WSA: prawidłowe 1,4 mln zł kary za brak “obrony” przed ransomware

WSA w Warszawie opublikował właśnie uzasadnienie wyroku z kwietnia 2025 r., w którym oddalił skargę jednego z prywatnych szpitali na decyzję Prezesa UODO z maja 2024 r. 

W decyzji tej Prezes UODO stwierdził naruszenie przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia nr 2016/679, polegające na niewdrożeniu:

1) odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,

2) odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, skutkującym naruszeniem zasady integralności i poufności oraz zasady rozliczalności

 

Aktualności Plus 360 dni
599
 PLN z VAT
  • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
  • Fachowe i czytelne podsumowanie omawianego orzeczenia
  • Dostęp do wszystkich aktualności na stronie
  • Jako pierwszy masz dostęp do ważnych argumentów
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram
Wyszukiwarka Plus 360 dni
2999
 PLN z VAT
  • Dostęp do Wyszukiwarka 360 Dni
  • Dostęp do Aktualności Plus 360 Dni
  • 3 konsultacje RODO w ramach subskrypcji
Wybieram

 

Nadto organ nadzorczy nałożył na A. S.A. za naruszenie przepisów art. 5 ust. 1 lit. f) i ust. 2 oraz art. 32 ust. 1 i 2 rozporządzenia nr 2016/679 administracyjną karę pieniężną w wysokości 1.440.549 zł.

W uzasadnieniu swojego rozstrzygnięcia organ podał, że w dniu […] stycznia 2021 r. oraz w dniu […] lutego 2021 r. (uzupełnienie zgłoszenia), na podstawie art. 33 ust. 1 rozporządzenia nr 2016/679 zostało do niego skierowane przez A. S.A. zgłoszenie naruszenia ochrony danych osobowych. Z treści ww. zgłoszeń wynikało, że naruszenie ochrony danych osobowych polegało na uzyskaniu nieuprawnionego dostępu grupy hakerskiej o nazwie “[…]” do zasobów informatycznych (dysków sieciowych) spółki oraz na zainstalowaniu w systemie informatycznym spółki oprogramowania typu “ransomware”, w wyniku czego doszło do utraty dostępności oraz poufności danych osobowych przetwarzanych przez spółkę w ww. systemie.

Organ podał, że utrata poufności danych polegała na rozpowszechnieniu przez grupę hakerską danych osobowych na stronie tzw. darknetu. Przedmiotowe naruszenie ochrony danych osobowych dotyczyło danych osobowych 21.569 osób, w tym pacjentów spółki oraz jej pracowników. Naruszeniu ochrony uległy dane następujących kategorii: nazwisko, imię, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwa użytkownika lub hasło, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, nazwisko rodowe matki, seria i numer dowodu osobistego oraz numer telefonu.

W związku z powyższym organ dokonał w spółce w dniach od […] do […] listopada 2021 r. czynności kontrolnych w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

 

 

W toku kontroli ustalono, że pierwsza analiza ryzyka w spółce została sporządzona w dniu […] maja 2018 r., a jej aktualizacja w dniu […] marca 2019 r. Kolejna analiza ryzyka została wykonana w dniu […] marca 2020 r., a następna w dniu […] marca 2021 r. z uwagi na wystąpienie naruszenia ochrony danych osobowych. W wyniku analizy z dnia […] marca 2021 r. zwiększono prawdopodobieństwo wystąpienia zdarzeń w postaci działania szkodliwego oprogramowania na sprzęcie służącym do przetwarzania danych oraz włamania do systemu informatycznego spółki. W następstwie dokonania zmian w rejestrze czynności przetwarzania danych, zmianie uległa również analiza ryzyka, którą przeprowadzono ponownie w dniu […] sierpnia 2021 r.

Poddając analizie kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia nr 2016/679), organ stwierdził, że wśród danych osobowych przetwarzanych przez spółkę, oprócz tzw. danych zwykłych, takich jak: imię, nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwa użytkownika lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego oraz numer telefonu, znalazły się również dane szczególnych kategorii, tj. dotyczące zdrowia, o których mowa w art. 9 ust. 1 rozporządzenia nr 2016/679.

 

 

 

Sąd oddalając skarg administratora wskazał, że:

Otóż, po pierwsze organ uznał, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych; a po drugie organ uznał, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, a te zaniechania spółki skutkowały naruszeniem zasady integralności i poufności oraz zasady rozliczalności.

W ocenie Sądu, organ prawidłowo przyjął, że tak opisane naruszenia przepisów rozporządzenia nr 2016/679 wystąpiły w rozpoznawanej sprawie.

Nie można przy tym zgodzić się ze skarżącą, że jeśli analiza ryzyka została wykonana w zgodzie z przyjętą metodologią, to organ nie jest uprawniony do kwestionowania jej wyników. Prezes Urzędu Ochrony Danych Osobowych, jako organ nadzorczy w zakresie przestrzegania przepisów o ochronie danych osobowych, jest uprawniony i kompetentny do dokonania oceny przyjętego w analizie ryzyka stopnia ryzyka i może uznać, jak uczynił to w niniejszej sprawie, że efekt końcowy dokonanej przez spółkę analizy ryzyka pomija okoliczności istotne z punktu widzenia prawdopodobieństwa wystąpienia naruszenia, co skutkuje istotnym zaniżeniem występującego ryzyka. Tę ocenę organu Sąd rozpoznający niniejszą sprawę w całości podziela. Nie można zaakceptować bowiem przyjętej przez spółkę oceny, że w zakresie “Wykorzystania systemów informatycznych bez wsparcia” poziom ryzyka przy większości czynności i celów przetwarzania jest – jak zostało uznane przez spółkę: “mały” (a przy czynności/celu przetwarzania “Dane badawcze-świadczenia […]” “minimalny”), zaś w zakresie “Wystąpienia szkodliwego oprogramowania na sprzęcie przetwarzającym dane” poziom ryzyka dla wszystkich czynności i celów przetwarzania danych jest “średni”. W kontekście ataku hakerskiego, który miał miejsce w styczniu 2021 r. i który potwierdził, że poziom ryzyka w skarżącej spółce w omawianym zakresie był znaczny, należy przyjąć, że spółka nie doszacowała poziomu ryzyka dla praw i wolności osób fizycznych, co w konsekwencji spowodowało, że przyjęte środki techniczne i organizacyjne (wprawdzie adekwatne do przyjętego przez spółkę poziomu ryzyka) nie są odpowiednie dla rzeczywistego poziomu ryzyka, które występowało przed atakiem hakerskim, jak i występowało w dniu wydania zaskarżonej decyzji.

 

 

Nadto Sąd podniósł, że:

Należy podkreślić również, że organ nie kwestionował, iż spółka podjęła pewne działania w związku z wykryciem naruszenia danych, które zmierzały do zminimalizowania ryzyka kolejnych naruszeń. Powyższe nie zmienia jednak faktu, że opisane w zaskarżonej decyzji naruszenia przepisów rozporządzenia nr 2016/679 wystąpiły, a także że spółka na dzień wydania zaskarżonej decyzji nie dokonała właściwej (tj. odpowiadającej rzeczywistości) oceny poziomu ryzyka, a także nie podjęła regularnego testowania, mierzenia i oceniania skuteczności stosowanych środków technicznych i organizacyjnych.

Zdaniem Sądu, organ prawidłowo ocenił zatem wszystkie wskazane w art. 83 ust. 2 rozporządzenia nr 2016/679 przesłanki mające wpływ na wymiar kary, a także określił jej wysokość w sposób proporcjonalny do stwierdzonego naruszenia, stosując właściwie metodykę przyjętą przez EROD w Wytycznych 04/2022 i wymierzył karę w granicach określonych w art. 83 ust. 5 rozporządzenia nr 2016/679. Nie można przy tym – jak czyni to skarżąca – skutecznie zarzucać organowi odejście w zakresie wymiaru kary od ustalonej praktyki, bowiem – co oczywiste – każda sprawa jest rozpatrywana przez organ indywidualnie, z uwzględnieniem charakteru naruszenia, a także wszystkich przesłanek wskazywanych w art. 83 rozporządzenia nr 2016/679.

Aktualności Plus 360 dni
599
 PLN z VAT
  • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
  • Fachowe i czytelne podsumowanie omawianego orzeczenia
  • Dostęp do wszystkich aktualności na stronie
  • Jako pierwszy masz dostęp do ważnych argumentów
Wybieram
Wyszukiwarka Plus 360 dni
2999
 PLN z VAT
  • Dostęp do Wyszukiwarka 360 Dni
  • Dostęp do Aktualności Plus 360 Dni
  • 3 konsultacje RODO w ramach subskrypcji
Wybieram
Wyszukiwarka 360 dni
2699
 PLN z VAT
  • Baza Orzeczeń Sądów i Trybunałów
  • Eksperckie tezy wybranych orzeczeń
  • Decyzje Prezesa UODO
  • Decyzje Europejskich Organów Nadzorczych
  • Wytyczne i Opinie EDPB oraz EDPS
  • Źródło argumentów w postępowaniu administracyjnym
Wybieram

Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.

Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych.  Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.


    Administratorem Pani/Pana danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17, tel: (+48) 721 621 299, email: kontakt@judykatura.pl. Dane osobowe będą przetwarzane w celu realizacji dostępu do serwisu. Każdej osobie przysługuje prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu wobec ich przetwarzania oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania Państwa danych osobowych dostępne jest w polityce prywatności.

    Zapisz się do newslettera
    X

    Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności