Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256), art. 7 ust. 1, art. 60 i art. 101 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a, art. 58 ust. 2 lit. i, z art. 83 ust. 3, art. 83 ust. 4 lit. a, art. 83 ust. 5 lit. a w związku z art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Virgin Mobile Polska Sp. z o.o. z siedzibą w Warszawie, Prezes Urzędu Ochrony Danych Osobowych
stwierdzając naruszenie przez Virgin Mobile Polska Sp. z o.o. z siedzibą w Warszawie przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 ze zm.), polegające na niewdrożeniu przez Virgin Mobile Polska Sp. z o.o. z siedzibą w Warszawie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych, nakłada na Virgin Mobile Polska Sp. z o.o. z siedzibą w Warszawie administracyjną karę pieniężną w kwocie 1.968.524,00 PLN (słownie: jeden milion dziewięćset sześćdziesiąt osiem tysięcy pięćset dwadzieścia cztery złote).
UZASADNIENIE
Do Urzędu Ochrony Danych Osobowych […] grudnia 2019 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Virgin Mobile Polska Sp. z o.o. (dalej jako: Spółka), zarejestrowane pod sygnaturą DKN.405.499.2019, informujące o naruszeniu ochrony danych osobowych abonentów usług przedpłaconych, polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu przez nią 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu. Incydent stanowiący przedmiot zgłoszenia miał miejsce w okresie od […] do […] grudnia 2019 r. Z uwagi na zakres ujawnionych danych osobowych wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw i wolności osób fizycznych.
W związku ze zgłoszonym naruszeniem Prezes Urzędu Ochrony Danych Osobowych (dalej także Prezes Urzędu) zdecydował o przeprowadzeniu w Spółce kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 ze zm.), zwanego dalej rozporządzeniem 2016/679 lub RODO, oraz ustawą z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781). Zakresem kontroli objęty został sposób przetwarzania, w tym sposób zabezpieczenia danych, w ramach świadczenia usług telekomunikacyjnych abonentom usług przedpłaconych. W toku kontroli (sygn. kontroli […]) odebrano od pracowników Spółki ustne wyjaśnienia oraz dokonano oględzin systemu A służącego do rejestracji danych osobowych abonentów usług przedpłaconych. Stan faktyczny szczegółowo opisano w protokole kontroli, który został podpisany przez Zarząd Virgin Mobile Polska Sp. z o.o.
Na podstawie informacji i dowodów zgromadzonych w postępowaniu kontrolnym ustalono, że w procesie przetwarzania danych abonentów usług przedpłaconych, Spółka, jako administrator, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na naruszeniu zasady poufności danych wyrażonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679 oraz obowiązków, które stanowią odzwierciedlenie tej zasady, określonych w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2 rozporządzenia 2016/679 poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych.
W toku kontroli ustalono, że:
1) Przedmiotem działalności Spółki jest świadczenie usług w zakresie telekomunikacji bezprzewodowej.
2) Podstawą prawną i celem przetwarzania danych osobowych w Spółce w procesie rejestracji usług przedpłaconych jest realizacja umowy na usługę telekomunikacyjną zawieraną poprzez dokonanie czynności faktycznej, tj. wysłanie SMS, MMS, pobranie danych bądź inicjację połączenia telefonicznego, w oparciu o ustawę z dnia 16 lipca 2014 r. Prawo telekomunikacyjne (Dz. U. z 2019 r. poz. 2460).
3) Obowiązek pozyskania danych osobowych dla usługi przedpłaconej (rejestracji kart prepaid) został wprowadzony art. 60b ust. 2 w zw. z ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2019 r., poz. 2460 ze zm.), który wszedł w życie 25 lipca 2016 r. Dla abonentów usług przedpłaconych, którzy zawarli umowę przed dniem wejścia w życie ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz. U. z 2016 r., poz. 904), to jest przed 2 lipca 2016 r., obowiązek abonenta podania dostawcy usługi swoich danych osobowych wprowadził art. 60 tejże ustawy.
4) Zakres danych osobowych przetwarzanych w związku z rejestracją usługi przedpłaconej w przypadku abonenta niebędącego osobą fizyczną, obejmuje dane w postaci nazwy podmiotu, nr NIP, nr telefonu, natomiast jeśli rejestracji dokonuje pełnomocnik pozyskiwane są również dane osobowe pełnomocnika w zakresie imienia i nazwiska oraz nr PESEL lub serii i numeru dokumentu tożsamości. W przypadku dokonywania rejestracji karty prepaid przez osobę fizyczną pozyskiwane jest imię i nazwisko, nr PESEL, nr dowodu osobistego lub innego dokumentu tożsamości oraz nr telefonu. Ponadto w celach kontaktowych pozyskiwane są dane osobowe w postaci adresów e-mail i numeru telefonu.
5) Zbieranie ww. danych odbywa się na etapie rejestracji karty za pomocą point of sale (punktów sprzedaży zwanych, dalej „POS”) – realizowanej przez podmioty zewnętrzne, z którymi Spółka posiada podpisane umowy współpracy, określające również zasady powierzenia przetwarzania danych osobowych. Dla podmiotów nieposiadających własnych rozwiązań programowych do realizacji usługi rejestracji kart przedpłaconych stworzona została przez Spółkę aplikacja A służąca do dokonywania rejestracji tych kart.
6) Proces rejestracji danych za pośrednictwem POS odbywa się poprzez aplikację A dostępnej z poziomu sieci publicznej za pomocą przeglądarki internetowej. Dane osobowe do tej aplikacji wprowadzane są przez POS na podstawie okazanego dokumentu tożsamości.
7) Aplikacja A umożliwia wygenerowanie wydruku potwierdzenia dokonania rejestracji. Rozwiązania przyjęte dla podmiotów korzystających z własnych systemów informatycznych do rejestracji kart przedpłaconych np. systemów kasowych czy terminali nie pozwalają na wydrukowanie potwierdzenia rejestracji karty.
8) Centralnym systemem użytkowanym w Spółce jest system informatyczny o nazwie B, z którym łączy się aplikacja A służąca do rejestracji kart przedpłaconych.
9) Twórcą systemu B jest T. Sp. z o.o. s.k.a. mająca siedzibę w W. Ww. spółka zajmowała się również utrzymaniem systemu B od […] kwietnia 2014 r. do […] czerwca 2017 r. Obsługą i utrzymaniem systemu B od dnia […] lipca 2017 r. do chwili obecnej zajmują się pracownicy A. S.A. na podstawie umowy ramowej.
10) Podstawowe dane osobowe zapisywane są w jednej tabeli centralnej bazy danych systemu B opartej o motor bazodanowy […], do której trafiają dane rejestracyjne wprowadzane przez POS za pomocą A oraz dane z systemów klientów hurtowych, tj. nie mających dostępu do A, a korzystających ze swoich systemów informatycznych.
11) Producentem A jest W. J. M. P. S. s.c. z siedzibą w W. Opracowała ona ww. aplikację, która zaczęła funkcjonować od […] września 2014 roku. Obsługą, rozwojem i nadzorem nad aplikacją A do chwili obecnej zajmuje się również W. J. M. P. S. s.c. A jest to aplikacja służąca do wprowadzania danych do systemu B poprzez zastosowanie sieciowego interfejsu […]. Pierwotnie utrzymaniem web-service umożliwiającego wymianę informacji pomiędzy aplikacją A a systemem centralnym B zajmowała się firma T. (od […] kwietnia 2014 do […] czerwca 2017 r.). Od dnia […] lipca 2017 r. do chwili obecnej utrzymaniem web serwisu umożliwiającego wymianę informacji pomiędzy aplikacją a systemem centralnym B oraz utrzymaniem systemu zapewnia firma A. S.A. z siedzibą w K.
12) W toku kontroli stwierdzono, że w dniach od […] do […] grudnia 2019 r. w Spółce doszło do incydentu wycieku danych osobowych na skutek uzyskania nieuprawnionego dostępu do danych abonentów usług przedpłaconych poprzez wykorzystanie podatności systemu informatycznego, tj. usługi generującej potwierdzenia dokonania rejestracji kart prepaid. Stwierdzona podatność usługi generującej potwierdzenia rejestracji polegała na braku weryfikacji […]. Poprawna weryfikacja miała polegać na wygenerowaniu potwierdzenia rejestracji jedynie wtedy, gdy […]. System B nie weryfikował […].
13) Środki techniczne i organizacyjne stosowane w Spółce od […] maja 2018 r. (dnia rozpoczęcia stosowania rozporządzenia 2016/679), tj. przed wystąpieniem naruszenia, były poddawane przeglądom oraz uaktualniane w miarę potrzeb w sytuacji wystąpienia zmian organizacyjnych lub prawnych (kopia wiadomości e-mail informująca o konieczności dokonania przeglądu stosowanego monitoringu wraz z ankietą).
14) W Spółce nie było przeprowadzane kompleksowe regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W sytuacjach gdy pojawiało się podejrzenie zaistnienia podatności, prowadzone były prace mające na celu zabezpieczenie przed daną podatnością (wydruki z systemu C potwierdzające podjęte działania zaradcze dotyczące potwierdzonych podejrzeń o podatności systemu). Powyższe znajduje również potwierdzenie m.in. w wyjaśnieniach złożonych przez kontrolowany podmiot w piśmie z dnia […] marca 2020 r. oraz w przesłanych w celach dowodowych wydrukach zrzutów ekranu z systemu C wskazujące na wykonywanie testów dotyczących podatności […] oraz weryfikacji wprowadzanych danych.
15) Spółka nie przeprowadzała testów nastawionych na weryfikację zabezpieczeń aplikacji A oraz […] systemu B dotyczących podatności systemu informatycznego związanej z zaistniałym naruszeniem danych osobowych. Działania takie podjęte zostały dopiero po zaistnieniu incydentu w dniu […] grudnia 2019 r.
16) W prowadzonej przez Spółkę dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne, pozyskanej w toku dokonywania czynności kontrolnych, tj. m.in. „Polityce Przetwarzania Danych Osobowych Virgin Mobile”, „[…] Procedurze […]”, „[…] Planie […]”, nie zostały uregulowane kwestie dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
17) Spółka podjęła działania naprawcze i usunęła podatność systemu informatycznego poprzez jego modernizację polegającą na korelacji […]. Obecnie […]. Wprowadziła ograniczenie […]. Gdy zaistnieje potrzeba ponownego wygenerowania wniosku jest to możliwe […].
W związku z powyższym, pismem z […] czerwca 2020 r. (sygn. pisma […]), Prezes Urzędu Ochrony Danych Osobowych zawiadomił Spółkę o wszczęciu z urzędu postępowania administracyjnego w przedmiocie naruszenia przepisów o ochronie danych osobowych wobec nie wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku. W toku tego postępowania Prezes Urzędu Ochrony Danych Osobowych ustalił stan faktyczny sprawy zgodny z ustaleniami kontroli sygn.. […] (punkty 1-17 powyżej). Prezes Urzędu pozyskał również dodatkowe wyjaśnienia Spółki (złożone przez pełnomocnika Spółki pismami z […] lipca 2020 r. oraz […] sierpnia 2020 r.), w których wskazano m.in., że:
1) Spółka od początku swojej działalności usługi przedpłacone oferowała w modelu nie wymagającym podawania danych osobowych. Wymóg podawania danych wprowadzono ustawą z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych (t.j. Dz. U. z 2019 r. poz. 796). Na wejście w życie przepisu art. 43 ww. ustawy, określającego zakres zbieranych danych, ustawodawca wyznaczył 30 dniowy termin. Jak wskazał pełnomocnik, miesiąc na wdrożenie tak dużych zmian to czas zdecydowanie za krótki na wdrożenie i przetestowanie jakiegokolwiek systemu IT o takiej skali. Narzucony przez ustawodawcę termin zwiększył ryzyko pojawienia się błędów i niedociągnięć.
2) Na tym etapie postępowania nie zostało wykazane kim był atakujący. Sposób wykorzystania podatności wskazywał, że atakujący miał wcześniej dostęp do systemu i wiedział […]. Obecnie Spółka nie wie czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć. W ocenie Spółki wykazanie, czy doszło do udostępnienia danych osobie nieuprawnionej leży po stronie Prezesa Urzędu.
3) Dochodzenie w sprawie nieuprawnionego dostępu prowadzone przez Prokuraturę Okręgową w W. zostało umorzone postanowieniem z […] lipca 2020 r. z powodu niewykrycia sprawcy. Spółka nie wie zatem, czy podatność została wykorzystana do udostępnienia danych osobowych osobie nieuprawnionej. Ta okoliczność wymaga wyjaśnienia przez organ w toku postępowania.
4) Spółka odnosząc się do zarzutu naruszenia art. 25 ust. 1 RODO zwraca uwagę, że przepisy RODO mają zastosowanie od […] maja 2018 r., w chwili wprowadzania do swojej działalności zmian wymaganych ustawą o działalności antyterrorystycznej Spółka nie była zobowiązana do przestrzegania zasady ochrony danych w fazie projektowania. Natomiast na dalszych etapach przetwarzania, zasada ta jest zasadniczo tożsama z obowiązkiem zabezpieczenia danych osobowych na podstawie art. 32 RODO, bowiem zawarta w art. 25 ust. 1 RODO zasada minimalizacji danych, w niniejszej sprawie nie ma zastosowania z uwagi na to, że zakres danych osobowych jest określony ustawowo.
5) Spółka decydując się na wdrożenie i korzystanie z systemu B przeprowadziła liczne jego testy, pomiary i oceny, czy jest on właściwy by należycie spełniać swoje funkcje, w tym zabezpieczać wprowadzane do niego dane osobowe abonentów. Ryzyko dla praw i wolności podmiotów danych było stale oceniane przez Spółkę. Każdorazowo w przypadku zmian organizacyjnych lub prawnych w Spółce, środki techniczne i organizacyjne były poddawane przeglądom oraz uaktualnieniom.
6) Zdaniem Spółki, sposób wykorzystania podatności wskazuje, że dane osobowe osób, których dotyczyło przedmiotowe naruszenie, nie zostały pobrane wskutek zewnętrznego obejścia systemu. Wykorzystanie wiedzy do włamania do systemu jest ryzykiem trudniejszym do uniknięcia niż atak zewnętrzny polegający na złamaniu zabezpieczeń.
7) Według oceny Spółki, wykorzystanie podatności systemu do przedmiotowego ataku skutkującego uzyskaniem dostępu do danych, nie było zależne od braku odpowiedniego testowania, mierzenia czy oceniania systemu, ponieważ wskazane czynności były regularnie i prawidłowo prowadzone przez Spółkę. Potwierdzeniem są wydruki z systemu C dotyczące podatności […] oraz weryfikacji wprowadzanych danych, które dowodzą że choć V. nie przeprowadziła testów związanych konkretnie z podatnością wykorzystaną podczas ataku z […]-[…] grudnia 2019 r., to jednak inne testy […], mające na celu wykrycie podatności i poprawę jakości danych były prowadzone.
8) Spółka nie zgadza się z zarzutem, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania nie były w Spółce przeprowadzane. Spółka prowadziła szeroki wachlarz działań mających na celu weryfikacje poprawności funkcjonowania sytemu informatycznego, aplikacji A oraz […] systemu B służącym do rejestracji kart przedpłaconych. Spółka kilkakrotnie w sposób kompleksowy przeprowadzała przeglądy zabezpieczeń technicznych i organizacyjnych, jak np. audyt w listopadzie 2019 r., przegląd umów, audyt certyfikacyjny, przeglądy i oceny zabezpieczeń i ryzyka z udziałem zarządu, zrealizowane w grudniu 2019 r. Działania te były kontynuowane w 2020 r. m. in. w związku wdrożeniem ISO.
9) Przed wystąpieniem naruszenia, Spółka przyjęła środki ochrony danych w postaci: procedur określających metodykę analizy ryzyka, procedurę klasyfikacji poziomów bezpieczeństwa informacji, politykę bezpieczeństwa informacji, procedurę zarządzenia systemem informatycznym wraz z załącznikami: […] Procedura […], […] Procedura […], […] Polityka […], […] Procedura […], […] Procedura […], […] Procedura […] oraz […], a także elementy […]: […] Plan […], […] Plan […], […] Plan […].
10) Spółka pismem z dnia […] sierpnia 2020 r. wyjaśniła, że wskazany w piśmie z […] lipca br. zakres danych, których dotyczyło przedmiotowe naruszenie, był zdecydowanie węższy, niż wskazany w treści zgłoszenia naruszenia danych osobowych z dnia […] grudnia 2019 roku, pkt 5. Naruszenie pełnego zakresu danych osobowych wystąpiło wyłącznie w 4522 przypadkach, tj. odnosiło się do imion i nazwisk, numeru PESEL i numeru dokumentu abonenta. W pozostałym zakresie, naruszenie odnosiło się do: imion, nazwisk oraz numeru PESEL (108702 przypadków) lub numeru dokumentu abonenta (10167 przypadków).
11) Spółka złożyła do akt sprawy kopię uzyskanych w dniu […].07.2020 certyfikatów: ISO/IEC 27001:2013 poświadczającego wdrożenie i utrzymywanie przez Spółkę systemu zarządzania bezpieczeństwem informacji w zakresie usług świadczonych przez operatora telekomunikacyjnego oraz ISO/IEC 27701:2019 poświadczającego wdrożenie i utrzymywanie przez Spółkę systemu zarządzania danymi osobowymi jako rozszerzenie ISO/IEC 27001:2013 oraz ISO/IEC 27002:2013 o zarządzanie prywatnością w zakresie usług świadczonych przez operatora telekomunikacyjnego.
12) W wyjaśnieniach z […] października 2020 r. (uzupełnionymi pismem z […] października 2020 r.) Spółka wskazała, że wymogi utrzymania certyfikatów zgodności systemu zarządzania w Spółce z wdrożonymi normami oznaczają w szczególności: zweryfikowanie przeprowadzenia (przed otrzymaniem certyfikatu szeregu kompleksowych przeglądów zabezpieczeń i funkcjonowania systemu zarządzania (danymi osobowymi i bezpieczeństwem informacji), zobowiązanie się (w umowie z instytucją wydającą certyfikat) przynajmniej raz w roku (w ciągu najbliższych lat) do analogicznego kompleksowego przeglądu kierowniczego oraz do wykonania co najmniej po jednym audycie wewnętrznym z obszaru każdej normy, a także objęcie funkcjonowania systemu zarządzania bezpieczeństwa informacji i ochrony danych w Spółce corocznym audytem niezależnej instytucji wydającej certyfikat.
13) Zgodnie z wymogami utrzymania certyfikatów zgodności z wdrożonymi normami Spółka dokonuje i dokumentuje sukcesywnie dokonanie mierzenia skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania poprzez: pomiar liczby procesów (czynności) przetwarzania danych osobowych posiadających pełny opis w stosunku do wszystkich procesów (czynności) przetwarzania danych osobowych (dowód: „[…]”), pomiar liczby systemów informatycznych przetwarzających dane osobowych, posiadających pełny opis w stosunku do wszystkich systemów (dowód „[…]” ), pomiar liczby procesów, dla których przeprowadzono analizę ryzyka na potrzeby oceny skutków przetwarzania dla ochrony danych osobowych (element oceny skutków przetwarzania dla ochrony danych osobowych), pomiar liczby zidentyfikowanych incydentów bezpieczeństwa (w tym naruszeń ochrony danych osobowych) oraz pomiar liczby skarg osób na brak stosowanych stosownych zabezpieczeń), formalne określenie celów stawianych przed Spółką w obszarze ochrony danych osobowych i bezpieczeństwa informacji (dowód: […] obowiązująca od […] grudnia 2019 roku ), przygotowanie i realizacja procedury pomiaru tych celów, testy badania podatności systemów informatycznych wykonywane wewnętrznie, testy penetracyjne przeprowadzone w lipcu 2020 roku wykonane przez zewnętrzną firmę I. sp. z o.o.
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Art. 5 rozporządzenia 2016/679 wskazuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zasada integralności i poufności wymieniona w tym przepisie stanowi, że dane są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Poufność danych to właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom.
Zgodnie z treścią art. 24 ust. 1 rozporządzenia uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Przepis art. 24 ust. 1 określa podstawowe i główne obowiązki administratora, którego obciąża wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność przetwarzania z wymogami rozporządzenia 2016/679. Chodzi tu w szczególności o realizację zasad wskazanych w art. 5 ust. 1 rozporządzenia 2016/679.
Zgodnie natomiast z art. 25 ust. 1 administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania, wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych (uwzględnianie ochrony danych w fazie projektowania).
Stosownie do art. 32 ust. 1 lit. b rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz stosownie do art. 32 ust. 1 lit. d rozporządzenia regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przepis art. 32 rozporządzenia 2016/679 stanowi więc konkretyzację wskazanej w art. 5 ust. 1 lit. f rozporządzenia 2016/679, zasady integralności i poufności. Natomiast art. 5 ust. 2 rozporządzenia 2016/679 nakłada na administratora danych obowiązek wykazania, w tym przypadku, że zapewnił on odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Zasada poufności, której prawidłowa realizacja zapewnia, że dane nie są udostępniane osobom nieupoważnionym, jak wynika z ustalonego stanu faktycznego – została naruszona w wyniku wykorzystaniu podatności systemu informatycznego, co skutkowało pozyskaniem danych abonentów usług przedpłaconych z systemu bazodanowego Spółki i urzeczywistnieniem ryzyka naruszenia praw i wolności osób fizycznych, których dane są przetwarzane przez Spółkę.
Prezes Urzędu Ochrony Danych Osobowych w zawiadomieniu o wszczęciu postępowania administracyjnego wskazał, że Spółka nie wypełniła obowiązku wynikającego z art. 32 ust. 1 lit. b i lit. d rozporządzenia 2016/679, polegającego na doborze skutecznych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, w tym zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, jak i rozwiązań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków technicznych i organizacyjnych, czym także uchybiła obowiązkom administratora zapewnienia i wykazania zgodności przetwarzania z wymogami rozporządzenia, o których mowa w art. 24 ust. 1 oraz obowiązkowi skutecznej realizacji zasad ochrony danych, o której mowa w art. 25 ust. 1 rozporządzenia 2016/679, a w konsekwencji naruszyła zasadę poufności określoną w art. 5 ust. 1 lit. f rozporządzenia 2016/679 i zasadę rozliczalności wynikającą z art. 5 ust. 2 rozporządzenia 2016/679.
Podkreślenia wymaga, że przyjęty przez Spółkę środek bezpieczeństwa mający zapewnić odporność systemów informatycznych polegający na weryfikacji tylko […], wskutek czego doszło do naruszenia poufności danych, nie może być uznany za środek bezpieczeństwa, o którym mowa w przywołanych wyżej przepisach rozporządzenia 2016/679. Do naruszenia ochrony danych osobowych abonentów usług przedpłaconych doszło bowiem w wyniku wykorzystania podatności systemu informatycznego […] umożliwiającej nieuprawniony dostęp do danych. Stwierdzona podatność usługi […] polegała właśnie na braku weryfikacji wszystkich wymaganych parametrów, tj. […]. Poprawna weryfikacja miała polegać na […] jedynie wtedy, gdy […]. System B nie weryfikował […] ani tego, czy dany wniosek pochodzi z tego […].
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Spółka wskazała, że przed wystąpieniem naruszenia przyjęła środki ochrony danych w postaci procedur określających metodykę analizy ryzyka, procedury klasyfikacji poziomów bezpieczeństwa informacji, polityki bezpieczeństwa informacji, procedury zarządzenia systemem informatycznym wraz z załącznikami: […] Procedura […], […] Procedura […], […] Polityka […], […] Procedura […], […] Procedura […], […] Procedura […] oraz procedura […], a także elementy […]: […] Plan […], […] Plan […], […] Plan […].
W ocenie Prezesa Urzędu Ochrony Danych Osobowych przyjęte przez Spółkę środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez Spółkę przestrzegane. Tymczasem, w prowadzonej przez Spółkę ww. dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne, pozyskanej w toku dokonywania czynności kontrolnych, kwestie te nie zostały uregulowane.
Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2826/19 z dnia 26 sierpnia 2020 r. „Przepis ten [art. 32 RODO] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością. (…) Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka”, które to stanowisko niniejszy organ podziela.
Zdaniem Prezesa Urzędu Ochrony Danych Osobowych brak w przyjętych przez Spółkę procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych przyczynił się do wystąpienia naruszenia ochrony danych osobowych.
Jednocześnie, z zebranego w toku kontroli materiału dowodowego wynika, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania nie było w Spółce przeprowadzane. W sytuacjach gdy pojawiało się podejrzenie zaistnienia podatności były prowadzone wyłącznie prace mające na celu zabezpieczenie przed daną podatnością (wydruki z systemu C potwierdzające podjęte działania zaradcze dotyczące potwierdzonych podejrzeń o podatności systemu). Powyższe znajduje również potwierdzenie m.in. w wyjaśnieniach złożonych przez kontrolowany podmiot w piśmie z […] marca 2020 roku oraz w przesłanych w celach dowodowych wydrukach zrzutów ekranów z systemu C wskazujących na wykonywanie testów dotyczących podatności […] oraz weryfikacji wprowadzanych danych. Nie były natomiast przeprowadzane testy nastawione na weryfikację zabezpieczeń aplikacji A oraz […] systemu B dotyczących podatności systemu informatycznego związanej z zaistniałym naruszeniem danych osobowych. Działania takie podjęte zostały dopiero po zaistnieniu incydentu […] grudnia 2019 roku. Środki techniczne i organizacyjne stosowane w Spółce od […] maja 2018 r. […] do czasu wystąpienia naruszenia były poddawane przeglądom oraz uaktualniane jedynie w sytuacji wystąpienia zmian organizacyjnych lub prawnych (kopia wiadomości e-mail informująca o konieczności dokonania przeglądu stosowanego monitoringu wraz z ankietą).
Zauważyć należy, że jak wynika ze zgromadzonego w toku kontroli materiału, twórcą systemu B była T. Sp. z o.o. s.k.a., która zajmowała się również utrzymaniem systemu B, a także utrzymaniem […] umożliwiającego wymianę informacji pomiędzy aplikacją A (opracowaną przez W.J.M.P.S. s.c. i funkcjonującą od […] września 2014 r.) a systemem centralnym B w okresie od […] kwietnia 2014 r. do […] czerwca 2017 r. Funkcje te następnie przejęła A. S.A. i wykonuje je do chwili obecnej.
Zmiana operatora, w ocenie Prezesa Urzędu, powinna pociągać za sobą kompleksową ocenę skuteczności wdrożonych rozwiązań technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych w systemach informatycznych Spółki. Zebrany w toku materiał dowodowy nie dostarczył dowodów, aby w tej sytuacji taka ocena została przeprowadzona. Podkreślić należy, że zmiana ta nastąpiła już w okresie obowiązywania rozporządzenia 2016/679, w którym prawodawca unijny pozostawił administratorom danych dwuletni okres na dostosowanie przetwarzania danych do wymogów rozporządzenia.
W wyjaśnieniach z […] stycznia 2020 r. Spółka wskazała, że ostatni kompleksowy przegląd środków technicznych i organizacyjnych został przeprowadzony w maju 2018 r. Jak wynika z kolejnych wyjaśnień z […] lipca 2020 r., „Spółka decydując się na wdrożenie i korzystanie z systemu B przeprowadziła liczne jego testy, pomiary i oceny, czy jest on właściwy by należycie spełniać swoje funkcje, w tym zabezpieczać wprowadzane do niego dane osobowe abonentów”. Dalej Spółka wskazuje, iż „Ryzyko dla praw i wolności podmiotów danych było stale oceniane przez Spółkę. Każdorazowo w przypadku zmian organizacyjnych lub prawnych w Spółce, środki techniczne i organizacyjne były poddawane przeglądom oraz uaktualnieniom. Dowodzi to, że czynności te były przeprowadzane w miarę indywidualnych potrzeb Spółki. Spółka w czasie korzystania z ww. systemu, dokładała wszelkich starań, aby system spełniał swoje funkcje i właściwie chronił dane do niego wprowadzone. Jak wyżej wskazano, uwzględniając stan wiedzy technicznej, którą Spółka dysponowała w czasie, w którym doszło do niniejszego zdarzenia przyjęte i stosowane przez nią rozwiązania techniczne były na najwyższym możliwym poziomie”.
Prezes Urzędu Ochrony Danych Osobowych nie może zgodzić się z tym stanowiskiem, ponieważ do wykrycia wykorzystanej podatności wystarczyłoby zweryfikowanie podstawowej zasady działania systemu B, tj. sprawdzenie, czy […], natomiast brak podjęcia tego działania świadczy o nieskutecznym bądź niewłaściwym przeprowadzaniu wskazanych przez Spółkę przeglądów. Sprawdzenie poprawności walidacji […] ww. danych nie wymaga żadnej wiedzy specjalistycznej bądź dużych nakładów finansowych, a jedynie dostępu do systemu. Ponadto podkreślić należy, iż zidentyfikowana w wyniku naruszenia ochrony danych osobowych podatność jest związana z zastosowanymi środkami technicznymi służącymi do identyfikacji użytkowników, a co za tym idzie ich uprawnień w systemie. Jak wskazała Spółka w zgłoszeniu naruszenia ochrony danych osobowych z […] grudnia 2019 r., „naruszenie polegało na wykorzystaniu […] ze względu na swój cel jest […], ze względu na błąd w konstrukcji pozwalał na […]. Argument identyfikujący […], który powinien być walidowany tak, by jedynie znając […], nie był w rzeczywistości brany pod uwagę. W związku z tym wywołanie […] było możliwe przy podaniu […]. Atakujący używał […]”. Sprawdzenie poprawności działania założonej walidacji […] jest tak oczywiste i podstawowe, iż jedynym słusznym wnioskiem, który można wysnuć, jest stwierdzenie, iż wdrożenie systemu służącego do przetwarzania danych osobowych do użytku bez poprawnie działającej ww. walidacji świadczy o rażącym zaniedbaniu podstawowych obowiązków administratora danych osobowych, w kontekście art. 32 RODO.
Według Spółki, „wykorzystanie podatności systemu do przedmiotowego ataku skutkującego uzyskaniem dostępu do danych, nie było zależne od braku odpowiedniego testowania, mierzenia czy oceniania systemu, ponieważ wskazane czynności byty regularnie i prawidłowo prowadzone przez Spółkę. Potwierdzeniem są wydruki z systemu C dotyczące podatności […] oraz weryfikacji wprowadzanych danych, które dowodzą że choć V. nie przeprowadziła testów związanych konkretnie z podatnością wykorzystaną podczas ataku z […]-[…] grudnia 2019 r., to jednak inne testy […], mające na celu wykrycie podatności i poprawę jakości danych byty prowadzone”.
W ocenie Prezesa Urzędu dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające. Spółka bowiem, jak wynika ze zgromadzonego materiału, mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów wdrożonego przez Spółkę systemu B, który z założenia, jak wynika z wyjaśnień Spółki pozyskanych w toku kontroli, miał weryfikować […] i zgodność id wniosku o rejestrację z […] rejestrującego wniosek.
Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Natomiast w przedmiotowym stanie faktycznym Spółka wywiązywała się z tego obowiązku częściowo, weryfikując i modyfikując poziom skuteczności wdrożonych zabezpieczeń w sytuacjach, gdy pojawiało się podejrzenie zaistnienia podatności – wówczas podejmowane były prace mające na celu zabezpieczenie przed daną podatnością. Jak wspomniano wyżej, nie były przeprowadzane testy dotyczące weryfikacji zabezpieczeń aplikacji A oraz […] systemu B mających związek z naruszeniem ochrony danych osobowych.
Nie można też uznać, że działania, jak wskazała Spółka, polegające na poddawaniu środków technicznych i organizacyjnych przeglądom oraz uaktualnieniom w przypadku pojawienia się zmian organizacyjnych lub prawnych stanowią o wypełnieniu obowiązku administratora w zakresie zapewnienia regularnego, mierzenia i testowania. Działania takie nie wyczerpują bowiem wymogu regularności. Testy powinny być wykonywane niezależnie, czy takie zmiany w działalności Spółki zachodzą czy też nie. Zmiany, do których odwołuje się Spółka, powinny być natomiast czynnikiem powodującym konieczność przeprowadzenia ponownej analizy ryzyka i ich wpływu na bezpieczeństwo przetwarzanych danych, której wynik należy uwzględnić przy stosowaniu środka bezpieczeństwa, jakim jest regularne testowanie.
Podkreślić zatem należy, że dokonywanie przeglądów w sytuacji wystąpienia zmiany organizacyjnej lub prawnej, jak również podejmowanie działań dopiero w przypadku podejrzenia zaistnienia podatności, nie może zostać uznane za regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych. Są one bowiem podejmowane w związku z zaistnieniem określonego wydarzenia, np. zmiany organizacyjnej u administratora danych. Mają one zatem bardziej cechy analizy ryzyka, która powinna być właśnie dokonywana w sytuacji tego typy zmian w organizacji i przebiegu procesów przetwarzania danych osobowych. Tymczasem, wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych spowodowanych np. zmianą organizacyjną u administratora danych. Takich działań Spółka jednak nie podejmowała, co przesądza o naruszeniu tego przepisu rozporządzenia 2016/679.
Prezes Urzędu Ochrony Danych Osobowych podziela pogląd wyrażony przez Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 3 września 2020 r. o sygnaturze II SA/Wa 2559/19, zgodnie z którym: „Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.
Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.”
W kontekście przywołanego wyroku wskazać należy, że analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.
Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla organizacji, firmy – administratora danych osobowych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych).
Określenie istniejących zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.
Podatność jest określana powszechnie jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia i z jakiego kierunku (powodu) mogą się pojawić.
Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Zazwyczaj wykorzystuje się macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, przedstawiając poziomy ryzyka, dla których organizacja definiuje odpowiednie działania.
Przedstawiona w toku kontroli analiza ryzyka, przeprowadzona w maju 2018 r., nie odzwierciedla w pełni stanu faktycznego procesu […], będącego przedmiotem kontroli, w związku z wystąpieniem naruszenia ochrony danych osobowych, zgłoszonego przez Spółkę […] grudnia 2019 r. Jak wynika z materiału zebranego w toku kontroli, przegląd środków technicznych i organizacyjnych został przeprowadzony przez Spółkę jedynie przed rozpoczęciem stosowania ogólnego rozporządzenia. Nie sposób jednak uznać go za realny i faktyczny, nie doprowadził bowiem do ujawnienia podatności w funkcjonowaniu systemu.
Podkreślić należy, iż badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.
Wskazane w przedstawionej analizie ryzyka zagrożenie w postaci „nieuprawniony dostęp osób trzecich lub nieuprawnione ujawnienie danych osobom trzecim” nie powinno zostać określone przez Spółkę na poziomie „Nie dotyczy”, ponieważ zdarzenie to może zaistnieć w każdej organizacji, z powodu wielu różnych przyczyn, natomiast odpowiedź „Nie dotyczy” byłaby zasadna w sytuacji, gdyby Spółka nie przetwarzała w tym procesie danych osobowych. Natomiast, jak wynika z materiału dowodowego ustalonego w toku kontroli oraz postępowania administracyjnego, właśnie to zagrożenie zmaterializowało się, poprzez wykorzystanie niezidentyfikowanej podatności istniejącej w procesie przetwarzania danych osobowych […] w związku z zaistniałym naruszeniem ochrony danych osobowych abonentów usług przedpłaconych.
Przyjęcie wartości „Średnie/rzadka” oraz ocena na poziomie „2” dla zagrożenia „brak badania podatności systemów informatycznych” również świadczy o powierzchownym podejściu do ryzyka naruszenia praw i wolności osób fizycznych przez Spółkę. Przyjęta ocena powinna odzwierciedlać realną sytuację panującą w danej organizacji i opierać się przede wszystkim na faktach, stwierdzonych podczas badania tej sytuacji, przeprowadzonego w formie audytu, sprawdzenia bądź na podstawie stwierdzonego stanu faktycznego. Jak natomiast wynika z zebranego podczas przeprowadzonej kontroli materiału dowodowego, w roku 2019 nie był w Spółce przeprowadzony przegląd stosowanych środków technicznych i organizacyjnych, co samo w sobie dyskwalifikuje dokonaną ocenę na tym poziomie, zaś jak wskazano powyżej, incydentalnie podejmowane działania nie wyczerpują znamion regularności.
Powyższe ustalenia pozwalają na jednoznaczne stwierdzenie, iż przeprowadzona analiza ryzyka miała na celu jedynie wykazanie, iż nie występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych, a co za tym idzie, że nie jest konieczne wdrażanie dodatkowych środków technicznych i organizacyjnych. Takie podejście spowodowało jednak brak prawidłowej oceny zagrożeń dla procesu przetwarzania danych osobowych abonentów usług przedpłaconych (proces o nazwie […]) i w konsekwencji niewłaściwe ich zabezpieczenie, czego efektem było naruszenie ochrony danych osobowych.
Zwrócić należy uwagę również na to, że przedstawiona analiza ryzyka została przeprowadzona w maju 2018 r., a zatem przez okres ponad półtoraroczny (od maja 2018 r. do grudnia 2019 r.) Spółka nie podejmowała żadnych działań w celu weryfikacji przyjętych w niej założeń i ocen. Tymczasem, podobnie jak inne środki organizacyjne, również analiza ryzyka powinna podlegać okresowym przeglądom i uaktualnieniom, zaś jak wynika z zebranego materiału, kolejną analizę ryzyka dla procesu […] przeprowadzono dopiero […] grudnia 2019 r., a więc już po wystąpieniu naruszenia ochrony danych osobowych. Podkreślić należy, że każde sprawdzenie, audyt bądź przegląd musi opierać się na kompletnych i rzetelnych informacjach. Funkcjonowanie jakiejkolwiek organizacji, zwłaszcza w sferze ochrony danych osobowych, nie może opierać się na nierzetelnych bądź nierealnych podstawach, zaś lekceważenie wartości podstawowych informacji skutkować może, jak wskazano wyżej, fałszywym poczuciem bezpieczeństwa oraz nie podjęciem przez administratora danych osobowych działań, do których jest zobligowany, co z kolei skutkować może, jak w przedmiotowym przypadku, naruszeniem ochrony danych osobowych, powodującym ze względu na zakres danych osobowych podlegających naruszeniu, wysokie ryzyko naruszenia praw i wolności osób fizycznych.
Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2826/19 z dnia 26 sierpnia 2020 r. „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych.”, który do pogląd niniejszy organ przyjmuje za własny.
Zatem brak rzetelnie przeprowadzonej analizy ryzyka, w połączeniu z brakiem regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania doprowadził, co należy ponownie podkreślić, do naruszenia danych ochrony danych, ale i przesądza o naruszeniu przez Spółkę obowiązków spoczywających na administratorze danych, wynikających z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2 rozporządzenia 2016/679.
Odnosząc się natomiast do przedłożonych kopii uzyskanych […] lipca 2020 r. certyfikatów: ISO/IEC 27001:2013 poświadczającego wdrożenie i utrzymywanie przez Spółkę systemu zarządzania bezpieczeństwem informacji w zakresie usług świadczonych przez operatora telekomunikacyjnego oraz ISO/IEC 27701:2019 poświadczającego wdrożenie i utrzymywanie przez Spółkę systemu zarządzania danymi osobowymi jako rozszerzenie ISO/IEC 27001:2013 oraz ISO/IEC 27002:2013 o zarządzanie prywatnością w zakresie usług świadczonych przez operatora telekomunikacyjnego i złożonych w tym zakresie wyjaśnień, należy uznać, że Spółka w toku postępowania usunęła uchybienie w postaci braku procedur zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków w prowadzonej przez Spółkę dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne.
Jak wskazała Spółka w złożonych wyjaśnieniach, wymogi utrzymania certyfikatów zgodności systemu zarządzania w Spółce z wdrożonymi normami oznaczają m.in objęcie funkcjonowania systemu zarządzania bezpieczeństwa informacji i ochrony danych corocznym audytem wewnętrznym prowadzonym przez Spółę, jak i zewnętrznym niezależnej instytucji wydającej certyfikat. Powyższe oznacza, że Spółka wdrożyła rozwiązania zapewniające regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków zapewniających bezpieczeństwo przetwarzania danych. Wdrożenie tych rozwiązań nastąpiło jednak dopiero […] lipca 2020 r., a więc po upływie znacznego czasu od wystąpienia naruszenia ochrony danych osobowych abonentów usług przedpłaconych.
Odnosząc się do wyjaśnień Spółki i wskazanych w nich okoliczności, że w chwili wprowadzania do swojej działalności zmian wymaganych ustawą o działalności antyterrorystycznej nie była zobowiązana do przestrzegania zasady ochrony danych w fazie projektowania, o której mowa w art. 25 ust. 1 rozporządzenia 2016/679, Prezes Urzędu zwraca uwagę, że ustawa o działaniach antyterrorystycznych weszła w życie w dniu 2 lipca 2016 r., a zatem po wejściu w życie rozporządzenia 2016/679, które zostało opublikowane w Dzienniku Urzędowym UE 4 maja 2016 r. Zgodnie bowiem z art. 99 ust. 1 rozporządzenia 2016/679, wskazane rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej i ma zastosowanie od 25 maja 2018 r. (art. 99 ust. 2). Zatem z dniem 24 maja 2016 r. rozporządzenie 2016/679 weszło w życie z obowiązkiem stosowania bezpośrednio od dnia 25 maja 2018 r. Jak podkreśla się w motywie 171 rozporządzenia 2016/679 (motywy zawierają uzasadnienie przepisów części normatywnej aktu, jakim jest rozporządzenie), przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Mając na uwadze to, że systemy B i A funkcjonują od 2014 r., Spółka dostosowując wykorzystywane systemy do wymogów nałożonych przepisami ustawy o działaniach antyterrorystycznych, zmieniających ustawę z dnia 16 lipca 2014 r. Prawo telekomunikacyjne (Dz. U. z 2019r. poz. 2460), uwzględnić powinna już na tym etapie obowiązki nałożone przez przepis art. 25 rozporządzenia 2016/679. Wdrażanie obowiązków nałożonych ustawą o działaniach antyterrorystycznych zbiegło się bowiem w czasie z powinnością dostosowania przetwarzania danych do wymogów rozporządzenia 2016/679.
Podkreślenia również wymaga, że powołany art. 25 ust. 1 rozporządzenia 2016/679 pomimo nazwania wskazanego w nim obowiązku administratora jako „ochrona danych w fazie projektowania” dotyczy nie tylko etapu projektowania, ale także samego etapu przetwarzania danych. Wdrażanie zabezpieczeń stanowi bowiem ciągły proces, a nie tylko jednorazowe działanie administratora. Wymienione w nim środki, jak „minimalizacja danych” czy też „pseudonimizacja”, są tylko przykładem środków, które powinny zostać zastosowane w celu spełnienia wymogu realizacji zasad ochrony danych oraz nadania przetwarzaniu niezbędnych zabezpieczeń, by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Spółka w wyjaśnieniach podnosi, że na tym etapie postępowania nie zostało wykazane kim był atakujący. Sposób wykorzystania podatności wskazywał, że atakujący miał wcześniej dostęp do systemu i wiedział jak skonstruować odpowiednie zapytanie. Obecnie Spółka nie wie, czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć. W ocenie Spółki wykazanie, czy doszło do udostępnienia danych osobie nieuprawnionej leży po stronie Prezesa Urzędu.
Odnosząc się do powyższego twierdzenia Spółki, że po stronie Prezesa Urzędu leży wykazanie, czy doszło do udostępnienia danych osobie nieuprawnionej, zaakcentować należy, że Prezes Urzędu nie ma w swoich kompetencjach uprawnień do prowadzenia postępowania zmierzającego do wykrycia sprawcy przestępstwa i oceny, czy doszło do jego popełnienia, te przysługują bowiem organom ścigania, gdyż to one są uprawnione do prowadzenia takiego postępowania i oceny, czy doszło do popełnienia przestępstwa oraz do kwalifikacji czynu przestępczego. Nie budzi jednak wątpliwości, że doszło do udostępnienia danych, czego potwierdzeniem jest postanowienie Prokuratora Okręgowego w W. z dnia […] lipca 2020 r., sygn. […], o umorzeniu dochodzenia wobec niewykrycia sprawcy przestępstwa. Do kompetencji Prezesa Urzędu należy natomiast ocena, czy administrator danych przetwarza dane zgodnie z wymogami wynikającymi z przepisów o ochronie danych osobowych oraz odpowiedzialności administratora danych za przetwarzanie danych w sposób naruszający te przepisy.
Wskazać zatem ponownie należy, że obowiązkiem każdego administratora jest przetwarzanie danych zgodnie z zasadami określonymi art. 5 rozporządzenia 2016/679, w tym przypadku zgodnie z art. 5 ust. 1 lit. f. Przy czym stosownie do art. 5 ust. 2 rozporządzenia 2016/679 jest on odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (rozliczalność). Zobowiązuje to administratora do zachowania staranności zarówno przy nadawaniu upoważnień do przetwarzania danych, jak i również przy cofaniu upoważnień względem byłego pracownika, zleceniobiorcy czy wykonawcy. Okoliczności podjęcia decyzji o rozwiązaniu więzi prawnej łączącej z pracownikiem, zleceniobiorcą czy wykonawcą, mogą podnosić ryzyko wystąpienia prób nieuprawnionego dostępu do zasobów podmiotu. Stałe zatem monitorowanie systemów informatycznych jest obowiązkiem administratora zapewniającym wywiązanie się z wymogów nałożonych przepisami art. 32 ust. 1 lit. b i d rozporządzenia 2016/679. To po stronie Spółki leży obowiązek wykazania przed organem nadzorczym, iż wdrożyła odpowiednie środki bezpieczeństwa danych i zabezpieczyła dane przed dostępem osób nieupoważnionych, np. tych których upoważnienie wygasło, jak również wykazanie, że podjęła wszelkie możliwe działania, aby nie doszło do naruszenia poufności danych i nie ponosi odpowiedzialności za to naruszenie.
Twierdzenie Spółki, że nie wie, czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć, potwierdza, iż wdrożone przez Spółkę środki techniczne i organizacyjne mające zapewnić bezpieczeństwo danych były niewystarczające. Brak wiedzy na temat tych informacji stanowi również dowód na to, że Spółka nie panuje nad procesem przetwarzania danych, co stanowi o naruszeniu zasady rozliczalności.
Powyższe świadczy, iż prawidłowe są ustalenia Prezesa Urzędu, że Spółka nie wdrożyła w sposób prawidłowy wymogów rozporządzenia 2016/679 w zakresie określonym art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2 rozporządzenia 2016/679, co doprowadziło do naruszenia ochrony danych osobowych abonentów usług przedpłaconych. Konsekwencją naruszenia przywołanych przepisów rozporządzenia 2016/679 jest także naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679 oraz zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.
Podsumowując, pomimo usunięcia przez Spółkę uchybień w zakresie zapewnienia bezpieczeństwa przetwarzanych danych, w tym podatności systemów informatycznych służących do przetwarzania danych osobowych abonentów usług przedpłaconych, będącej przyczyną naruszenia poufności danych osobowych, zaistniały przesłanki uzasadniające zastosowanie wobec Spółki przysługujących Prezesowi Urzędu uprawnień do nałożenia kary administracyjnej za naruszenie zasady poufności danych (art. 5 ust. 1 lit. f rozporządzenia 2016/679), a w konsekwencji zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679) w związku z naruszeniem obowiązków administratora przy wdrażaniu środków technicznych i organizacyjnych w trakcie przetwarzania danych, w celu skutecznej realizacji zasad ochrony danych (art. 25 ust. 1 rozporządzenia 2016/679); obowiązków w zakresie zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych (art. 32 ust. 1 lit. b rozporządzenia 2016/679); obowiązku regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit. d rozporządzenia 2016/679) oraz obowiązku uwzględnienia ryzyka wiążącego się z przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych (art. 32 ust. 2 rozporządzenia 2016/679).
Skorzystanie przez Prezesa Urzędu z przysługującego mu uprawnienia wynika przede wszystkim z faktu, iż administrator uchybił podstawowym zasadom przetwarzania danych, tj. zasadzie poufności, a także zasadzie rozliczalności, stanowiącej o bezwzględnym obowiązku wykazania przed Prezesem Urzędu przestrzegania przepisów ogólnego rozporządzenia o ochronie danych.
Na podstawie art. 58 ust. 2 lit. i rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a – h oraz lit. j tego rozporządzenia administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy.
Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes Urzędu Ochrony Danych Osobowych – stosownie do treści art. 83 ust. 2 lit. a – k rozporządzenia 2016/679 – wziął pod uwagę, i uznał za obciążające dla Spółki, następujące okoliczności sprawy:
a) Charakter i waga naruszenia, liczba poszkodowanych osób (art. 83 ust. 2 lit. a rozporządzenia 2016/679). Stwierdzone w niniejszej sprawie naruszenie, którego skutkiem było uzyskanie nieuprawnionego dostępu do przetwarzanych przez Spółkę danych przez osobę bądź osoby nieuprawnione, a w konsekwencji pozyskanie danych osobowych abonentów usług przedpłaconych Spółki, ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla dużej liczby osób, do których danych dostęp miała osoba bądź osoby nieuprawnione. Naruszenie przez Spółkę obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieupoważnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano. Znaczący wpływ na dużą wagę naruszenia ma również okoliczność, że na Spółce, przetwarzającej dane osobowe w sposób profesjonalny, w ramach jej działalności, ciąży większa odpowiedzialność i większe wymagania niż na podmiocie przetwarzającym dane osobowe w ramach działalności ubocznej, incydentalnie lub na niewielką skalę. Prowadząc działalność komercyjną, Spółka jako administrator tych danych powinna podjąć wszelkie niezbędne działania i dochować należytej staranności w doborze środków technicznych i organizacyjnych, zapewniających bezpieczeństwo i poufność danych. Poczynione przez Prezesa Urzędu Ochrony Danych Osobowych ustalenia faktyczne dowodzą, iż Spółka w chwili wystąpienia naruszenia zadaniu temu nie sprostała;
b) Czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679). Za okoliczność obciążającą Prezes Urzędu uznaje długi czas trwania naruszenia. Co prawda sam okres, w którym osoba lub osoby nieuprawnione miały dostęp do danych osobowych przetwarzanych przez Spółkę, był stosunkowo krótki (choć i tak wystarczający do skopiowania wszystkich dostępnych danych), to jednak stan naruszenia był długotrwały. Powstał przed dniem rozpoczęcia stosowania rozporządzenia 2016/679, to jest przed […] maja 2018 r., a usunięty został ostatecznie – w trakcie postępowania zakończonego wydaniem niniejszej decyzji – wraz z uzyskaniem przez Spółkę w dniu […] lipca 2020 r. certyfikatów ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27001:2013 oraz ISO/IEC 27002:2013, poświadczających wdrożenie procedur zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków w prowadzonej przez Spółkę dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne.
c) Rozmiar szkody poniesionej przez osoby, których dotyczyło naruszenie (art. 83 ust. 2 lit. a rozporządzenia 2016/679). W niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba lub osoby nieuprawnione, doznały szkody majątkowej. Niemniej jednak już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę); osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.
d) Umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679). Nieuprawniony dostęp do danych osobowych abonentów usług przedpłaconych Spółki stał się możliwy na skutek niedochowania należytej staranności przez Spółkę i niewątpliwie stanowi o nieumyślnym charakterze naruszenia. Niemniej jednak Spółka jako administrator ponosi odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych. Na negatywną ocenę zasługuje fakt, że Spółka pomimo iż zakładała, że system będzie weryfikował […], nie przeprowadziła testu pod kątem poprawności działania systemu zgodnie z założonymi wymaganiami. W tym stanie rzeczy, zaniedbanie Spółki należy uznać za rażące.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości wymierzonej kary, dobrą współpracą Spółki z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679). Należy w tym miejscu wskazać, że poza prawidłowym wywiązywaniem się z ciążących na Spółce obowiązków procesowych zarówno w trakcie postępowania kontrolnego jak i w postępowaniu administracyjnym zakończonym wydaniem niniejszej decyzji, Spółka w pełnym zakresie zrealizowała zalecenia Prezesa Urzędu dotyczące uzupełnienia powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu. Spółka podjęła również konkretne i szybkie działania, których efektem było usunięcie naruszania. W szczególności Spółka usunęła z systemu informatycznego wykorzystaną przez osobę lub osoby nieuprawnione jego podatność na naruszenie ochrony przetwarzanych w systemie danych osobowych. Spółka wdrożyła również normy ISO gwarantujące na przyszłość wysoki poziom procedur regulujących m.in. przetwarzanie danych osobowych w Spółce, w tym przewidujące również regularne przeglądy i audyty zabezpieczeń i funkcjonowania systemów zarządzania danymi osobowymi i bezpieczeństwa informacji.
Żadnego wpływu na fakt zastosowania przez Prezesa Urzędu w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności:
a) działania podjęte przez Spółkę w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679);
b) stopień odpowiedzialności Spółki z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nią na mocy art. 25 i 32 rozporządzenia 2016/679 (art. 83 ust. 2 lit. d rozporządzenia 2016/679);
c) stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Spółkę (art. 83 ust. 2 lit. e rozporządzenia 2016/679);
d) kategoria danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit g rozporządzenia 2016/679);
e) sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit h rozporządzenia 2016/679);
f) przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679);
g) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust 2 lit. j rozporządzenia 2016/679);
h) osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k).
Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, iż nałożenie administracyjnej kary pieniężnej na Spółkę jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Spółce naruszeń. Stwierdzić należy, iż zastosowanie wobec Spółki jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka w przyszłości nie dopuści się kolejnych zaniedbań.
Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uznał, iż w ustalonych okolicznościach niniejszej sprawy – tj. wobec stwierdzenia naruszenia kilku przepisów rozporządzenia 2016/679 (zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f, a odzwierciedlonej w postaci obowiązków określonych w art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2, co w konsekwencji oznacza naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2) – zastosowanie znajdzie zarówno art. 83 ust. 4 lit. a rozporządzenia 2016/679, przewidujący m.in. za naruszenie obowiązków administratora, o których mowa w art. 25 i 32 rozporządzenia 2016/679, możliwość nałożenia administracyjnej kary pieniężnej w wysokości do 10 000 000 EUR (w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego), jak również art. 83 ust. 5 lit. a rozporządzenia 2016/679, zgodnie z którym naruszenia m.in. podstawowych zasad przetwarzania, o których mowa m.in. w art. 5 tego rozporządzenia, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR (w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa).
Wobec powyższego, stosownie do treści art. 83 ust. 3 rozporządzenia 2016/679, Prezes Urzędu Ochrony Danych Osobowych określił całkowitą wysokość administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze naruszenie. W przedstawionym stanie faktycznym za najpoważniejsze należy uznać naruszenie przez Spółkę zasady poufności określonej w art. 5 ust 1 lit. f rozporządzenia 2016/679, a w konsekwencji zasady rozliczalności określonej art. 5 ust. 2 rozporządzenia 2016/679. Przemawia za tym poważny charakter naruszenia oraz krąg osób nim dotkniętych (123.391 – stu dwudziestu trzech tysięcy trzystu dziewięćdziesięciu jeden abonentów usług przedpłaconych, których administratorem jest Spółka). Co istotne, w stosunku do ww. liczby osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoba bądź osoby nieuprawnione podjęły działania zmierzające do pozyskania tych danych poprzez […] zawierających dane osobowe.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 4 lit. a i art. 83 ust. 5 lit. a w związku z art. 83 ust. 3 rozporządzenia 2016/679 oraz w związku z art. 103 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r., za naruszenia opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 28 stycznia 2020 r. (1 EUR = 4,2794 PLN) – administracyjną karę pieniężną w kwocie 1.968.524,00 PLN (co stanowi równowartość 460.000 EUR).
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Zdaniem Prezesa Urzędu Ochrony Danych Osobowych nałożona na Spółkę kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Spółka stosowała będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność kary równoważna jest zatem gwarancji tego, iż Spółka od momentu zakończenia niniejszego postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.
Zastosowana kara pieniężna jest również proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, kręgu dotkniętych nim osób fizycznych oraz ryzyka, jakie w związku z naruszeniem ponoszą. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, nałożona na Spółkę kara pieniężna jest również proporcjonalna do przychodów netto Spółki określonych za 2019 rok […] i nie będzie stanowiła nadmiernego dla niej obciążenia. Podkreślenia wymaga że Zarząd Spółki podjął kroki mające na celu zapewnienie możliwości kontynuacji działalności […].
Wysokość kary została zatem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej Spółki. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, Spółka powinna i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w wysokości 1.968.524,00 PLN jest w pełni uzasadnione.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszania obowiązków Spółki wynikających z przepisów o ochronie danych osobowych, zarówno przy przetwarzaniu danych przez samą Spółkę, jak i w stosunku do podmiotów działających na jej zlecenie.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679.
Celem nałożonej kary jest doprowadzenie do przestrzegania przez Spółkę w przyszłości przepisów rozporządzenia 2016/679.
Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 – 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.). Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
W postępowaniu przed Wojewódzkim Sądem Administracyjnym Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 wskazanej wyżej ustawy Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz. U. z 2020 r., poz. 1325 ze zm.), od dnia następującego po dniu złożenia wniosku.