Artykuł ukazał się w Magazynie ODO
Autor: Anna Matusiak-Wekiera, Ewa Mońdziel
Z początkiem bieżącego roku Prezes UODO nałożył największą dotychczas karę pieniężną za naruszenie przepisów RODO. W poniższym artykule został opisany przedmiot decyzji oraz okoliczności naruszenia przepisów przez administratora i podmiot przetwarzający. Szczegółowo przedstawiamy wskazany przez organ właściwy dobór środków technicznych i organizacyjnych przy przetwarzaniu danych w systemach informatycznych, a także zalecenia dotyczące procedur wyboru i nadzoru nad działaniami podmiotu przetwarzającego. Na podstawie wydanej decyzji zgromadziliśmy również praktyczne wskazówki dla administratorów i przetwarzających dane.
Przedmiot decyzji
W wydanej w dniu 19 stycznia 2022 r. decyzji (sygn. DKN.5130.2215.2020) Prezes UODO ocenił czynności administratora danych i podmiotu przetwarzającego związane z incydentem bezpieczeństwa danych osobowych, polegającym na naruszeniu ich poufność i umożliwieniu dostępu do szerokiego zakresu danych osobom nieuprawnionym. Prezes UODO stwierdził naruszenie przez administratora danych przepisów RODO polegające na:
- niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkujące naruszeniem ich poufności, oraz na
- braku weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą,
i w związku z tymi naruszeniami nałożył na administratora danych – rekordową jak do tej pory – administracyjną karę pieniężną w wysokości 4 911 732 zł. Ustalając wysokość kary, Prezes UODO kierował się art. 83 ust. 1 RODO, zgodnie z którym kary pieniężne powinny być skuteczne, proporcjonalne i odstraszające. Podkreślił, że kara nałożona na administratora danych jest proporcjonalna nie tylko do wagi naruszenia, ale też do wielkości administratora mierzonej jego obrotem. Nałożona kara, choć w liczbach bezwzględnych niewątpliwie wysoka, stanowi 0,18% obrotu administratora osiągniętego w 2020 r. Jest zatem znacząco niższa od maksymalnej kary, która mogłaby być nałożona za naruszenie tych przepisów RODO. Niższa kara mogłaby być w ocenie Prezesa UODO nieskuteczna i nie zapewnić skutku odstraszającego na przyszłość, w szczególności „mogłaby być w praktyce niezauważalna i mogłaby zostawić pole do kalkulowania czy dla tej organizacji koszty administracyjnych kar pieniężnych nie byłyby niższe niż nakłady na ochronę danych osobowych”.
Co istotne, Prezes UODO poddał również ocenie działania samego podmiotu przetwarzającego, stwierdzając naruszenie przepisów RODO polegające na:
- niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w tym zapewnienie ich poufności,
i w związku z tym naruszeniem nałożył na podmiot przetwarzający dane administracyjną karę pieniężną w wysokości 250 135 zł. Kara ta stanowi 1,19% obrotu osiągniętego przez ten podmiot w 2020 r. Orzeczona kara jest stosunkowo bardziej dotkliwa niż dla administratora, co organ uzasadnił tym, że to działanie podmiotu przetwarzającego, tzn. błąd jego pracownika polegający na niewłaściwej konfiguracji systemu informatycznego, doprowadziło bezpośrednio do naruszenia poufności danych osobowych.
Stan faktyczny
Administrator prowadzi działalność gospodarczą w zakresie obrotu energią elektryczną i paliwem gazowym, w tym w zakresie sprzedaży energii elektrycznej oraz gazu odbiorcom końcowym. Administrator współpracował z podmiotem przetwarzającym świadczącym na jego rzecz usługę prowadzenia archiwum, w tym archiwum cyfrowego.
W kwietniu 2020 r. administrator zgłosił Prezesowi UODO przypadek naruszenia ochrony danych osobowych polegający na skopiowaniu przez nieuprawnione osoby danych klientów administratora. Naruszenie miało związek ze zmianami wprowadzanymi w środowisku teleinformatycznym dla archiwum cyfrowego dokumentów administratora, będącego usługą świadczoną przez podmiot przetwarzający. Zmiana polegała na utworzeniu i instalacji dodatkowej bazy danych klientów administratora i była dokonywana przez podmiot przetwarzający w celu zwiększenia wydajności działania archiwum. Nowa baza, do której dostęp uzyskały osoby nieuprawnione, zawierała informacje o klientach administratora w zakresie ich imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, rodzaju, serii i numeru dokumentu tożsamości, adresu e-mail, numeru telefonu, a także danych dotyczących umowy z administratorem.
Bezpośrednią przyczyną naruszenia był błąd przy konfiguracji nowego serwera popełniony przez pracownika podmiotu przetwarzającego, który umożliwił dostęp do bazy nieuprawnionym osobom. W momencie wykrycia naruszenia wdrażana zmiana była na etapie kończenia testów, tzn. przed wdrożeniem w środowisku produkcyjnym i przed ostatecznym wdrożeniem zabezpieczeń systemowych. Mimo to w testowanej bazie znajdowały się już rzeczywiste dane klientów.
Środki techniczne i organizacyjne przy przetwarzaniu danych w systemach informatycznych
Prezes UODO podkreślił w decyzji, że zgodnie z art. 32 ust. 1 RODO środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych powinny uwzględniać m.in. stan wiedzy technicznej. Jak wskazał organ, stan wiedzy technicznej wynika m.in. z obowiązujących standardów i norm, w tym norm ISO. Aktualność tych norm wyraża się w tym, że podlegają one okresowym przeglądom. W wyniku przeglądów normy są aktualizowane o elementy wynikające z postępu technologicznego. Co istotne, Prezes UODO wskazał na treść dwóch norm: PN-EN ISO/IEC 27001:2017-06 (Technika informatyczna — Techniki bezpieczeństwa — Systemy zarządzania bezpieczeństwem informacji – Wymagania) oraz PN-EN ISO/IEC 27002:2017-06 (Technika informatyczna — Techniki bezpieczeństwa — Praktyczne zasady zabezpieczania informacji), które powinny być stosowane przez administratora i podmiot przetwarzający w przypadku przetwarzania danych w systemie teleinformatycznym.
Prezes UODO wskazał, że zgodnie z treścią normy PN-EN ISO/IEC 27001:2017-06, funkcje bezpieczeństwa powinny być testowane także w czasie prac rozwojowych prowadzonych w systemach informatycznych. Tymczasem w badanej sprawie do takiego testowania nie doszło, co w konsekwencji przyczyniło się do naruszenia poufności danych osobowych klientów. Z kolei norma PN-EN ISO/IEC 27002:2017-06 zaleca m.in. unikanie stosowania rzeczywistych danych osobowych lub innych poufnych danych w charakterze danych testowych, a w przypadku ich użycia, zapewnienie ich szczególnej ochrony, w tym stosowanie w testowanych aplikacjach takich samych procedur kontroli dostępu, jakie są stosowane w środowisku produkcyjnym.
Organ podkreślił, że skutecznym środkiem służącym zapewnieniu poufności danych jest ich pseudonimizacja, ponieważ uniemożliwia ona przypisanie danych do konkretnej osoby bez dysponowania dodatkowymi informacjami. W badanej sprawie administrator ani podmiot przetwarzający nie skorzystali z możliwości pseudonimizacji danych. Zamiast tego nowa, wciąż testowana baza, której zabezpieczenia nie zostały jeszcze w pełni wdrożone ani przetestowane, została zasilona rzeczywistymi danymi klientów. Brak pseudonimizacji danych wraz z brakiem innych zabezpieczeń nie tylko przyczynił się do naruszenia poufności danych, ale stanowił naruszenie umowy powierzenia przetwarzania danych osobowych, która nakładała na podmiot przetwarzający m.in. obowiązek wdrożenia pseudonimizacji. Jednocześnie organ zwrócił uwagę, że pseudonimizacja danych nie służy wykluczeniu innych środków ochrony danych, ale stanowi ich uzupełnienie.
Prezes UODO po przeprowadzonym postępowaniu stwierdził, że użycie rzeczywistych danych klientów oraz brak przetestowania funkcji bezpieczeństwa podczas prowadzonych prac naruszało obowiązki wynikające z art. 32 ust. 1 i 2 RODO oraz stanowiło działanie niezgodne z normami ISO i z politykami wewnętrznymi podmiotu przetwarzającego, które się do tych norm odwołują. Ponadto stanowiło naruszenie umowy powierzenia przetwarzania danych osobowych, która nakładała na podmiot przetwarzający m.in. obowiązek wdrożenia szyfrowania i pseudonimizacji danych.
Wybór podmiotu przetwarzającego i nadzór nad jego działaniami
W toku postępowania Prezes UODO ustalił, że administrator przed zawarciem umowy powierzenia przetwarzania nie przeprowadził weryfikacji podmiotu przetwarzającego. Administrator uzasadniał brak przeprowadzenia weryfikacji długoletnią współpracą z podmiotem przetwarzającym, podczas której nie zostały stwierdzone żadne incydenty bezpieczeństwa. Administrator podkreślał także, że podmiot przetwarzający jest liderem w dziedzinie świadczonych przez siebie usług i reprezentuje ich wysoki standard. W związku z tym administrator uznał za wystarczające podpisanie umowy powierzenia przetwarzania danych osobowych bez przeprowadzania weryfikacji tego podmiotu.
W toku wykonywania umowy administrator nie realizował przysługującego mu prawa kontroli pod kątem zapewnienia przez podmiot przetwarzający środków wskazanych w art. 32 RODO. Ankietę weryfikacyjną przesłał do podmiotu przetwarzającego już po wykryciu naruszenia danych i po wszczęciu postępowania przez Prezesa UODO. Organ w wydanej decyzji stwierdził, że długotrwała współpraca stron, jeżeli nie jest poparta systematycznym przeprowadzaniem audytów, nie gwarantuje prawidłowego realizowania przez podmiot przetwarzający zadań wynikających z umowy powierzenia przetwarzania. Taka współpraca może stanowić jedynie punkt wyjścia przy dokonywaniu weryfikacji podmiotu przetwarzającego. Samo podpisanie umowy powierzenia przetwarzania danych osobowych nie może być uznane za realizację obowiązku przeprowadzenia weryfikacji podmiotu przetwarzającego pod kątem spełnienia wymogów RODO.
Przed wszczęciem postępowania przez Prezesa UODO administrator nie przeprowadzał też w podmiocie przetwarzającym żadnych audytów ani inspekcji. Organ podkreślił, że przeprowadzanie przez administratora audytów w podmiocie przetwarzającym jest jednym z ważniejszych środków bezpieczeństwa, jakie powinien on stosować, aby prawidłowo realizować swoje obowiązki wskazane w art. 32 ust. 1 RODO. Takie audyty umożliwiają bowiem uzyskanie przez administratora wiedzy, czy podmiot, któremu powierzył przetwarzanie danych, spełnia wymogi wynikające z RODO. Organ wskazał, że przeprowadzanie audytów znajduje także uzasadnienie w wynikającym z art. 28 ust. 1 RODO obowiązku korzystania przez administratora jedynie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą – tzn. daje administratorowi możliwość upewnienia się, że podmiot przetwarzający już po powierzeniu mu danych nadal spełnia ten warunek.
W ocenie Prezesa UODO regularne audyty prowadzone w podmiocie przetwarzającym mogą stanowić też przejaw wdrożenia przez administratora odpowiednich środków technicznych i organizacyjnych. W badanej sprawie brak realizacji audytów w odniesieniu do danych przetwarzanych w systemach informatycznych podlegających modyfikacjom organ uznał za naruszenie art. 25 ust. 1 RODO. Organ podkreślił, że wdrożenie odpowiednich środków technicznych i organizacyjnych powinno mieć charakter ciągłego procesu uwzględniającego przeglądy i uaktualnienia tych środków. W związku z tym nie zgodził się z twierdzeniem administratora, że testowanie i ocenianie skuteczności przyjętych środków technicznych i organizacyjnych nie zapobiegłoby ocenianemu w tej sprawie naruszeniu. Prezes UODO wskazał, że regularna ocena stosowanej u administratora i zawartej w umowie procedury wdrażania zmian w systemach informatycznych, zgodna z wymogiem art. 32 ust. 1 lit. d) RODO, pozwoliłaby na ocenę skuteczności tej procedury, w tym przekonanie się, czy jest ona w ogóle przestrzegana. Organ podkreślił przy tym, że korzystanie z usług podmiotu przetwarzającego nie zwalnia administratora z obowiązków w zakresie wdrażania odpowiednich środków technicznych i organizacyjnych służących zapewnieniu odpowiedniego poziomu bezpieczeństwa danych.
Prezes UODO na podstawie materiału zgromadzonego w postępowaniu stwierdził, że administrator – pomimo spisania odpowiednich procedur wdrażania zmian oraz posiadania wystarczającej wiedzy na temat procesu wdrażania zmian w systemach informatycznych – nie prowadził żadnego nadzoru nad wykonywanymi przez podmiot przetwarzający pracami. W szczególności nie podjął działań w celu zweryfikowania, czy w procesie dokonywania zmiany w systemie informatycznym zostało zapewnione bezpieczeństwo przetwarzanych w nim danych osobowych ani nie zażądał przedstawienia mu projektów planowanych zmian.
To poskutkowało uznaniem przez Prezesa UODO, że środki techniczne i organizacyjne wdrożone przez administratora jedynie w ograniczonym zakresie odpowiadały wymogom zawartym w art. 32 RODO. Organ zwrócił uwagę, że administrator nie egzekwował od podmiotu przetwarzającego prawidłowego wykonywania postanowień łączących ich umów ani nie nadzorował zleconych mu działań. Prezes UODO podkreślił, że „zapewnienie przez administratora danych nadzoru i monitorowania prac rozwojowych nad systemami, zleconych podmiotom zewnętrznym, to jeden z podstawowych środków organizacyjnych, jaki powinien administrator skutecznie wdrożyć w celu zapewnienia bezpieczeństwa danych osobowych”. Organ zwrócił również uwagę, że nadzór i monitorowanie prac rozwojowych nad systemami jest jednym z wzorcowych elementów bezpieczeństwa wskazywanych m.in. przez normę PN-EN ISO/IEC 27001:2017-06, zaś ich brak przyczynił się do zaniechania ograniczenia ryzyk, które przy odpowiednim postępowaniu dało się przewidzieć i minimalizować.
Podsumowanie. Wskazówki dla administratorów i przetwarzających dane wynikające z decyzji
- Środki techniczne i organizacyjne mające zapewniać realizację zasad ochrony danych oraz bezpieczeństwo danych muszą uwzględniać aktualny stan wiedzy technicznej. Stan wiedzy technicznej wynika między innymi z obowiązujących standardów i norm, w tym norm ISO. Projektując procedury postępowania z danymi osobowymi, należy uwzględniać treść aktualnych norm.
- Środki techniczne i organizacyjne powinny być okresowo weryfikowane m.in. z perspektywy tego, czy są (prawidłowo) stosowane i czy spełniają swoje zadanie.
- W przypadku zmian wdrażanych w systemach teleinformatycznych, w których przetwarzane są dane, należy mieć na uwadze ochronę danych osobowych w toku prowadzonych testów. Zalecane jest unikanie stosowania do testów rzeczywistych danych osobowych i wykorzystanie zamiast tego fikcyjnych danych testowych. Jeżeli już rzeczywiste dane są stosowane do celów testowych, powinny być one należycie chronione, w szczególności ochrona przed nieuprawnionym dostępem powinna być taka, jak stosowana w środowisku produkcyjnym. Jako dodatkowy środek bezpieczeństwa takich danych wskazywane jest dokonanie ich pseudonimizacji.
- Powierzenie przetwarzania danych innemu podmiotowi musi być poprzedzone weryfikacją podmiotu przetwarzającego. Sam fakt długoletniej współpracy (w tym współpracy przed wejściem w życie przepisów RODO), podczas której nie były wykrywane incydenty bezpieczeństwa, nie zastępuje takiej weryfikacji.
- Administrator powinien korzystać z możliwości przeprowadzania audytów w podmiocie przetwarzającym. Audyty nie tylko umożliwiają ocenę, czy podmiot przetwarzający (nadal) spełnia warunki umożliwiające powierzenie mu przetwarzania danych zgodnie z art. 28 ust. 1 RODO, ale też są traktowane przez Prezesa UODO jako jeden z ważnych środków bezpieczeństwa stosowanych przez administratora danych zgodnie z art. 32 ust. 1 RODO.
- Okoliczność, że administrator korzysta z usług profesjonalnego podmiotu przetwarzającego, nie zwalnia administratora z odpowiedzialności za realizację obowiązków związanych z zapewnieniem bezpieczeństwa danych osobowych.
- Szukasz szkoleń prawniczych? Sprawdź nasz kalendarz wydarzeń >>>
- Abonament szkoleniowy. Sprawdź ile zaoszczędzisz >>>