NSA: organ nadzorczy połączy postępowanie “naruszeniowe” z indywidualnymi skargami
Postępowanie przed Prezesem UODO dotyczyło naruszenia ochrony danych osobowych, które miało miejsce w marcu 2020 r. Wtedy jeden z pracowników podmiotu przetwarzającego popełnił błąd w skrypcie, który odpowiadał za resetowanie serwera danych. Błąd ten spowodował, że dane osobowe znajdujące się na tym serwerze były dostępne publicznie, z czego skorzystały co najmniej dwie osoby i pobrały bazę Klientów.
Prezes UODO w swojej decyzji z grudnia 2020 r. stwierdził naruszenie przepisów art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 RODO.
W związku z powyższym stwierdzeniem organ nadzorczy nałożył na administratora danych administracyjną karę pieniężną w wysokości ponad 1 mln zł.
Organ nadzorczy argumentował swoją decyzję m. in. tak:
Brak szybkiej reakcji ze strony podmiotu przetwarzającego nie zdejmuje z administratora odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych, gdyż zdolność do wykrywania naruszeń, zaradzania im oraz ich terminowego zgłaszania powinna być postrzegana jako kluczowy element środków technicznych i organizacyjnych, w tym każdej polityki w zakresie bezpieczeństwa danych. Spółka mimo niezwłocznego przekazania sygnału o nieprawidłowościach podmiotowi przetwarzającemu, zdaniem Prezesa UODO, nie podjęła swoich działań w sposób odpowiedni.
Okoliczności sprawy jednoznacznie wskazują na to, że administrator pobieżnie przeanalizował wiadomość z […] marca 2020 r., nie potraktował jej z należytą powagą i nie zobligował podmiotu przetwarzającego do tego samego. Podjęcie właściwej analizy i zintensyfikowanego kontaktu z podmiotem przetwarzającym już w dniu […] marca 2020 r., w którym to Spółka dowiedziała się o pierwszych nieprawidłowościach, w ocenie Prezesa UODO, pozwoliłyby stwierdzić naruszenie ochrony danych znacznie szybciej (tak jak to uczyniono po wiadomości otrzymanej od redaktora jednego z portali internetowych) i potencjalnie zminimalizować ryzyko dla praw i wolności klientów Spółki, w tym uniknąć zdarzenia, do którego doszło […] marca 2020 r.
Wobec powyższego Spółka, dokonując oceny pierwszego sygnału o nieprawidłowościach, nie uwzględniła – w ocenie Prezesa UODO – ryzyka wiążącego się z przetwarzaniem danych osobowych wynikających z przypadkowego udostępnienia danych osobowych, co stanowi naruszenie art. 32 ust. 2 rozporządzenia 2016/679. Zebrany w toku niniejszego postępowania materiał dowodowy stanowi również podstawę do stwierdzenia, że Spółka nie wywiązała się z obowiązku zapewnienia przetwarzania danych osobowych w sposób zapewniający ich odpowiednie bezpieczeństwo od momentu, w którym uzyskała pierwszy sygnał o nieprawidłowościach, co stanowi naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f rozporządzenia 2016/679. Nie wdrożyła również odpowiednich środków technicznych i organizacyjnych mających na celu skuteczną realizację ww. zasady ochrony danych, co stanowi naruszenie art. 25 ust. 1 rozporządzenie 2016/679 oraz skuteczne i szybkie stwierdzenie naruszenia, co stanowi naruszenie art. 24 ust. 1 rozporządzenia 2016/679.
Zdaniem Prezesa UODO Spółka nie dokonywała również regularnej oceny skuteczności tych środków, co stanowi naruszenie art. 32 ust. 1 lit. d rozporządzenia 2016/679. Tym samym między […] marca a […] marca 2020 r. swoim działaniem przyczyniła się do niezapewnienia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, co stanowi naruszenie art. 32 ust. 1 lit. b rozporządzenia 2016/679.
Brak działań administratora w tym zakresie stanowi również o naruszeniu art. 24 ust. 1, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 rozporządzenia 2016/679 poprzez brak uwzględnienia ryzyka związanego z przetwarzaniem haseł użytkowników w postaci jawnej, co w przypadku nie zastosowania innych środków technicznych i organizacyjnych mających na celu zapewnienie bezpiecznego przetwarzania, zgodnie z ww. przepisami rozporządzenia 2016/679, stanowi o narażeniu osób, których dane dotyczą, na zwiększenie ryzyka naruszenia praw lub wolności osób fizycznych w razie zaistnienia naruszenia poufności przetwarzanych danych.
Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a-h oraz lit. j tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej.
Administrator danych nie posiadając organizacyjnych czy technicznych możliwości prawidłowego, zgodnego z wymogami prawnymi przetwarzania danych, powierzył te czynności innemu podmiotowi, wyspecjalizowanemu w tej materii. Niejako wyręczył się w tym zakresie podmiotem przetwarzającym.
Dokonując prawidłowego (niezakwestionowanego przez organu nadzoru) wyboru tego podmiotu, mógł mieć więc zaufanie do jego działania, wsparte znajomością ciążących na nim obowiązków określonych omawianym rozporządzeniem oraz wynikających z umowy o powierzeniu przetwarzania danych. Mocą tej umowy podmiot przetwarzając zobowiązał się wobec administratora danych m in. do stosowania odpowiednich technicznych, fizycznych oraz organizacyjnych środków bezpieczeństwa w celu ochrony powierzonych danych, sprawowania nadzoru nad bezpieczeństwem danych przez cały okres ich powierzenia i wreszcie do zgłaszania administratorowi bez zbędnej zwłoki faktycznego lub podejrzanego naruszenia ochrony danych (§ 3 ust. 1 lit. a i b, ust. 2 pkt 9 umowy).
Według Sądu w tej sprawie naruszenie ochrony danych nastąpiło z przyczyn leżących po stronie podmiotu przetwarzającego. Naruszenie w rozumieniu art. 4 pkt 12 rozporządzenia jest bowiem stworzenie nieuprawnionego dostępu do danych, a to nastąpiło wskutek błędu pracownika podmiotu przetwarzającego. Organ w żaden sposób nie wykazał, że istnieje związek przyczynowo-skutkowy pomiędzy tym błędem, a zarzucanym administratorowi naruszeniem obowiązków wskazanych w decyzji o nałożeniu kary administracyjnej, które według tego, co już powiedziano należy interpretować zgodnie z funkcją administratora jako podmiotu ustalającego cele i sposoby przetwarzania danych.
Rozumowanie organu sprowadza się do przyporządkowania (subsumcji) ustalonego stanu faktycznego, ograniczonego do działania administratora pod określone przepisy rozporządzenia, regulujące obowiązki związane z przetwarzaniem danych osobowych, z pominięciem faktu, że te przepisy odnoszą się nie tylko do administratora danych i że ze stanu faktycznego wynika oczywisty udział podmiotu przetwarzającego w powstaniu naruszenia ochrony danych osobowych. Jak już powiedziano, przypisana administratorowi opieszałość w stwierdzeniu naruszenia ochrony danych mogła się ewentualnie przyczynić do powstania szkody w wyniku powstałego naruszenia, a nie do powstania samego naruszenia.
NSA wytknął Sądowi błąd w uzasadnienie orzeczenia, ale nie uchylił orzeczenia ani nie rozpoznał skargi na decyzję Prezesa UODO.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Za NSA wskazał wiele istotnych interpretacji:
Naczelny Sąd Administracyjny stoi na stanowisku, że konieczne jest wszczęcie i przeprowadzenie jednego postępowania przez Prezesa Urzędu Ochrony Danych Osobowych, w ramach którego dojdzie do ustalenia wszystkich naruszeń przepisów RODO i wymierzenia jednej skutecznej, proporcjonalnej i odstraszającej kary administracyjnej na podmiot odpowiedzialny w związku ze zdarzeniem naruszenia danych osobowych polegającym na braku zabezpieczenia danych klientów administratora w dniach […] marca 2020 r. przez podmiot przetwarzający […] w […] ([…]), z którym administrator, tj. […] Sp. z o.o. […] w […] zawarł w dniu […] marca 2018 r. umowę powierzenia przetwarzania danych osobowych.
Naczelny Sąd Administracyjny wskazuje, że stanowisko jakoby postępowanie związane z badaniem realizacji obowiązków administratora z art. 5 ust. 1 i art. 32 RODO dotyczy tej samej materii, co postępowania inicjowane indywidualnymi skargami, o których stanowi art. 77 ust. 1 RODO, jest zasadne jedynie częściowo.
Ponadto, jeżeli naruszenie praw wielu osób jest skutkiem jednego stanu faktycznego (jednego naruszenia), to należy przyjąć, że jest to jedna sprawa materialna w rozumieniu ustawy – Kodeks postępowania administracyjnego. Na przedmiot sprawy administracyjnej składa się element przedmiotowy (stan faktyczny) oraz podmiotowy (osoby, których dane zostały udostępnione).
Przede wszystkim zakres odpowiedzialności administratora lub podmiotu przetwarzającego zależą od tego, czy umowa lub inny instrument prawny na podstawie którego nastąpiło przekazanie przez administratora przetwarzania danych podmiotowi przetwarzającemu dane podlegają prawu UE lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora (art. 28 ust. 3 RODO).
Należy to rozumieć w ten sposób, iż taka umowa lub instrument muszą podlegać prawu UE lub prawu państwa członkowskiego, jak również administrator i podmiot przetwarzający muszą podlegać prawu UE lub prawu państwa członkowskiego, tj. pozostawać w zakresie jego jurysdykcji.
Wówczas możliwe jest rozważanie zagadnienia odrębnej oceny odpowiedzialności administratora danych osobowych oraz odrębnej odpowiedzialności podmiotu przetwarzającego za ewentualne naruszenie przepisów RODO, w tym odpowiedzialności administracyjnej. W takiej sytuacji odpowiedzialność administratora może zostać ograniczona np. do oceny dopełnienia obowiązków z art. 28 ust. 1 RODO na etapie zawierania umowy.
Mając na względzie powyższe rozważania Naczelny Sąd Administracyjny na podstawie art. 184 P.p.s.a. oddalił skargę kasacyjną organu, o czym orzeczono jak w punkcie pierwszym sentencji wyroku.