż norma ta nie stanowi prawa powszechnie obowiązującego, a podmioty funkcjonujące w obrocie nie mają obowiązku jej stosować.
Organ w treści decyzji stwierdził cyt. „minimalna długość hasła (…) była na poziomie tylko (…) znaków, co nie odpowiadało aktualnym praktykom stosowanym w branży informatycznej (standard na dzień kontroli wynosił 12 znaków)”. Brak jest jednak ogólnych zasad i standardów, które w branży informatycznej musi spełniać hasło. Nie istnieje także organ kompetentny do stwierdzenia obowiązującego standardu w zakresie stosowania haseł w organizacjach. UODO nie publikuje przy tym na swojej stronie podmiotowej żadnych wymaganych wytycznych czy konkretnych standardów, które muszą spełniać m.in. stosowane przez administratora hasła, w tym co do ilości znaków.
Oznacza to, iż każdorazowo należy wykazywać organowi przyczyny przyjętego rozwiązania oraz samodzielnie powołać się na określony, przyjęty standard w danym obszarze. Organ nie może dowolnie wskazywać w toku sprawy, jaki standard jest wymagany, ponieważ administrator musi wiedzieć, iż ten właśnie standard jest zdaniem organu najbardziej adekwatny.
Konieczność dokładnego i obszernego odniesienia się do zarzutów organu
Organ w treści decyzji odnosi się do polemiki przedstawionej przez Spółkę, wskazując jednocześnie, iż argumenty Spółki są nieuzasadnione – choć de facto Spółka nie mogła zapoznać się w trakcie postępowania z tym, jakie argumenty w ocenie Prezesa UODO przemawiają za stwierdzeniem naruszenia przez nią przepisów RODO, skoro organ ostateczne stanowisko zajmuje dopiero w decyzji administracyjnej.
Zrekonstruowana praktyka organu w prowadzeniu spraw, w których przeprowadził kontrolę, wskazuje jednak, iż organ, wszczynając postępowanie z urzędu w stosunku do administratora/podmiotu przetwarzającego, nie prowadzi faktycznie wyjaśnień w sprawie, a już w pierwszym piśmie formułuje zarzuty w stosunku do strony postępowania i zapowiada, iż jest gotów do wydania decyzji w przedmiocie tych zarzutów.
Prezes UODO nie wskazuje jednak w treści takiego pisma, na podstawie jakich okoliczności faktycznych stwierdza te zarzuty oraz jakie jest uzasadnienie prawne i faktyczne w tym zakresie. Administrator może zapoznać się z zapatrywaniami pracowników organu po przeczytaniu protokołu kontroli i wniosków z kontroli. Jednak nie mają one charakteru wiążącego i organ wydając decyzję może dokonać zupełnie innej oceny, inaczej uzasadniając stwierdzenie występowania nieprawidłowości. Oznacza to, iż w interesie administratora, na etapie otrzymania pisma zawierającego stwierdzenie zarzutów, jest nie tylko polemika z samymi zarzutami oraz tezami zawartymi we wnioskach z kontroli Prezesa UODO, ale również przedstawienie dowodów, które potwierdzają tezy administratora.
Sytuacja podmiotu, który otrzymał zawiadomienie o wszczęciu postępowania po przeprowadzeniu kontroli, jest bardzo trudna i wymaga bardzo ostrożnego oraz kompleksowego odniesienia się nie tylko do zarzutów przedstawionych w zawiadomieniu, ale również do tez zawartych we wnioskach z kontroli.
Niedookreślone rozstrzygnięcie Prezesa UODO stanowi problem dla administratora. Organ obok stwierdzenia uchybień przepisów oraz nałożenia administracyjnej kary pieniężnej nakazał Spółce wdrożenie odpowiednich środków technicznych i organizacyjnych, nie wskazując, jakie konkretnie działania oraz jakie środki techniczne i organizacyjne administrator powinien zastosować. Organ nie zawarł przy tym dodatkowych kryteriów lub minimalnych wymogów, jakie te środki powinny spełniać. Nie są przy tym wystarczające jakiekolwiek wskazania w uzasadnieniu decyzji – to sentencja decyzji podlega bowiem wykonaniu. Prezes UODO wydając decyzję w omawianej sprawie nie określił zatem, w jaki sposób administrator ma ją wykonać.
Oznacza to, iż strona postępowania pomimo podjęcia działań w celu wykonania takiej decyzji w dalszym ciągu może otrzymać karę pieniężną za jej niewykonanie, niezależnie od kosztów poniesionych w celu jej wykonania.
W omawianej sprawie organ nakazał Spółce podjęcie działań tak, by była ona zgodna z RODO, nie stwierdzając w jaki konkretnie sposób Spółka ma to osiągnąć.
Niestety rozstrzyganie przez organ w ten sposób jest utrwaloną, choć kontrowersyjną praktyką organu. Na razie jednak żadna ze znanych publicznie spraw, w której kwestionowano taki sposób rozstrzygania, nie zakończyła się prawomocnym wyrokiem, który oceniłby dopuszczalność takich rozstrzygnięć.
Oznacza to, iż o ile strona postępowania otrzyma taką decyzję, to nie może mieć pewności (i o ile zdecyduje się na jej niezaskarżanie), czy podjęte przez nią działania lub działania, które planuje ona podjąć, będą ocenione jako wystarczające przez Prezesa UODO. Organ bowiem weryfikuje wykonanie swojej decyzji, a o ile stwierdzi brak realizacji decyzji, może nałożyć na podmiot administracyjną karę pieniężną w celu przymuszenia go do wykonania decyzji. Najbezpieczniejszym rozwiązaniem jest zatem z jednej strony zaskarżanie tak formułowanych decyzji organu do sądu administracyjnego, składając jednocześnie odpowiedni wniosek o wstrzymanie jej wykonalności w stosunku do administratora.
Wnioski
Działania organu podjęte w omawianej decyzji prowadzą do następujących wniosków co do praktyki organu:
- Jeżeli podmiot nie ma pewności co do jakiejś okoliczności faktycznej lub przyczyn zdarzenia, trzeba rozważyć, czy na pewno należy dzielić się swoimi wątpliwościami z organem w toku sprawy, z uwagi na to, iż może to nie świadczyć na korzyść administratora.
- Należy ostrożnie podchodzić do przedstawiania organowi dodatkowych okoliczności, które nie mają bezpośredniego, ścisłego związku z przedmiotem postępowania, ponieważ organ może potencjalnie poddać je pod ocenę i rozstrzygnąć na niekorzyść podmiotu, również w tym zakresie.
- Prezes UODO w postępowaniach z urzędu prowadzonych w wyniku kontroli, często w pierwszym piśmie wskazuje zarzuty, które stawia adresatowi pisma. Sporządzenie adekwatnej odpowiedzi na to pismo jest kluczowe. Odpowiedź powinna odnosić się nie tylko wprost do zarzutów, ale również do pozostałych twierdzeń pracowników organu zawartych w aktach sprawy. Jest to również okazja dla administratora do przedstawienia dodatkowych dowodów, które organ potencjalnie mógł pominąć w toku kontroli. Dopiero na tym etapie bowiem możliwa jest próba wywnioskowania na podstawie jakiego dowodu lub okoliczności faktycznej organ formułuje lub może formułować określony wniosek.
- Dobrze jest, wskazując rozwiązania techniczne w organizacji, powołać się na określony standard bezpieczeństwa przyjęty w danej branży – niekoniecznie musi być to norma ISO, choć nie jest to wykluczone.
- Niedookreślona decyzja Prezesa UODO jest problemem dla adresata – należy sprawdzić, czy jednoznacznie w samej sentencji określono, jak wykonać decyzję, a jeżeli tak nie jest, to warto rozważyć jej zaskarżenie.