WSA oddala skargę wobec kary na ponad 117 000 zł za brak analizy ryzyka
po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych – stwierdził naruszenie w (…) przepisów art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, w tym zapewniających zdolność do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia lub utraty danych osobowych przechowywanych lub w inny sposób przetwarzanych w systemie informatycznym CRM i przechowywanych na serwerach, który uległ zniszczeniu i nałożył na Spółkę administracyjną karę pieniężną w kwocie 117 900 zł.
W uzasadnieniu organ wskazał, że skarżąca, prowadząca działalność gospodarczą polegającą na pośredniczeniu w świadczeniu usług medycznych, […] marca 2021 r. dokonała zgłoszenia Prezesowi UODO dotyczącego naruszenia ochrony danych osobowych polegającego na zniszczeniu serwerowni w wyniku pożaru, czym został naruszony atrybut dostępności danych osobowych, których administratorem była Spółka. W związku z przesłaniem zgłoszenia naruszenia ochrony danych osobowych pismem z […] lutego 2022 r. Prezes UODO zwrócił się do Spółki o udzielenie wyjaśnień i przesłanie dowodów na ich potwierdzenie m.in. w zakresie:
– czy Spółka dysponowała kopią zapasową danych zlokalizowanych w serwerowni, która uległa zniszczeniu na skutek pożaru, a jeżeli tak, to czy odzyskano utracone dane i w jakim zakresie;
– czy przed wystąpieniem naruszenia Spółka posiadała opracowaną i wdrożoną procedurę tworzenia oraz testowania kopii zapasowych systemów objętych naruszeniem; jeśli tak, to proszę przedłożyć kopię tej procedury ze wskazaniem częstotliwości tworzenia kopii zapasowych oraz daty wykonania ostatniej kopii zapasowej poprzedzającej zgłaszane naruszenie;
– czy Spółka dokonała analizy ryzyka i wpływu braku dostępności do danych przetwarzanych przy użyciu systemów informatycznych objętych naruszeniem na prawa lub wolności osób, których dane dotyczą.
Organ stwierdził, że przedstawiona przez Spółkę “analiza ryzyka” nie stanowiła jednak analizy ryzyka i wpływu braku dostępności do danych przetwarzanych przy użyciu systemów informatycznych objętych naruszeniem na prawa lub wolności osób, których dane dotyczą, o przedstawienie której Prezes UODO zwrócił się do Spółki.
Prezes UODO uznał, że jest ona proporcjonalna do zaistniałego naruszenia. Podkreślił, że kwota nałożonej kary 117 900 PLN to jedynie 0,25% maksymalnej kary, którą organ mógł nałożyć na Spółkę za stwierdzone w niniejszej sprawie naruszenie – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 statyczne maksimum kary (tj. 10 000 000 euro). Wobec powyższego nałożona na Spółkę administracyjna kara pieniężna spełnia w szczególności kryterium proporcjonalności kary w rozumieniu wypracowanym w orzecznictwie TSUE.
WSA w Warszawie oddalając skargę wskazał, że:
Organ, prowadząc postępowanie, kierował się przesłankami proporcjonalności, bezstronności i równego traktowania. Przyczyny nałożenia na skarżącą administracyjnej kary pieniężnej zostały obszernie i szczegółowo w decyzji omówione, a jej wysokość odniesiona m.in. do danych ze sprawozdania finansowego Spółki. Organ w zaskarżonej decyzji wskazał, na jakich dowodach się oparł i dlaczego, a którym z nich odmówił wiarygodności i z jakich powodów.
Podstawą do oceny jest zatem przeprowadzona analiza ryzyka – i w tym zakresie organ wszechstronnie zebrał materiał dowodowy, zwracając się do skarżącej o udzielenie wyjaśnień i przedstawienie dowodów na ich potwierdzenie. W oparciu o wyczerpujące pytania Prezesa UODO skarżącej została zapewniona pełna możliwość ustosunkowania się do istotnych okoliczności mających wpływ na treść rozstrzygnięcia oraz możliwość przedstawienia na te okoliczności dowodów.
W celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Spółka była zobowiązana do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, w tym zmierzających do zapewnienia zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.wbrew temu co podnosi skarżąca, stwierdzenie Prezesa UODO, że Spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, w tym zapewniających zdolność do ciągłego zapewnienia dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia lub utraty danych osobowych przechowywanych lub w inny sposób przetwarzanych w systemie informatycznym CRM i przechowywanych na serwerach, jest logiczne i uwzględnia zasady doświadczenia życiowego.
Skarżąca powinna zastosować odpowiednie środki techniczne i organizacyjne mające na celu odpowiednie zabezpieczenie dostępności danych osobowych, w tym, jak stanowi art. 32 ust. 1 lit. b) i c) – zdolność do ciągłego zapewnienia poufności danych, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Skarżąca nie ustaliła prawidłowo ryzyka i w konsekwencji nie zastosowała jakiegokolwiek środka bezpieczeństwa, co zostało przez organ bardzo szczegółowo wyjaśnione w treści zaskarżonej decyzji.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.W zakresie Sądu wysokość nałożonej kary jest uzasadniona, gdyż:
czas trwania naruszenia, tj. od 25 maja 2018 r. (data rozpoczęcia stosowania rozporządzenia 2016/679 – uwzględniający okres powierzenia przetwarzania danych i przechowywania ich na serwerach, które uległy spaleniu) do 10 marca 2021 r. (data naruszenia ochrony danych osobowych polegającego na zniszczeniu serwerowni w wyniku pożaru) przepisów o ochronie danych osobowych, w którym Spółka nie zapewniła, aby przetwarzanie odbywało się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed przypadkową utratą, zniszczeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, był znaczny;
wocenie Sądu zastosowana przez Prezesa UODO administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.