Stan faktyczny
Pani K.Z. prowadząca działalność gospodarczą (dalej: Administrator) dokonała zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) naruszenia ochrony danych osobowych swoich pracowników oraz pacjentów. Naruszenie polegało na zaszyfrowaniu ich danych osobowych dzięki złośliwego oprogramowania. Ostatecznie dotyczyło ono 6591 osób.
Naruszeniem zostały objęte dane pracownicze, dane z obszaru księgowości oraz dane związane ze świadczeniem usług medycznych. Przyczyną naruszenia ochrony danych osobowych było przełamanie zabezpieczeń serwera.
Z uzasadnienia decyzji Prezesa UODO
W decyzji Prezes UODO odniósł się do kwestii wdrożenia odpowiednich środków technicznych i organizacyjnych. Stwierdził, iż zgodnie z art. 32 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO) ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych, uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 RODO. W kolejnym kroku należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku.
W ocenianej sprawie, zdaniem Prezesa UODO analiza ryzyka przeprowadzona przez Administratora przed naruszeniem ochrony danych osobowych nie uwzględniała wszystkich potencjalnych zagrożeń dla przetwarzanych danych osobowych, w tym zagrożeń związanych z utratą dostępności do danych osobowych. Z przeprowadzonej analizy nie wynikał również sposób postępowania ze stwierdzonym ryzykiem. Administrator poprzestał wyłącznie na procentowym i punktowym określeniu jego poziomu, bez wskazania przyjętego poziomu ryzyka akceptowalnego.
Nie wskazano również, jakie środki techniczne i organizacyjne zostały zastosowane przez Administratora w celu obniżenia ryzyka do poziomu akceptowalnego lub złagodzenia jego skutków. Wystąpienie naruszenia wskazuje, iż dobór środków technicznych i organizacyjnych był niewłaściwy i nieadekwatny (nieskuteczny), a więc niedostosowany do okoliczności i warunków przetwarzania danych oraz prawdopodobieństwa i powagi zdarzeń, które mogą doprowadzić do naruszenia praw lub wolności osób, których dane są przetwarzane. Natomiast skutkiem nieuwzględnienia w przeprowadzonej analizie ryzyka zagrożeń związanych z brakiem możliwości szybkiego i skutecznego odtworzenia danych z posiadanych kopii zapasowych jest brak kompleksowej i efektywnej procedury regulującej wszystkie aspekty związane ze sporządzaniem kopii zapasowych i ich weryfikacją. Skutkiem powyższego był brak możliwości szybkiego i skutecznego przywrócenia danych z kopii zapasowych.
Zdaniem Prezesa UODO Administrator nie zapewnił odpowiedniego zabezpieczenia danych przetwarzanych przy ich użyciu, a to ze względu na to, iż w przekazanych przez Administratora pismach brak jest informacji o tym, iż przeprowadzano np. testy penetracyjne, wykrywano luki w oprogramowaniu i podatności na ataki z sieci wewnętrznej i zewnętrznej. W konsekwencji, zdaniem Prezesa UODO, przesądza to o niewdrożeniu przez Administratora odpowiednich środków technicznych i organizacyjnych w czasie przetwarzania danych osobowych i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, do czego był on zobowiązany zgodnie z art. 24 ust. 1 i 25 ust. 1 RODO, jak również o: niezastosowaniu środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku poprzez zapewnienie umiejętności ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, o którym mowa w art. 32 ust. 1 lit. b) RODO, oraz o niedokonaniu oceny, czy stopień bezpieczeństwa jest odpowiedni, przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych, której obowiązek wynika z art. 32 ust. 2 RODO.
Ponadto analiza zgromadzonego w niniejszej sprawie materiału dowodowego wskazuje, iż nie były podejmowane działania mające na celu zapewnienie najbardziej aktualnych wersji użytkowanego oprogramowania, pomimo tego, iż w przeprowadzonej analizie ryzyka Administrator przewidział zagrożenie w postaci braku aktualizacji systemów operacyjnych serwerów, co obejmuje także brak aktualizacji spowodowany zaprzestaniem wspierania danego systemu przez jego producenta.
Prezes UODO zaznaczył, iż aby testowanie, mierzenie i ocenianie zastosowanych środków bezpieczeństwa stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) RODO, musi być ono dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych. W związku z powyższym Administrator nie podejmował działań, do których jest zobowiązany w świetle art. 32 ust. 1 lit. d) RODO, co przesądziło o naruszeniu tego przepisu. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Ponadto jednorazowe dokonanie sprawdzenia pozostaje w sprzeczności z zasadami przyjętymi w Polityce bezpieczeństwa Administratora, w której określono rodzaje sprawdzeń (planowe, doraźne oraz w przypadku zwrócenia się o to przez Prezesa UODO), a także terminy sprawdzeń planowych.
Należy podkreślić, iż dopiero po naruszeniu ochrony danych osobowych Administrator podjął dodatkowe działania w celu zastosowania środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Przykładem takich działań było zainstalowanie zapory sieciowej oraz podnoszenie świadomości zagrożeń związanych z cyberbezpieczeństwem wśród pracowników Administratora.
W związku z podjęciem tych działań należy stwierdzić, iż wcześniejsze zastosowanie zabezpieczeń, które zostały wdrożone dopiero po naruszeniu, znacząco obniżyłoby ryzyko zaistnienia tego typu zagrożenia. Administrator jednak nie podjął działań mających na celu prawidłową realizację jego obowiązków związanych ze zdolnością do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Administrator nie podjął również działań związanych z regularnym testowaniem, mierzeniem i ocenianiem skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania, o których mowa w art. 32 ust. 1 lit. c) i art. 32 ust. 1 lit. d) RODO.
Biorąc powyższe pod uwagę, Prezes UODO uznał, iż w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem będzie udzielenie Administratorowi upomnienia. Okolicznością łagodzącą był brak podstaw do uznania, iż osoby, których dane dotyczą, poniosły jakąkolwiek szkodę na skutek tego naruszenia w związku z czasową niedostępnością systemów informatycznych Administratora. Dodatkowo Administrator zgłosił do Prezesa UODO naruszenie ochrony danych osobowych. Naruszenie dotyczyło więc jednorazowego zdarzenia. Na udzielenie upomnienia miał wpływ również fakt, iż ewentualna administracyjna kara pieniężna stanowiłaby nieproporcjonalne obciążenie dla Administratora.
Prezes UODO nakazał dostosowanie operacji przetwarzania do przepisów RODO poprzez:
- Przeprowadzenie analizy ryzyka w celu oszacowania adekwatnego poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, w tym zagrożenia związane z zainstalowaniem złośliwego systemu ingerującego w dostępność danych oraz zagrożenia w postaci braku możliwości skutecznego odtworzenia danych z kopii zapasowej;
- Wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia umiejętności szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- Wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania.
Prawidłowo przeprowadzona analiza ryzyka powinna uwzględniać wszystkie zagrożenia mające wpływ na bezpieczeństwo przetwarzanych danych osobowych oraz być przeprowadzana pod wpływem zmieniających się okoliczności i z użyciem wiedzy nabytej, np. w związku z różnymi incydentami, takimi jak naruszenie ochrony danych. Dobór odpowiednich środków technicznych i organizacyjnych będzie zmieniał się w czasie pod wpływem czynników wewnętrznych i zewnętrznych, a administratorzy powinni na te okoliczności reagować. Są oni bowiem zobowiązani do wdrożenia odpowiednich środków technicznych oraz organizacyjnych, a także działań zmierzających do optymalnej konfiguracji wykorzystywanych systemów operacyjnych poprzez regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych.