WSA: prawidłowa kara 35 000 zł za brak analizy ryzyka Uczelni
Według zgłaszającego do naruszenia doszło w następstwie błędu popełnionego w ramach prac programistycznych, mających na celu przeniesienie systemu Rejestrator na nowy serwer produkcyjny, podczas których kontrola dostępu do przetwarzanych w systemie danych osobowych została wyłączona.
W momencie rozpoczęcia prac programistycznych usługa LDAP nie była jeszcze odpowiednio skonfigurowana. Aby prace mogły być prowadzone dopuszczono na serwerze deweloperskim możliwość nieautoryzowanego wywoływania podstron panelu administratora w module Aplikacji, ale zmiana ta “została przeoczona i wprowadzona na serwer produkcyjny, a wykonane testy nie wykazały błędnego działania systemu”.
Incydent doprowadził do zaindeksowania niezabezpieczonych danych przez wyszukiwarkę internetową […], stwarzając możliwość niezgodnego z prawem przetwarzania ich przez osoby trzecie. Naruszenie objęło dane osobowe: imię, nazwisko, imiona rodziców, data urodzenia, płeć, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwisko rodowe matki, numer telefonu, login, numer albumu, informacje o dowodzie osobistym lub paszporcie (seria i numer dokumentu, kraj wydania, organ wydający, data wydania, data ważności), obywatelstwo, narodowość, fakt posiadania Karty Polaka, tryb, poziom i kierunek studiów, poziom znajomości języka obcego, średnia ocen, liczba uzyskanych punktów.
Uczelnia pismem z 3 listopada 2022r. wskazała m.in., że ww. zmiany testował sam programista, zaś druga osoba z zespołu sprawdziła, czy aplikacja działa poprawnie, a także deklarując, iż przygotowywana jest w tej chwili procedura wykonywania testów oraz wprowadzane jest code review wykonywane przez innego programistę przed przekazaniem na produkcję nowych wersji systemów.
Uczelnia poinformowała także, że “przed wystąpieniem naruszenia analiza ryzyka nie była prowadzona w sposób sformalizowany” oraz przedłożyła przygotowany po wystąpieniu naruszenia ochrony danych osobowych “Raport z analizy ryzyka dla bezpieczeństwa aplikacji “[…]” z […] listopada 2022r. i wyjaśnienia otrzymane od operatora wyszukiwarki […].
Według Sądu istota sprawy sprowadzała się do oceny tego, czy Prezes UODO:
- działał w granicach prawa, wydając zaskarżoną decyzję i przyjmując, że Uczelnia naruszyła zasady integralności i poufności (art. 5 ust. 1 lit. f RODO) i zasadę rozliczalności (art. 5 ust. 2 RODO) przez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych w ww. Aplikacji oraz przez brak zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w Aplikacji, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia
- zastosował adekwatną administracyjną karę pieniężną do okoliczności faktycznych i zgodną z dyrektywami wymiaru kary określonymi w RODO.
Sąd nie znalazł zatem podstaw do zakwestionowania zaskarżonej decyzji, uznając, że jej wydanie było nie tylko uzasadnione, ale i potrzebne.
Sąd argumentował swoją decyzję:
W świetle akt sprawy należało bowiem przyjąć, że Prezes UODO podjął – co nie było sporne w sprawie – niezbędne i wystarczające działania, konieczne do wyjaśnienia stanu faktycznego sprawy. Również zgromadzony w sprawie materiał dowodowy został rozpatrzony stosownie do art. 77 § 1 k.p.a., a oceny wyrażone przez Prezesa UODO uwzględniały reguły wynikającej z art. 80 k.p.a. Organ nadzoru przy formułowaniu ocen w zaskarżonej decyzji nie naruszył bowiem ww. zasady swobodnej oceny dowodów, gdyż wnioski zawarte w zaskarżonej decyzji należy uznać logiczne i spójne oraz opierające się na okolicznościach wynikających ze zgromadzonych w sprawie dowodów. Prezes UODO, o czym świadczy uzasadnienie zaskarżonej decyzji, uwzględnił też podnoszone przez Uczelnię w toku prowadzonego postępowania i kontroli okoliczności.
Zdaniem Sądu – wbrew argumentacji Uczelni – podnoszonej w skardze i w replice na odpowiedź na skargę, organ nie wskazywał, że to błąd ludzki, pomimo że skutkował naruszeniem ochrony danych osobowych, nie przesądzał sam w sobie o naruszeniu przepisów, za które organ nadzorczy nałożył na Uczelnię administracyjną karę pieniężną. W ocenie Prezesa UODO to właśnie trwający stan niezgodności przetwarzania danych osobowych przez Uczelnię z RODO doprowadził do powstania okoliczności, w których ryzyko wystąpienia błędu zmaterializowało się finalnie w postaci tego incydentu.
Zdaniem Sądu Prezes UODO prawidłowo podniósł w uzasadnieniu zaskarżonej decyzji, że naruszenie przez Uczelnię przepisów RODO nie wynikało – z braku zapewnienia przez nią środków niezawodnych, ale z niewdrożenia środków odpowiednich (s. 17 zaskarżonej decyzji).
Sąd nie podziela w związku z tym stanowiska Uczelni, że przeprowadzenie analizy ryzyka nie było konieczne, że była to czynność fakultatywna, a samo wdrożenia środka organizacyjnego, jakim jest “Polityka bezpieczeństwa danych osobowych” samo w sobie przesądzało o dokonaniu przez Uczelnię takiej analizy.
Trafnie też Prezes UODO przyjął, że w stanie faktycznym sprawy przeprowadzenie takiej analizy było szczególnie istotne, z uwagi na specyfikę działania systemów informatycznych, biorąc pod uwagę w szczególności niezwykle szeroki zakres danych osobowych przetwarzanych za pośrednictwem ww. Aplikacji, a także liczbę osób, których dane dotyczą. Okoliczności te, z uwagi na konieczność przyjęcia stosownych rozwiązań w zakresie przetwarzania danych osobowych, powinny spowodować podjęcie przez Uczelnię szeregu dodatkowych działań zapewniających bezpieczeństwo danych osobowych, a punktem wyjścia do ich określenia powinno być, co ponownie należy zaakcentować, przeprowadzenie analizy ryzyka, która zakłada możliwość przypadkowego ujawnienia danych zgromadzonych w bazie danych ww. Aplikacji, skutkującego naruszeniem ich poufności.
Zdaniem Sądu w okolicznościach faktycznych sprawy nie można też zakwestionowania stanowiska Prezesa UODO o umyślnym naruszeniu przez Uczelnię przepisów RODO, choć w skardze i w piśmie procesowy Uczelnia uwypuklała wystąpienie incydentu spowodowanego błędem ludzkim, który doprowadził do ujawnienia danych osobowych 1461 osób przetwarzanych w ww. Aplikacji, który należało potraktować, jako nieumyślne naruszenie danych osobowych.
Zdaniem Sądu, wbrew stanowisku prezentowanemu przez Uczelnię w skardze, prawidłowe było odwołanie się przez Prezesa UODO w zaskarżonej decyzji do szkody niematerialnej poniesionej przez osoby, których dane osobowe ujawnione w ww. Aplikacji zostały zaindeksowane przez wyszukiwarkę […].
Prezes UODO w uzasadnieniu zaskarżonej decyzji uwzględnił też, jako okoliczność łagodzącą wymiar nałożonej administracyjnej kary pieniężnej, złożenie oświadczeń przez studentów, którzy ujawnili naruszenie, o usunięciu danych osobowych oraz ich niewykorzystywaniu przez nieuprawnionych odbiorców, uznając, że wskazywało to współpracę Uczelni z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, zgodnie z art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. f) RODO. Tym samym zarzutu zawarte w skardze, co do zaufanych odbiorców nie mogły być uznane za zasadne.