II SA/Wa 1266/24

II SA/Wa 1266/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-04-10
orzeczenie nieprawomocne
Data wpływu
2024-08-02
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Mateusz Rogala /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 2000
art. 104 par 1,
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U. 1997 nr 133 poz 883
art. 7 ust 1 i 2, art. 60, art. 90, .art 101, art. 103
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędzia WSA Joanna Kube, Asesor WSA Mateusz Rogala (spr.), , Protokolant specjalista Monika Gieroń, po rozpoznaniu na rozprawie w dniu 28 marca 2025 r. sprawy ze skargi A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzją z dnia [...] maja 2024 r. nr [...], wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 ze zm., powoływanej dalej jako k.p.a.), art. 7 ust. 1 i 2, art. 60, art. 90, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. d) oraz i), art. 83 ust. 1, 2 i 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 32 ust. 1 i 2 oraz art. 83 ust. 5 lit. a) w zw. z art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm., powoływanego dalej jako rozporządzenie nr 2016/679), Prezes Urzędu Ochrony Danych Osobowych, stwierdzając naruszenie przez A. S.A. z siedzibą w [...] przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia nr 2016/679, polegające na niewdrożeniu:
1) odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,
2) odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia,
skutkującym naruszeniem zasady integralności i poufności oraz zasady rozliczalności,
w pkt 1 decyzji nakazał A. S.A., w terminie 30 dni od dnia doręczenia decyzji, dostosowanie operacji przetwarzania do przepisów rozporządzenia nr 2016/679, poprzez:
a) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,
b) wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków mających zapewnić bezpieczeństwo przetwarzania;
zaś w pkt 2 decyzji nałożył na A. S.A. za naruszenie przepisów art. 5 ust. 1 lit. f) i ust. 2 oraz art. 32 ust. 1 i 2 rozporządzenia nr 2016/679 administracyjną karę pieniężną w wysokości 1.440.549 zł.
W uzasadnieniu swojego rozstrzygnięcia organ podał, że w dniu [...] stycznia 2021 r. oraz w dniu [...] lutego 2021 r. (uzupełnienie zgłoszenia), na podstawie art. 33 ust. 1 rozporządzenia nr 2016/679 zostało do niego skierowane przez A. S.A. zgłoszenie naruszenia ochrony danych osobowych. Z treści ww. zgłoszeń wynikało, że naruszenie ochrony danych osobowych polegało na uzyskaniu nieuprawnionego dostępu grupy hakerskiej o nazwie "[...]" do zasobów informatycznych (dysków sieciowych) spółki oraz na zainstalowaniu w systemie informatycznym spółki oprogramowania typu "ransomware", w wyniku czego doszło do utraty dostępności oraz poufności danych osobowych przetwarzanych przez spółkę w ww. systemie.
Organ podał, że utrata poufności danych polegała na rozpowszechnieniu przez grupę hakerską danych osobowych na stronie tzw. darknetu. Przedmiotowe naruszenie ochrony danych osobowych dotyczyło danych osobowych 21.569 osób, w tym pacjentów spółki oraz jej pracowników. Naruszeniu ochrony uległy dane następujących kategorii: nazwisko, imię, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwa użytkownika lub hasło, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, nazwisko rodowe matki, seria i numer dowodu osobistego oraz numer telefonu.
W związku z powyższym organ dokonał w spółce w dniach od [...] do [...] listopada
2021 r. czynności kontrolnych w celu kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych.
W toku kontroli ustalono, że pierwsza analiza ryzyka w spółce została sporządzona w dniu [...] maja 2018 r., a jej aktualizacja w dniu [...] marca 2019 r. Kolejna analiza ryzyka została wykonana w dniu [...] marca 2020 r., a następna w dniu [...] marca 2021 r. z uwagi na wystąpienie naruszenia ochrony danych osobowych. W wyniku analizy z dnia [...] marca 2021 r. zwiększono prawdopodobieństwo wystąpienia zdarzeń w postaci działania szkodliwego oprogramowania na sprzęcie służącym do przetwarzania danych oraz włamania do systemu informatycznego spółki. W następstwie dokonania zmian w rejestrze czynności przetwarzania danych, zmianie uległa również analiza ryzyka, którą przeprowadzono ponownie w dniu [...] sierpnia 2021 r.
Jak wynika z wyjaśnień udzielonych przez spółkę, działania podjęte przez nią po wystąpieniu naruszenia ochrony danych osobowych nie pozwoliły na jednoznaczne ustalenie przyczyny tego zdarzenia. Organ zauważył jednak, że w rezultacie analizy przeprowadzonej przez zewnętrznego eksperta informatycznego zaangażowanego przez spółkę, opisanej w dwóch raportach, zidentyfikowane zostały potencjalne wektory ataku "ransomware". Wśród nich wymieniono przełamanie zabezpieczeń urządzeń brzegowych (Fortigate) spowodowane brakiem aktualizacji oprogramowania tych urządzeń. Administrator zapewnił, co prawda, co do zasady wsparcie producenta urządzenia, które pozwalało na aktualizację oprogramowania, ale na skutek niedopatrzenia pracowników działu IT spółki, wymagana aktualizacja nie została faktycznie dokonana. Zarząd spółki, według jej wyjaśnień pozyskanych w toku kontroli, nie był świadomy ww. okoliczności, ponieważ nie została ona również ujawniona w trakcie audytu zewnętrznego, przeprowadzonego we wrześniu i październiku 2020 r., którego celem było przedłużenie ważności posiadanego przez spółkę certyfikatu ISO/IEC 27001:2013. W ww. raporcie wskazano jednak, że na dzień ataku hakerskiego istniał "exploit", czyli luka będąca rezultatem błędu w programowaniu (konfigurowaniu) systemu, pozwalająca na przejęcie urządzenia działającego w systemie teleinformatycznym spółki. Ponadto, jak wynika z ww. raportów, przełamanie zabezpieczeń urządzeń brzegowych (Fortigate) mogło być spowodowane dostępem administracyjnym SSH i https na zewnętrznych interfejsach. Kolejnym potencjalnym wektorem ataku był "azure hacking", czyli złamanie zabezpieczeń platformy chmurowej Microsoft Azure, poprzez błędną konfigurację domeny i stosowanie zbyt słabych haseł przez użytkowników systemu spółki. Nie wykluczono również ataku "phishingowego", polegającego na podszywaniu się osoby atakującej system teleinformatyczny pod inny podmiot (osobę) w celu wyłudzenia określonych informacji.
We wskazanych raportach zewnętrznego eksperta informatycznego za najbardziej prawdopodobny wektor ataku został uznany atak "phishingowy" oraz wykorzystanie luk bezpieczeństwa w urządzeniach brzegowych. Liczba stanowisk komputerowych objętych incydentem wyniosła 158, co stanowiło około 20% wszystkich stanowisk komputerowych spółki. Liczba serwerów objętych zdarzeniem wyniosła 29. Jak ustalono, trzy serwery z systemem Windows Server 2008 R2 nie miały aktualnego wsparcia technicznego producenta (wsparcie zakończyło się w styczniu 2020 r.). Serwery z zainstalowanym oprogramowaniem Windows Serwer 2008 R2 stanowiły kontrolery domeny pracujące w trybie read-only (serwery wspomagające).
Jak ustalono w toku kontroli, zgodnie z zasadami przyjętymi przez spółkę w przedmiocie minimalizacji danych oraz zapisywania ich w odpowiednio dedykowanych lokalizacjach ze względu na klasyfikację informacji oraz ich bezpieczeństwo, dane, które uległy naruszeniu, powinny być przechowywane w systemie przeznaczonym do przetwarzania danych dotyczących zdrowia, tj. AMMS. Zgodnie bowiem z postanowieniem ust. 5.2.9. obowiązującego w spółce "Podręcznika bezpieczeństwa", pracownicy obowiązani są zabezpieczać dane znajdujące się w systemie informatycznym ze względu na ich klasyfikację, poprzez ich zapisywanie we właściwej lokalizacji. Z uwagi na powyższe regulacje, dane osobowe związane ze świadczeniem przez spółkę usług zdrowotnych powinny były znajdować się wyłącznie w systemie AMMS. Umieszczenie i przechowywanie tych danych w zasobach sieciowych spółki (na dysku sieciowym) i w stacjach roboczych było zatem niezgodne z przyjętymi w spółce zasadami.
Z wyjaśnień uzyskanych od spółki podczas kontroli wynika ponadto, że w toku czynności ustalających zakres i rozmiar naruszenia ochrony danych osobowych, podjętych po jego wystąpieniu przez spółkę stwierdzono, że na stacjach roboczych oraz na dysku sieciowym spółki znajdowały się pliki HTML, zawierające dane osób testowanych na obecność COVID-19, korzystających z usług zdrowotnych spółki, tj. dane dotyczące zdrowia.
Organ podał, że w związku z naruszeniem spółka uruchomiła w dniu [...] kwietnia 2021 r. specjalną infolinię telefoniczną, w celu udzielania informacji osobom, których dane osobowe były objęte naruszeniem ochrony danych osobowych. Informacja o numerze infolinii była zawarta w treści zawiadomień o naruszeniu kierowanych przez spółkę do osób, których dane dotyczą. Ponadto, spółka zawarła w dniu [...] marca 2021 r. umowę z Biurem Informacji [...] S.A. z siedzibą w W. w celu umożliwienia zainteresowanym osobom, których dane dotyczą, zasięgnięcia informacji w zakresie wpisów w Biurze Informacji Kredytowej S.A. z siedzibą w Warszawie.
Biorąc pod uwagę wszystkie powyższe ustalenia, organ w dniu [...] października 2022 r. wszczął z urzędu postępowanie administracyjne, w zakresie możliwości naruszenia przez spółkę, jako administratora, obowiązków wynikających z przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia nr 2016/679.
W skierowanym do organu piśmie z dnia [...] listopada 2022 r. spółka podniosła, że w jej ocenie obowiązujące przepisy nie przewidują wprost zamkniętego, enumeratywnego katalogu środków technicznych i organizacyjnych, jakie powinien zastosować administrator, zaś ocena ich adekwatności wymaga dokładnej analizy technicznej oraz uwzględnienia obowiązujących standardów dla danego sektora lub gałęzi. Ponadto, powoływany przez organ raport zewnętrznego eksperta stanowi analizę informatyczną naruszenia, wskazującą potencjalne wektory ataku, ale nieprzesądzającą jednoznacznie, który z nich został faktycznie wykorzystany. Spółka podkreśliła, że spełnia wymogi normy ISO/IEC 27001:2013 i podlega regularnym audytom w jej zakresie.
W dalszej części uzasadnienia swojego rozstrzygnięcia organ przytoczył przepisy rozporządzenia nr 2016/679 statuujące obowiązki administratora, które miały zastosowanie w niniejszej sprawie.
W ocenie organu, z przepisów tych wynika, że podejście oparte na zarządzaniu ochroną danych osobowych od strony ryzyka stanowi fundamentalną koncepcję stojącą u podstaw rozporządzenia nr 2016/679. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, iż zastosowane rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka oraz uwzględniają charakter danej organizacji i wykorzystywanych mechanizmów przetwarzania danych. Konsekwencją takiej orientacji jest rezygnacja z narzucanych przez prawodawcę list wymagań dotyczących bezpieczeństwa na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa, a ich ustalenie powinno dokonać się w procesie dwuetapowym. W pierwszej kolejności konieczne jest zatem określenie przez administratora poziomu ryzyka naruszenia praw lub wolności osób fizycznych, jakie wiąże się z przetwarzaniem ich danych osobowych, następnie zaś ustalenie, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku oraz osiągnąć stan zgodności z przepisami rozporządzenia nr 2016/679.
Organ uznał, że w niniejszej sprawie spółka nieprawidłowo przeprowadziła analizę ryzyka z dnia [...] sierpnia 2021 r. (dokument o nazwie "Identyfikacja ryzyka"), tj. w rubrykach "Wykorzystanie systemów informatycznych bez wsparcia" oraz "Wystąpienie szkodliwego oprogramowania na sprzęcie przetwarzającym dane" (kategoria zagrożenia "IT") określono ryzyka związane z przetwarzaniem danych w systemach (zasobach) informatycznych spółki na zbyt niskim, nieadekwatnym poziomie w stosunku do stopnia zagrożenia. W pozycji zatytułowanej "Wykorzystanie systemów informatycznych bez wsparcia" (kategoria zagrożenia "IT") ww. analizy ryzyka, określono poziom ryzyka przy większości czynności i celów przetwarzania jako "małe" (przy czynności/celu przetwarzania "Dane badawcze-świadczenia weterynaryjne" jako "minimalne"). Ponadto, w punkcie "Wystąpienie szkodliwego oprogramowania na sprzęcie przetwarzającym dane" (kategoria zagrożenia "IT") określono poziom ryzyka dla wszystkich czynności i celów przetwarzania danych jako "średnie". Innymi słowy, zdaniem organu, spółka nie doszacowała w ww. dokumencie ryzyka związanego z korzystaniem przez nią z oprogramowania bez wsparcia producenta, tj. m.in. jego aktualizacji, oraz ryzyka związanego z błędną konfiguracją domeny. Ryzyko określono bowiem jako "średnie", przy czym uczyniono to pomimo braku w spółce szczegółowej procedury testowania, mierzenia i oceniania skuteczności środków zabezpieczających. Brak takiej procedury sam w sobie powodował niemożność regularnego testowania, mierzenia i oceniania środków służących ochronie danych (brak ww. regularności potwierdzono w toku kontroli), a w rezultacie uniemożliwiał prawidłowe sporządzenie analizy ryzyka z uwagi na niemożność pełnego określenia i oszacowania ryzyk związanych z przetwarzaniem danych osobowych przy wykorzystaniu systemów informatycznych. Ponadto, spółka nie uwzględniła w analizie ryzyka w należytym stopniu ryzyka wiążącego się z przetwarzaniem, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, tj. nie uwzględniła w rzeczonym dokumencie ryzyka dotyczącego ustawienia zbyt słabego hasła dla użytkowników systemu informatycznego spółki (hasło do Active Directory - nieuwzględnienie takiej kategorii w analizie), a także ryzyka związanego z nieprzeprowadzaniem regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (nie uwzględniono takiej kategorii w analizie).
Co prawda, w dokumencie "Identyfikacja ryzyka" z dnia [...] sierpnia 2021 r. uwzględniono zagrożenie nazwane ogólnie "Błędna konfiguracja urządzenia przetwarzającego dane" (poziom ryzyka tego zagrożenia spółka oceniła jako "średni"), jednak nie można, zdaniem organu, jednoznacznie uznać, że pod ww. pojęciem kryje się również kwestia ustawienia haseł dostępowych o odpowiedniej sile zabezpieczenia. Należy przy tym stwierdzić, że poziom ryzyka oszacowany przez spółkę jako "średni" (a nawet "mały" w odniesieniu do procesu przetwarzania "Pracownicy-promowanie wizerunku Administratora Danych oraz przedstawianie nowych pracowników") w odniesieniu do ww. zagrożenia, należy ocenić, podobnie jak w pozostałych ww. przypadkach, jako zbyt niski, biorąc pod uwagę stwierdzone w toku kontroli faktycznie zaistniałe błędy w ustawieniach sprzętu informatycznego spółki, a także doświadczenie wynikające z okoliczności wystąpienia naruszenia ochrony danych przed sporządzeniem analizy ryzyka z dnia [...] sierpnia 2021 r.
Organ zauważył również, że w pozycji zatytułowanej "Wykorzystanie systemów informatycznych bez wsparcia" (kategoria zagrożenia "IT") ww. analizy ryzyka, nie tylko określono poziom ryzyka przy większości czynności i celów przetwarzania jako "małe", ale dodatkowo oceniono, że w przypadku ww. ryzyka "działania nie [są] wymagane". Uczyniono tak pomimo tego, że wśród zidentyfikowanych potencjalnych wektorów ataku "ransomware", opisanych w sporządzonym na zlecenie spółki po wystąpieniu naruszenia ochrony danych dokumencie "Raport z analizy obecnego stanu bezpieczeństwa", wymieniono przełamanie zabezpieczeń urządzeń brzegowych (Fortigate) spowodowane brakiem aktualizacji oprogramowania tych urządzeń. Ponadto, zagrożenie pod nazwą "Wystąpienie szkodliwego oprogramowania na sprzęcie przetwarzającym dane" (kategoria zagrożenia "IT") określono poziom ryzyka dla wszystkich czynności i celów przetwarzania danych jako "średnie".
W związku z powyższym organ uznał, że określenie ryzyk związanych z przetwarzaniem danych w systemach (zasobach) informatycznych spółki (w tym tych bez wsparcia producenta) nastąpiło na poziomie nieadekwatnym do poziomu zagrożenia. Analiza ta nie została więc przeprowadzona w sposób, który dawałby spółce, jako administratorowi, podstawę do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Ocena ta jest uzasadniona także tym, że oszacowania i określenia ww. poziomów ryzyka dokonano już po wystąpieniu naruszenia ochrony danych osobowych trwającego od stycznia do lutego 2021 r., a więc zdarzenia, którego zaistnienie wyraźnie wskazywało na wysoki stopień wystąpienia ww. ryzyk, tym bardziej, że spółka nie testowała regularnie skuteczności zabezpieczeń używanych do przetwarzania danych osobowych systemów informatycznych, ani nie wdrożyła - wbrew wymogom art. 32 ust. 1 i 2 rozporządzenia nr 2016/679 - procedury takiego testowania, przez co pozbawiła się istotnego środka służącego do miarodajnej oceny poziomu ww. ryzyk. Założenie przez spółkę w takiej sytuacji, że ww. ryzyka są na poziomie małym lub średnim było, w ocenie organu, działaniem pozbawionym podstaw, tj. dokonanym w oparciu o pozorne i niezweryfikowane przesłanki.
Zdaniem organu, naruszenie przez spółkę wskazywanych wyżej przepisów rozporządzenia nr 2016/679 nastąpiło także z powodu nieustalenia przez spółkę po wystąpieniu naruszenia ochrony danych przyczyny tego incydentu, tym samym spółka nie była w stanie uwzględnić w analizie ryzyka z dnia [...] sierpnia 2021 r. czynników, które wywołały ww. zdarzenie oraz miarodajnie określić poziom związanego z nimi ryzyka, a powyższe spowodowało z kolei niekompletność dokumentu z dnia [...] sierpnia 2021 r. o nazwie "Identyfikacja ryzyka". Zdaniem organu, nawet jeżeli wśród czynników ryzyka w opracowanej przez spółkę analizie zostały hipotetycznie uwzględnione czynniki, które potencjalnie mogły spowodować wystąpienie naruszenia ochrony danych osobowych, to uwzględnienie to nastąpiło bez możliwości należytego oszacowania poziomów ryzyk. Brak świadomości spółki co do przyczyn incydentu musi bowiem prowadzić do sytuacji, w której analiza ryzyka nie oddaje w pełni rzeczywistych czynników ryzyka oraz jego stopnia. Tym samym analiza ryzyka pozbawiona została kluczowych informacji pozwalających spółce na świadome i planowe zminimalizowanie określonych ryzyk związanych z przetwarzaniem danych oraz na uniknięcie (lub co najmniej ograniczenie) wystąpienia naruszeń ochrony danych w przyszłości.
W ocenie organu, naruszenie przez spółkę art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia nr 2016/679 wyniknęło również z niewłaściwego przeprowadzenia analizy ryzyka przed dniem wystąpienia naruszenia ochrony danych (dokument "Identyfikacja ryzyka" z dnia [...] marca 2020 r.). Jak wynika bowiem z treści tego dokumentu, pod pozycjami określającymi zagrożenia o nazwach "Wystąpienie szkodliwego oprogramowania na sprzęcie przetwarzającym dane" oraz "Błędna konfiguracja urządzenia przetwarzającego dane" poziom ryzyka oszacowano jako "średnie". Określenie ryzyka na takim poziomie przed zaistnieniem naruszenia ochrony danych osobowych, organ uznał za nieadekwatne do rzeczywistego stanu rzeczy, biorąc pod uwagę fakt wystąpienia naruszenia ochrony danych osobowych, a także ustalenia kontroli co do przebiegu ww. incydentu oraz nieprawidłowości w zakresie zastosowanych przez spółkę środków organizacyjnych i technicznych mających służyć bezpieczeństwu przetwarzanych danych. Niezasługujące na aprobatę, zdaniem organu, jest również oszacowanie ryzyka jako "małe", a nawet "minimalne" w pozycji "Wykorzystanie systemów informatycznych bez wsparcia". Powyższe działanie należy uznać za błędne i niezgodne z przepisami rozporządzenia nr 2016/679, biorąc pod uwagę fakt, że wsparcie przez producenta oprogramowania służącego do przetwarzania danych uznaje się powszechnie w branży informatycznej za podstawową zasadę bezpieczeństwa. Powyższe znajduje swoje potwierdzenie także w obowiązujących normach technicznych, a także w wytycznych Europejskiej Rady Ochrony Danych (dalej: EROD).
Biorąc powyższe pod uwagę, organ stwierdził, że założenie przed wystąpieniem naruszenia ochrony danych "małego" poziomu ryzyka materializacji zagrożenia pod nazwą "Wykorzystanie systemów informatycznych bez wsparcia" (kategoria zagrożenia "IT") przy większości czynności i celów przetwarzania, było działaniem pozbawionym realnych, mających oparcie w stanie faktycznym, warunkach. Utrzymywanie i korzystanie z systemów informatycznych, które utraciły wsparcie producenta, oraz urządzeń wyposażonych w niewspierane oprogramowanie zawsze stanowi zagrożenie dla bezpieczeństwa przetwarzanych przy ich użyciu danych, bowiem w ten sposób administrator świadomie pozbawia się możliwości bieżącego reagowania na aktualne zagrożenia informatyczne, mające bezpośredni wpływ na bezpieczeństwo danych. Skoro zatem spółka jako administrator zdecydowała się na używanie takich urządzeń, a ponadto w wyniku przeprowadzonej analizy ryzyka zarówno przed, jak i po wystąpieniu naruszenia ochrony danych osobowych określiła poziom ryzyka tego zagrożenia jako "małe", organ uznał, że działanie takie, w szczególności wobec faktu wystąpienia ww. naruszenia, było niewspółmierne do poziomu zagrożenia oraz zasad bezpieczeństwa informatycznego, powszechnie stosowanych w dziedzinie informatyki.
W ocenie organu, wdrożenie przez spółkę środków technicznych przy jednoczesnym niedoszacowaniu ryzyka wiążącego się z przetwarzaniem danych przy użyciu błędnie skonfigurowanego systemu informatycznego, wyposażonego w oprogramowanie pozbawione wsparcia producenta i jego aktualizacji (a także nietestowanego, mierzonego i ocenianego regularnie pod względem skuteczności zabezpieczenia danych), nie dawało odpowiedniej gwarancji, że środki te będą odpowiednie, adekwatne i że w sposób skuteczny zminimalizują ryzyko naruszenia praw lub wolności osób, których dane dotyczą.
Wobec niewłaściwego przeprowadzenia analizy ryzyka wiążącego się z przetwarzaniem, w tym nieuwzględnienia w tym procesie w należytym stopniu ww. ryzyk związanych z korzystaniem z oprogramowania bez wsparcia producenta, jego aktualizacji, błędną konfiguracją domeny, ustawieniem zbyt słabego hasła dla użytkowników systemu informatycznego spółki (hasło do Active Directory) oraz nieprzeprowadzaniem regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, spółka nie była zdolna wykazać, że wdrażając środki techniczne i organizacyjne mające zapewnić zgodność przetwarzania z rozporządzeniem nr 2016/679, a także oceniając, czy stopień bezpieczeństwa danych osobowych jest odpowiedni, rzeczywiście uwzględniła kryteria opisane w art. 32 ust. 1 rozporządzenia nr 2016/679, w tym ryzyko naruszenia praw lub wolności osób fizycznych, oraz ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, zgodnie z obowiązkiem wynikającym z art. 32 ust. 2 rozporządzenia nr 2016/679.
Organ stwierdził następnie, że wykazane wyżej nieprawidłowe przeprowadzenie analizy ryzyka skutkowało niezastosowaniem odpowiednich środków technicznych, służących bezpieczeństwu przetwarzania danych osobowych. Zidentyfikowane podatności krytyczne, takie jak: brak aktualizacji oprogramowania urządzeń brzegowych, konfiguracja Active Directory niezgodna z najlepszymi praktykami stosowanymi na dzień kontroli w branży informatycznej i wytycznymi EROD, niewspierane systemy operacyjne na kontrolerach domeny i stacjach roboczych oraz zainstalowanie oprogramowania narzędziowego na kontrolerze domeny, zostały opisane w "Raporcie z analizy obecnego stanu bezpieczeństwa", sporządzonym w spółce już po wystąpieniu naruszenia ochrony danych osobowych. Organ uznał, że powyższe stanowi dowód na to, że spółka na dzień kontroli miała świadomość występowania ww. nieprawidłowości, a mimo to nie przedsięwzięła działań mających na celu ich wyeliminowanie. Ponadto, naruszenie wskazanych przepisów rozporządzenia nr 2016/679 wynikało z nieprzeprowadzania przez spółkę regularnie testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych. Organ podkreślił, że testowanie, mierzenie i ocenianie środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia nr 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także udokumentowanie tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia nr 2016/679). Spółka nie wykazała w toku kontroli ani w ramach postępowania administracyjnego, że przeprowadzała ww. czynności regularnie. Jedynym przejawem testowania, mierzenia i oceniania w zakresie środków technicznych stosowanych przez spółkę były czynności przeprowadzone w spółce, którymi poprzedzone zostało uzyskanie przez nią certyfikatu w zakresie normy ISO/IEC 27001:2013. Zdaniem organu, ww. czynności miały charakter incydentalny i jednorazowy, bowiem zostały przeprowadzone jedynie w związku z recertyfikacją. Przez regularność zaś należy rozumieć sytuację, w której ww. czynności byłyby przeprowadzane w określonych odstępach czasu, niepodlegających przypadkowości, ale determinowanych przez przyjęte przez spółkę zasady dokonywania testów, a więc także ich częstotliwości, opracowane z uwzględnieniem skali, charakteru i sposobu przetwarzania danych. Spółka nie opracowała ww. zasad ani nie przeprowadzała w praktyce testowania w regularny sposób.
Organ zwrócił również uwagę na inne stwierdzone uchybienia spółki w zakresie stosowanych środków technicznych (informatycznych), o których mowa w art. 24 ust. 1 i art. 32 ust. 1 rozporządzenia nr 2016/679, tj. włączony dostęp administracyjny SSH i https na zewnętrznych interfejsach urządzeń brzegowych, błędną konfigurację domeny i stosowanie zbyt słabych haseł przez użytkowników, co zwiększało możliwość nieuprawnionego pozyskania danych autoryzacyjnych (hasła) przez osoby trzecie. Minimalna długość hasła do Active Directory ustawiona przez spółkę jako administratora na poziomie tylko 7 znaków nie odpowiadała aktualnym praktykom stosowanym w branży informatycznej (standard na dzień kontroli wynosił 12 znaków).
W ocenie organu, administratorzy zobligowani są nie tylko do osiągnięcia zgodności z wytycznymi rozporządzenia nr 2016/679 poprzez jednorazowe wdrożenie technicznych i organizacyjnych środków bezpieczeństwa, ale także do zapewnienia ciągłości monitorowania skali zagrożeń oraz rozliczalności w zakresie poziomu i adekwatności wprowadzonych zabezpieczeń.
Organ wyjaśnił, że w toku postępowania wziął pod uwagę fakt uzyskania przez spółkę certyfikatu dotyczącego normy ISO/IEC 27001:2013, jednakże powyższe nie oznacza, że spółka spełniła wymagania rozporządzenia nr 2016/679, skoro nie przedstawiła dowodów na prawidłowe przeprowadzenie analizy ryzyka oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, wskazując jedynie na jednorazowe dokonanie tych procesów w czasie prowadzenia audytu recertyfikacji. Powyższe zaniechania z kolei doprowadziły do niewłaściwego doboru środków organizacyjnych i technicznych służących do zapewnienia bezpieczeństwa danych przetwarzanych przez spółkę.
Organ zauważył ponadto, że działania zmierzające do zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania spółka podjęła dopiero po wystąpieniu naruszenia ochrony danych osobowych, jakkolwiek w niewystarczającym stopniu. Administrator zobowiązany jest zaś do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych rozwiązań na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. W przedmiotowym stanie faktycznym organ uznał, że spółka nie wywiązywała się z ww. obowiązku.
Skoro regularne testowanie, mierzenie i ocenianie zastosowanych środków technicznych i organizacyjnych w spółce, w świetle art. 32 ust. 1 lit. d) rozporządzenia nr 2016/679, ma zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności podmiotów danych w wyniku ich przetwarzania, to sposób, forma, częstotliwość lub terminy przeprowadzania ww. czynności powinny być skonkretyzowane w treści stosownych procedur i stosownie do wyników uzyskanych w przeprowadzonej analizie ryzyka. Ukonkretnieniu powinny być też poddane takie kwestie, jak sposób raportowania ww. czynności, przechowywania raportów, a także podejmowane na podstawie rzeczonych raportów działania zaradcze.
Innymi słowy, hasłowe i ogólnikowe uregulowanie kwestii testowania, mierzenia i oceniania środków technicznych i organizacyjnych w zatytułowanym "Bezpieczeństwo infrastruktury teleinformatycznej" ust. 6.2.2 procedury o nazwie "Zarządzanie Systemem Informatycznym", bez uwzględnienia ww. kwestii szczegółowych, jest jedynie swego rodzaju ogólną deklaracją i zarazem powtórzeniem i tak obowiązującego spółkę art. 32 ust. 1 lit. d) rozporządzenia nr 2016/679. Jeżeli zatem wykonywanie ww. czynności ma być regularne i zarazem realnie wdrożone w działalności spółki, to wdrożenie to wymaga proceduralnej konkretyzacji i uszczegółowienia w opisie metod, sposobu czy częstotliwości dokonywania tych czynności. Takiego uszczegółowienia i konkretyzacji zapewniającej regularność ww. czynności brak jest w ww. procedurze spółki, co w rezultacie, w ocenie organu, stanowi naruszenie art. 32 ust. 1 lit. d) rozporządzenia nr 2016/679, tym bardziej, że spółka przetwarza dane na dużą skalę (co spółka potwierdziła w wyjaśnieniach), a w zakresie przetwarzanych danych znajdują się również dane podlegające szczególnej ochronie, o których mowa w art. 9 ust. 1 rozporządzenia nr 2016/679 (dotyczące zdrowia).
Podsumowując tę część rozważań, organ stwierdził, że niewłaściwe przeprowadzenie analizy ryzyka skutkujące doborem nieodpowiednich środków bezpieczeństwa oraz brak regularnego testowania, mierzenia i oceniania przez spółkę skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania wydatnie zwiększało ryzyko naruszenia praw lub wolności podmiotów danych, a ponadto stanowiło naruszenie przez spółkę spoczywających na niej obowiązków, wynikających z art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia nr 2016/679, a w konsekwencji również zasady integralności i poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia nr 2016/679. Wraz z naruszeniem zasady integralności i poufności nastąpiło również naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia nr 2016/679.
Organ podniósł, że wyjaśnienia spółki złożone w piśmie z dnia [...] listopada 2022 r. wskazują, iż podjęła ona działania naprawcze w związku z uchybieniami stwierdzonymi w toku kontroli. Przy czym działania te nie objęły wszystkich naruszeń przepisów rozporządzenia nr 2016/679 stwierdzonych w toku kontroli i będących przedmiotem postępowania w niniejszej sprawie.
Biorąc zatem pod uwagę, że spółka nadal przetwarza dane osobowe w szczególności bez opracowania i wdrożenia szczegółowej procedury odnoszącej się do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (a także faktycznie nie dokonując powyższych czynności), jak również, bez aktualizowania oprogramowania urządzeń brzegowych wykorzystywanych w systemie informatycznym spółki zgodnie z planem aktualizacji producenta oprogramowania, organ, na podstawie art. 58 ust. 2 lit. d) rozporządzenia nr 2016/679, nakazał jej wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych oraz wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków mających zapewnić bezpieczeństwo przetwarzania.
Odnosząc się do wniosków dowodowych złożonych przez spółkę w toku postępowania, organ podkreślił, że przedmiotem dowodów miały być okoliczności, które - w ocenie organu - bądź nie miały znaczenia dla sprawy, bądź żądanie przeprowadzenia dowodów dotyczyło okoliczności już stwierdzonych innymi dowodami lub wnioskowane dowody nie mogły przyczynić się do wyjaśnienia sprawy.
W dalszej części uzasadnienia zaskarżonej decyzji organ odniósł się szczegółowo do wskazanych w art. 83 ust. 2 rozporządzenia nr 2016/679 przesłanek wpływających na wymiar nałożonej administracyjnej kary pieniężnej.
W zakresie charakteru, wagi i czasu trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia nr 2016/679), organ stwierdził, że naruszenie przepisów oraz zasad dotyczących ochrony danych osobowych w związku z ich przetwarzaniem przez spółkę w ramach prowadzonej przez nią działalności gospodarczej w zakresie usług medycznych bez wdrożenia adekwatnych środków technicznych i organizacyjnych, w tym wspieranego przez jego producenta aktualizacjami oprogramowania systemowego urządzeń brzegowych (naruszenie art. 32 ust. 1 i ust. 2 rozporządzenia nr 2016/679), ma znaczną wagę, z uwagi na znaczną skalę przetwarzania danych przez spółkę oraz rodzaj wykonywanej przez nią działalności, a przez to także zakres przetwarzanych danych (dane szczególnych kategorii, w tym m.in. dane dotyczące zdrowia). Spółka świadczy na terenie Polski usługi lecznicze, m.in. z zakresu kardiochirurgii. Fakt ten determinuje zakres przetwarzanych przez nią danych, których ujawnienie może wyrządzać szczególne szkody osobom, których one dotyczą. Ponadto dane przetwarzane przez spółkę stanowią tajemnicę lekarską, co także ma wpływ na konieczność przyjęcia znacznego charakteru i wagi naruszenia.
W niniejszej sprawie brak jest dowodów wskazujących na to, że osoby (pacjenci, pracownicy spółki), do których danych uzyskały dostęp osoby trzecie, doznały szkody majątkowej, niemniej samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę), np. poprzez naruszenie ich dóbr osobistych, takich jak dobrostan psychiczny, prawo do prywatności, itp. Osoby fizyczne, których dane pozyskano w sposób nieuprawniony w wyniku naruszenia ochrony danych osobowych, mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją (dane dotyczące zdrowia) czy wreszcie - stratą finansową.
Organ stwierdził, że przetwarzanie danych z naruszeniem przepisów rozporządzenia nr 2016/679 odbywało od dnia rozpoczęcia stosowania przepisów rozporządzenia nr 2016/679, tj. od dnia 25 maja 2018 r., z uwagi na treść dokumentu "Identyfikacja ryzyka" sporządzonego na dzień [...] marca 2020 r. oraz dokumentu "Identyfikacja ryzyka" sporządzonego na dzień [...] maja 2018 r. z aktualizacją w dniu [...] marca 2019 r. (przy czym w związku z korzystaniem z systemu Windows Server 2008 R2 pomimo braku wsparcia technicznego producenta naruszenie przepisów miało miejsce od stycznia 2020 r.) i trwa nadal z uwagi na brak usunięcia wszystkich stwierdzonych w toku kontroli uchybień w zakresie stosowanych środków bezpieczeństwa.
Odnosząc się do przesłanki nieumyślnego charakteru naruszenia (art. 83 ust. 2 lit. b rozporządzenia nr 2016/679), organ podniósł, że z materiału dowodowego zebranego w toku kontroli oraz z wyjaśnień spółki wynika, iż spółka nie korzystała świadomie z zasobów informatycznych pozbawionych bieżącego wsparcia ich producentów, bowiem świadomości w ww. względzie nie mieli członkowie jej zarządu, pomimo że mieli ją pracownicy działu IT spółki. Zdaniem organu, członkowie zarządu spółki powinni byli jednak mieć świadomość powyższego, tak więc okoliczność braku wewnętrznej komunikacji pomiędzy pracownikami spółki a jej zarządem jest sama w sobie dodatkową okolicznością obciążającą spółkę w niniejszej sprawie, nie zaś usprawiedliwiającą jej postawę i zarazem łagodzącą. Powyższe zdaje się świadczyć o popełnionych błędach w zarządzaniu spółką, które przełożyły się na wskazane w decyzji naruszenia przepisów rozporządzenia nr 2016/679. Potencjalny wpływ na powyższy stan faktyczny mogła mieć także okoliczność braku stosownych, konkretnych postanowień proceduralnych, odnoszących się do kwestii regularnego testowania, mierzenia i oceniania skuteczności środków organizacyjnych i technicznych stosowanych w spółce celem zapewnienia należytej ochrony przetwarzanych przez nią danych. Spółka była świadoma, że w przypadku dopuszczenia przetwarzania danych osobowych o tak szerokim zakresie powinna zapewnić tym danym odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych i organizacyjnych, a więc w taki sposób, aby przetwarzanie to odbywało się zgodnie z zasadą integralności i poufności wyrażoną w art. 5 ust. 1 lit. f) rozporządzenia nr 2016/679.
Organ zauważył następnie, że przy podejmowaniu decyzji o nałożeniu i wysokości administracyjnej kary pieniężnej, jest zobowiązany do zwrócenia uwagi na wszelkie wcześniejsze naruszenia rozporządzenia nr 2016/679 (art. 83 ust. 2 lit. e). Organ powołał się na stwierdzone już we wcześniej wydawanych decyzjach administracyjnych naruszenie przez spółkę przepisów o ochronie danych osobowych, które wskazują na ogólnie lekceważące podejście spółki do kwestii ochrony danych, a zastosowane uprzednio wobec niej w ww. sprawach środki naprawcze, tj. udzielenie spółce przez Prezesa UODO upomnienia za naruszenie przepisu art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia nr 2016/679, w pełni uzasadniają wymierzenie w niniejszym postępowaniu sankcji finansowej, a także jej wymiar. Z uwagi na powyższe, organ uznał, że w przedmiotowej sprawie należy uznać, iż istnieją podstawy do traktowania przesłanki z art. 83 ust. 2 lit. e) rozporządzenia nr 2016/679 jako obciążającej.
Oceniając stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia nr 2016/679), organ podniósł, że spółka w toku kontroli udzielała kompletnych i konkretnych wyjaśnień w związku z przedmiotem kontroli oraz stwierdzonymi uchybieniami przepisom o ochronie danych osobowych, a nadto po kontroli przedsięwzięła działania i środki zmierzające do poprawy stanu ochrony przetwarzanych przez nią danych w związku ze stwierdzonymi w toku kontroli naruszeniami przepisów rozporządzenia nr 2016/679. Jednak działania naprawcze zostały przedsięwzięte nie w pełnym zakresie, tzn. spółka na dzień wydania decyzji w szczególności nie opracowała procedury testowania, mierzenia i oceniania skuteczności środków organizacyjnych i technicznych służących ochronie danych, ani faktycznie nie dokonywała ww. czynności w regularny sposób. Z powyższej przyczyny stopień współpracy spółki z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków organ ocenił jako nie w pełni zadowalający, a przez to stanowi on czynnik obciążający spółkę przy ustalaniu wysokości administracyjnej kary pieniężnej.
Poddając analizie kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia nr 2016/679), organ stwierdził, że wśród danych osobowych przetwarzanych przez spółkę, oprócz tzw. danych zwykłych, takich jak: imię, nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwa użytkownika lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego oraz numer telefonu, znalazły się również dane szczególnych kategorii, tj. dotyczące zdrowia, o których mowa w art. 9 ust. 1 rozporządzenia nr 2016/679.
Wobec powyższego, spółka, przetwarzając dane osobowe ww. kategorii powinna wykazać się co najmniej należytą, szczególną starannością w przestrzeganiu przepisów prawa o ochronie danych osobowych, bowiem wszelkiego rodzaju naruszenie poufności, integralności bądź dostępności ww. danych wiąże się dla ich podmiotów ze szczególnie wysokimi ryzykami naruszenia ich praw lub wolności, a także możliwością wyrządzenia im szkód. Spółka, niedoszacowując niektóre ww. ryzyka nie dołożyła tym samym należytej staranności w zakresie zapewnienia bezpieczeństwa tym danym.
Organ stwierdził następnie, że pozostałe przesłanki wskazane w art. 83 ust. 2 rozporządzenia nr 2016/679 wpłynęły łagodząco na wymiar nałożonej administracyjnej kary pieniężnej.
Zdaniem organu, wskazywana przez spółkę okoliczność wystąpienia naruszenia ochrony danych osobowych w czasie pandemii COVID-19 nie stanowi w niniejszej sprawie okoliczności łagodzącej z tego względu, że stwierdzone przez organ zaniedbania ze strony spółki, stanowiące zarazem naruszenie przepisów rozporządzenia nr 2016/679, nie miały żadnego związku z ww. pandemią, a stan naruszenia istniał już przed jej rozpoczęciem. Tak więc okoliczności pandemiczne nie mogły mieć wpływu na wszystkie zaniechania spółki w dziedzinie bezpieczeństwa danych osobowych. Znaczne zaangażowanie służb informatycznych spółki w różne działania związane z wybuchem pandemii nie jest więc usprawiedliwieniem z uwagi na stwierdzone nieprawidłowości, mające miejsce zarówno przed, jak i w trakcie trwania pandemii.
Uwzględniając wszystkie przedstawione wyżej okoliczności, organ uznał, że nałożenie administracyjnej kary pieniężnej na spółkę jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych spółce naruszeń. Zastosowanie wobec spółki jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia nr 2016/679, w szczególności zaś poprzestanie na upomnieniu, nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że spółka w przyszłości nie dopuści się kolejnych zaniedbań.
Odnosząc się do wysokości wymierzonej administracyjnej kary pieniężnej, organ wskazał, że w ustalonych okolicznościach sprawy, wobec stwierdzenia naruszenia kilku przepisów rozporządzenia nr 2016/679, tj. zasady integralności i poufności danych, wyrażonej w art. 5 ust. 1 lit. f), a odzwierciedlonej w postaci obowiązków określonych w art. 32 ust. 1 i 2, a w konsekwencji również art. 5 ust. 2, regulującego zasadę rozliczalności, zastosowanie znajdzie art. 83 ust. 4 lit. a) i ust. 5 lit. a) rozporządzenia nr 2016/679.
Organ wyjaśnił, że ustalając wysokość administracyjnej kary pieniężnej, zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022 i dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń. Wśród naruszonych przez spółkę przepisów rozporządzenia nr 2016/679 znajdują się przepisy art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia nr 2016/679 określające podstawowe zasady przetwarzania. Naruszenia tych przepisów należą - zgodnie z art. 83 ust. 5 lit. a) rozporządzenia - do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu wymiarów kar (z maksymalną wysokością do 20.000.000 EUR lub do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one więc in abstracto poważniejsze od innych (wskazanych w art. 83 ust. 4 rozporządzenia nr 2016/679) naruszeń. Organ podniósł, że ocenił stwierdzone w niniejszej sprawie naruszenia (w szczególności naruszenia podstawowych zasad przetwarzania) jako naruszenia o średnim poziomie powagi; dostosował kwotę wyjściową, odpowiadającą średniej powadze stwierdzonego naruszenia, do obrotu spółki jako miernika jej wielkości i siły gospodarczej i dokonał oceny wpływu na stwierdzone naruszenie pozostałych okoliczności wskazanych w art. 83 ust. 2 rozporządzenia nr 2016/679.
A. S.A. wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję, zaskarżając ją w całości. Spółka zarzuciła zaskarżonej decyzji naruszenie prawa materialnego, które miało istotny wpływ na wynik sprawy, tj.:
a) art. 32 w zw. z art. 24 ust. 1 i art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia nr 2016/679 polegające na ich niewłaściwym zastosowaniu i przyjęciu, że charakter i zakres środków technicznych i organizacyjnych, który został wdrożony przez skarżącą nie spełniały wymagań wskazanych art. 32, art. 24 ust. 1 i art. 5 ust. 1 lit. f) rozporządzenia nr 2016/679 w zakresie obowiązków administratora danych, w tym w zakresie zasady integralności i poufności danych w rozumieniu art. 5 ust. 1 lit. f rozporządzenia nr 2016/679 i spółka nie była w stanie wykazać, w rozumieniu zasady rozliczalności określonej w art. 5 ust. 2 rozporządzenia nr 2016/679, ich spełnienia na dzień wystąpienia incydentu, jak również na dzień wydania decyzji, w tym przez przyjęcie, że rzekome braki w zabezpieczeniach nie zostały uzupełnione przez spółkę, podczas gdy materiał dowodowy zgromadzony w sprawie, w tym wyjaśnienia pracowników spółki, wyraźnie wskazuje, że nie doszło do naruszenia integralności danych, a spółka podjęła szereg środków naprawczych bezpośrednio po incydencie i w okresie do wydania decyzji, które uzupełniły rzekome braki w zabezpieczeniach wykazane w raportach cyber forensic, przez co spółka realizowała obowiązki określone w art. 32, art. 24 ust. 1 i art. 5 ust. 1 lit. f) rozporządzenia nr 2016/679 należycie i była w stanie wykazać je zgodnie z art. 5 ust. 2 rozporządzenia nr 2016/679;
b) art. 32 w zw. z art. 24 ust. 1 i art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia nr 2016/679 polegające na ich niewłaściwym zastosowaniu i przyjęciu, że charakter i zakres środków technicznych i organizacyjnych, który został wdrożony przez skarżącą i występował na dzień wydania decyzji, nie spełnia wymagań wskazanych w art. 32 i art. 24 ust. 1 rozporządzenia nr 2016/679 w zakresie obowiązków administratora danych dotyczących regularności testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych i spółka nie jest w stanie wykazać takiej zgodności zgodnie z zasadą rozliczalności, a w konsekwencji stwierdzenie przez organ naruszenia ww. przepisów, w sytuacji, gdy ze zgromadzonego w sprawie materiału dowodowego, w tym z wyjaśnień i przekazanych przez skarżącą materiałów, wynika, że skarżąca od czasu przeprowadzenia działań naprawczych po incydencie już w 2021 r. prowadziła cykliczne, a więc regularne audyty bezpieczeństwa IT zgodnie z wymaganiami stawianymi przez art. 32 rozporządzenia nr 2016/679, przez co zakres naruszenia art. 32 w związku z art. 24 ust. 1 rozporządzenia nr 2016/679 został oceniony nieprawidłowo, a spółka była w stanie wykazać podjęte czynności zgodnie z art. 5 ust. 2 rozporządzenia nr 2016/679;
c) art. 32 w zw. z art. 24 ust. 1 i art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia nr 2016/679 polegające na ich niewłaściwym zastosowaniu i przyjęciu, że w świetle wskazanych w nich obowiązków administratora danych w zakresie stosowania odpowiednich zabezpieczeń i zasady rozliczalności skarżąca miała obowiązek jednoznacznego potwierdzenia przyczyny naruszenia i wdrożenia konkretnie względem niej odpowiednich środków naprawczych, a w konsekwencji stwierdzenie naruszenia art. 32 w zw. z art. 24 ust. 1 rozporządzenia nr 2016/679, w sytuacji gdy w przypadku cyberataków często niemożliwe jest następcze, jednoznaczne potwierdzenie takiej przyczyny, co nie wyklucza jednak możliwości przeprowadzenia stosownej oceny ryzyka przez administratora danych i wdrożenia adekwatnych środków naprawczych, co uczyniła skarżąca i w rezultacie nie doszło do naruszenia zasad określonych w ww. przepisach i skarżąca była w stanie to wykazać zgodnie z zasadą rozliczalności określoną w art. 5 ust. 2 rozporządzenia nr 2016/679;
d) art. 32 w zw. z art. 24 ust. 1 rozporządzenia nr 2016/679 polegające na ich niewłaściwym zastosowaniu i przyjęciu, że naruszenia zidentyfikowane przez organ, takie jak brak aktualizacji urządzeń, brak cyklicznego testowania czy też nieobowiązujące już wymogi w zakresie długości haseł, miały wpływ na cyberatak, a w konsekwencji stwierdzenie naruszenia art. 32 w zw. z art. 24 ust. 1 rozporządzenia nr 2016/679 w zakresie przyjęcia środków zabezpieczających stosowanych przez spółkę, podczas gdy interpretacja ta bez wykazania faktycznego związku i wpływu ww. naruszeń na możliwość przeprowadzenia cyberataku była błędna i nie uwzględniała całkowitego stopnia zgodności spółki z wymaganiami określonymi w art. 32 w zw. z art. 24 ust. 1 rozporządzenia nr 2016/679 i podjętych w tym zakresie działań spółki;
e) art. 32 ust. 1 i 2 w zw. z art. 5 ust. 1 lit. f) i ust. 2 rozporządzenia nr 2016/679 polegające na ich niewłaściwym zastosowaniu i przyjęciu, że w świetle wymogów nałożonych na administratorów danych w zakresie prawidłowej analizy ryzyka i możliwości jej wykazania, analizy ryzyka przeprowadzone przez spółkę zostały dokonane nieprawidłowo i nieadekwatnie do przesłanek faktycznych występujących w sprawie, które powinny zostać uwzględnione przez spółkę, podczas gdy analizy ryzyka przeprowadzone po incydencie zostały przeprowadzone zgodnie z przyjętą przez spółkę metodologią i uwzględnieniem dodatkowych przesłanek faktycznych w postaci środków naprawczych wdrożonych przez spółkę bezpośrednio po identyfikacji naruszenia, które powinny być wiadome organowi ze względu na informacje udzielone przez spółkę, przez co nie doszło do naruszenia wymogów określonych w art. 32 ust. 1 i 2 w zw. z art. 5 ust. 1 lit. f) rozporządzenia nr 2016/679 i spółka była w stanie to wykazać zgodnie z zasadą rozliczalności określoną w art. 5 ust. 2 rozporządzenia nr 2016/679;
f) art. 83 ust. 2 lit. a) rozporządzenia nr 2016/679 polegające na jego niewłaściwym zastosowaniu i przyjęciu, że w ocenie charakteru i czasu naruszenia należy założyć, że naruszenie trwa nadal na dzień wydania decyzji ze względu na brak usunięcia wszystkich stwierdzonych w toku kontroli uchybień w zakresie stosowanych środków bezpieczeństwa, podczas gdy spółka wdrożyła środki naprawcze bezpośrednio po zidentyfikowaniu naruszenia i na dzień wydania decyzji uchybienia w tym zakresie nie mają miejsca, przez co wskazana w ww. przepisie przesłanka została błędnie uznana za obciążającą dla spółki w zakresie wymiaru kary;
g) art. 83 ust. 2 lit. b) rozporządzenia nr 2016/679 przez jego obrazę i niezastosowanie, i przyjęcie, że kwestia przyczynienia się pracowników spółki, działających niezgodnie z obowiązującymi na moment incydentu procedurami, w tym w zakresie informowania zarządu spółki o zidentyfikowanych zagrożeniach i właściwej lokalizacji zapisywanych plików, do rozmiarów i skutków incydentu, podczas gdy obowiązek przestrzegania takich procedur zostały wyraźnie zaakceptowany przez właściwych pracowników w formie pisemnej, powinna wpływać obciążająco na wymiar kary, podczas gdy zasadne było uwzględnienie wyżej wymienionej przesłanki na korzyść spółki ze względu na dochowanie należytej staranności i brak umyślnego działania spółki na etapie ustalania wymiaru administracyjnej kary pieniężnej;
h) art. 83 ust. 2 lit. e) rozporządzenia nr 2016/679 polegające na jego niewłaściwym zastosowaniu i przyjęciu, że wcześniejsze decyzje organu wydane w stosunku do spółki mają charakter obciążający w zakresie wymiaru kary w przedmiotowej sprawie i świadczyły o lekceważącym podejściu spółki do ochrony danych oraz wcześniejszych naruszeniach właściwych przepisów, podczas gdy decyzje te dotyczyły tego samego stanu faktycznego i nie powinny być uwzględnianie jako czynnik obciążający spółkę, w tym także ze względu na toczące się postępowanie w tej samej sprawie w trakcie wydania wspomnianych decyzji oraz na brak możliwości wielokrotnego ukarania spółki za te same działania lub brak działań, co skutkowało naruszeniem przez organ zasady ne bis in idem w zakresie ustalania wymiaru kary;
i) art. 83 ust. 2 lit. f) rozporządzenia nr 2016/679 polegające na jego niewłaściwym zastosowaniu i przyjęciu, że spółka nie współpracowała z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych skutków w sposób należyty, w szczególności nie opracowała procedury testowania, mierzenia i oceniania skuteczności środków organizacyjnych i technicznych służących na dzień wydania decyzji, podczas gdy spółka wdrożyła tego rodzaju procedury przed dniem wydania decyzji, a ocena przesłanki współpracy z organem nadzorczym powinna być rozumiana szerzej i uwzględniać szereg dodatkowych działań spółki, w tym istotne nakłady poczynione przez spółkę w celu poprawy zabezpieczeń technicznych i organizacyjnych oraz działania spółki nakierowane na ograniczenie ryzyk dla podmiotów danych, które nie zostały uwzględnione przez organ, przez co stosowna przesłanka została niezasadnie uznana za obciążającą dla spółki, co stanowi naruszenie ww. przepisu;
j) art. 83 ust. 2 lit. g) rozporządzenia nr 2016/679 polegające na jego niewłaściwym zastosowaniu i przyjęciu, że kategorie danych osobowych, których dotyczyło naruszenie, w tym w szczególności nr PESEL, stanowią przesłankę obciążającą w ramach ustalania wymiaru kary dla spółki, podczas gdy kategoria ta nie mieści się w katalogu określonym w art. 9 rozporządzenia nr 2016/679 i w sprawie nie wykazano materialnego ryzyka kradzieży tożsamości dla podmiotów danych, przez co stosowna przesłanka została niezasadnie uznana za obciążającą dla spółki, co stanowi naruszenie ww. przepisu;
k) art. 83 ust. 3 oraz ust. 5 lit. a) rozporządzenia nr 2016/679 w zw. z art. 103 ustawy o ochronie danych osobowych w zakresie błędnego zastosowania dyrektyw miarkowania administracyjnych kar pieniężnych ze względu na przyjęcie wartości pieniężnych rażąco nieproporcjonalnych do potencjalnego stopnia naruszenia oraz dotychczasowej praktyki organu, podczas gdy w przedmiotowej sprawie istniały przesłanki do złagodzenia lub nawet odstąpienia od nałożenia kary pieniężnej na spółkę, w tym szeroko zakrojone działania naprawcze w zakresie środków technicznych i organizacyjnych, istotne nakłady poniesione przez spółkę oraz działania nakierowane na ograniczenie ryzyk dla podmiotów danych, które nie zostały uwzględnione przez organ, przez co doszło do naruszenia wskazanych w ww. przepisach dyrektyw wymiaru administracyjnej kary pieniężnej.
Skarżąca postawiła także zarzuty naruszenia przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj.:
a) art. 84 § 1 w zw. z art. 7, art. 77 § 1, art. 75 § 1, art. 80, art. 8 § 1 oraz 81a § 1 k.p.a. przez zaniechanie powołania biegłego w sprawie, podczas gdy organ nie dysponował wiadomościami specjalnymi niezbędnymi do ustalenia m.in. wszystkich technicznych aspektów cyberataku, stopnia i poziomu zabezpieczeń wykorzystywanych przez spółkę na dzień incydentu oraz wdrożonych po incydencie, możliwych przyczyn cyberataku oraz sposobu jego przeprowadzenia, co z kolei skutkowało pominięciem istotnych okoliczności faktycznych, niezbędnych dla prawidłowego ustalenia stanu faktycznego, a także do naruszenia przez organ reguł prowadzenia postępowania dowodowego, w tym zasady prawdy obiektywnej, zasady kompleksowej oceny materiału dowodowego i zasady aktywności dowodowej organu administracji publicznej, a w konsekwencji również do wydania decyzji w oparciu o wadliwie zgromadzony i oceniony materiał dowodowy i do nałożenia na spółkę niewspółmiernie wysokiej kary pieniężnej;
b) art. 7, art. 77 § 1, art. 75 § 1, art. 80, art. 8 § 1 oraz 81a § 1 k.p.a. przez zaniechanie dokładnego wyjaśnienia stanu faktycznego sprawy i prowadzenie postępowania wbrew regułom nakazującym wyczerpujące zebranie i rozpatrzenie materiału dowodowego oraz ocenę jego całokształtu, jak również wbrew zasadzie prowadzenia postępowania w sposób budzący zaufanie strony do organu, co przejawiało się w szczególności w bezpodstawnym pominięciu aktualnej na czas incydentu analizy ryzyka, tj. analizy ryzyka z dnia [...] marca 2021 r., która została wykonana na około miesiąc po incydencie, jak również pominięcie późniejszych analiz ryzyka cyklicznie dokonywanych przez spółkę, w tym analizy z dnia [...] listopada 2023 r., jak również pominięcie okoliczności faktycznych towarzyszących sporządzanym analizom ryzyka (takim jak wprowadzone po incydencie środki naprawcze, zmiany w rejestrze przetwarzania danych czy metodologia sporządzanych analiz ryzyka przyjęta przez skarżącą) i ograniczeniu postępowania wyjaśniającego w zakresie analiz ryzyka do samej treści analizy ryzyka z dnia [...] sierpnia 2021 r. (sporządzonej na kilka miesięcy po cyberataku i zastosowaniu odpowiednich środków naprawczych przez skarżącą) oraz z dnia [...] marca 2020 r. (sporządzonej na prawie rok przed cyberatakiem), co skutkowało wadliwymi ustaleniami organu w zakresie przeprowadzanych przez skarżącą ocen ryzyka, co w konsekwencji doprowadziło organ do błędnego uznania, że ze względu na nieadekwatne analizy ryzyka, skarżąca zastosowała niewystarczające środki organizacyjne i techniczne w celu zapewnienia bezpieczeństwa danych osobowych, także na dzień wydania decyzji, w sytuacji, gdy skarżąca adekwatnie oceniała stopień ryzyka do aktualnej sytuacji w spółce i stosowanych środków bezpieczeństwa, a co w konsekwencji doprowadziło organ do wydania decyzji na podstawie wadliwego i niepełnego materiału dowodowego oraz do wadliwego ustalenia wymiaru nałożonej kary pieniężnej;
c) art. 7, art. 77 § 1, art. 75 § 1, art. 80, art. 8 § 1 oraz 81a § 1 k.p.a. przez zaniechanie dokładnego wyjaśnienia stanu faktycznego sprawy i prowadzenie postępowania wbrew regułom nakazującym wyczerpujące zebranie i rozpatrzenie materiału dowodowego oraz ocenę jego całokształtu, jak również wbrew zasadzie prowadzenia postępowania w sposób budzący zaufanie strony do organu, co przejawiało się w szczególności w nieprzeprowadzeniu dowodów z zeznań wskazanych w skardze świadków na okoliczność prowadzonych analiz ryzyka, w tym ich treści, innych okoliczności faktycznych mogących mieć wpływ na ich treść (np. braku możliwości ustalenia jednoznacznej przyczyny cyberataku), ich metodologii oraz środków naprawczych podejmowanych przez skarżącą po cyberataku, które miały wpływ na stosowane przez skarżącą oceny ryzyka i ograniczeniu postępowania wyjaśniającego w zakresie analiz ryzyka do treści analiz ryzyka z dnia [...] marca 2020 r. oraz [...] sierpnia 2021 r. bez ustalenia dodatkowych okoliczności faktycznych mogących mieć wpływ na ich treść, takich jak metodologia czy podejmowane na bieżąco przez skarżącą zmiany w stosowanych środkach bezpieczeństwa (w tym zastosowane po cyberataku środki naprawcze), co skutkowało wadliwymi ustaleniami organu w zakresie przeprowadzanych przez skarżącą ocen ryzyka, co w konsekwencji doprowadziło organ do błędnego uznania, że ze względu na nieadekwatne analizy ryzyka, skarżąca zastosowała niewystarczające środki organizacyjne i techniczne celem zapewnienia bezpieczeństwa danych osobowych także na dzień wydania decyzji, w sytuacji, gdy skarżąca adekwatnie oceniała stopień ryzyka do aktualnej sytuacji w spółce i stosowanych środków bezpieczeństwa;
d) art. 7, art. 77 § 1, art. 75 § 1, art. 85 § 1, art. 80, art. 8 § 1, art. 81a § 1 k.p.a. przez zaniechanie dokładnego wyjaśnienia stanu faktycznego sprawy i prowadzenie postępowania wbrew regułom nakazującym wyczerpujące zebranie i rozpatrzenie materiału dowodowego oraz ocenę jego całokształtu, jak również wbrew zasadzie prowadzenia postępowania w sposób budzący zaufanie strony do organu, co przejawiało się w szczególności w nieprzeprowadzeniu dowodu z oględzin miejsca zdarzenia, tj. pomieszczeń budynków spółki, w których są przetwarzane dane osobowe, i sprzętu IT spółki (w tym stanowisk komputerowych), na których dokonano cyberataku, w tym komputerów użytkowanych przez pracowników spółki, a wykorzystanych do przeprowadzenia cyberataku, w tym także z udziałem odpowiedniego biegłego na okoliczność ustalenia w sposób jednoznaczny ewentualnych luk w zabezpieczeniach, które umożliwiły przeprowadzenie cyberataku (lub ustalenia, że nie da się ich ustalić w sposób jednoznaczny), a w konsekwencji środków naprawczych, jakie powinna podjąć spółka w celu ich wyeliminowania, co w konsekwencji doprowadziło organ do niewyczerpującego ustalenia stanu faktycznego w zakresie potencjalnych przyczyn cyberataku i adekwatności stosowanych przez skarżącą środków organizacyjnych i technicznych w celu zapewnienia bezpieczeństwa danych osobowych;
e) art. 7, art. 77 § 1, art. 75 § 1, art. 80, art. 8 § 1 oraz art. 81a § 1 k.p.a. przez zaniechanie dokładnego wyjaśnienia stanu faktycznego sprawy i prowadzenie postępowania wbrew regułom nakazującym wyczerpujące zebranie i rozpatrzenie materiału dowodowego oraz ocenę jego całokształtu, jak również wbrew zasadzie prowadzenia postępowania w sposób budzący zaufanie strony do organu, co przejawiało się w szczególności w nieprzeprowadzeniu szeregu dowodów wskazanych szczegółowo w skardze i niezebraniu w sposób wyczerpujący materiału dowodowego w niniejszej sprawie i ograniczeniu postępowania wyjaśniającego i oparcie ustaleń faktycznych przez organ w zakresie cyberataku i jego przyczyn do treści raportów sporządzonych przez M.C. przygotowanych na zlecenie skarżącej tj. "Raportu z analizy incydentu" oraz "Raportu z analizy obecnego stanu bezpieczeństwa" (pomimo uznania ich przez organ za niewyjaśniających w sposób jednoznaczny przyczyn cyberataku), a niepoczynienia jednocześnie przez organ własnych ustaleń w zakresie przyczyn zaistniałego cyberataku, w szczególności przeprowadzenia dowodu z opinii biegłego czy też oględzin miejsca zdarzenia, w tym sprzętu IT spółki, na którym dokonano cyberataku, co w konsekwencji doprowadziło organ do niewyczerpującego ustalenia stanu faktycznego w zakresie potencjalnych przyczyn cyberataku i adekwatności stosowanych przez skarżącą środków organizacyjnych i technicznych celem zapewnienia bezpieczeństwa danych osobowych, a także do błędnego ustalenia stanu faktycznego, a co z kolei mogło doprowadzić organ do nałożenia kary pieniężnej rażąco wygórowanej, w oparciu o wadliwie ustalone przesłanki;
f) art. 7, art. 77 § 1, art. 75 § 1, art. 85 § 1, art. 80, art. 8 § 1, art. 81a § 1 k.p.a. przez zaniechanie dokładnego wyjaśnienia stanu faktycznego sprawy i prowadzenie postępowania wbrew regułom nakazującym wyczerpujące zebranie i rozpatrzenie materiału dowodowego oraz ocenę jego całokształtu, jak również wbrew zasadzie prowadzenia postępowania w sposób budzący zaufanie strony do organu, co przejawiało się w szczególności przez zaniechanie sprawdzenia, jakie nakłady spółka przeznaczyła i jakie środki przedsięwzięła po cyberataku w celu zminimalizowania jego konsekwencji oraz ewentualnych luk i ryzyk jego ponowienia w przyszłości, co organ powinien był wziąć pod uwagę przy ustalaniu zachowania spółki w kontekście nałożonych na nią obowiązków zaradczych oraz wymiaru nałożonej kary, a czego w ogóle zaniechał, co skutkowało wydaniem decyzji w oparciu o niepełny stan faktyczny i w oparciu o wadliwie ustalone przesłanki wymiaru kary pieniężnej i zakresu niezbędnych do podjęcia środków naprawczych;
g) art. 8 k.p.a. przez odejście od zasady proporcjonalności w zakresie wymiaru nałożonej na skarżącą w punkcie 2 decyzji kary oraz odstąpienie przez organ od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym w zakresie wysokości nakładanych przez organ kar, co w konsekwencji doprowadziło organ do orzeczenia kary znacząco wygórowanej, biorąc pod uwagę okoliczności przedmiotowej sprawy, które powinny wpłynąć na odpowiednie ukształtowanie wymiaru kary, tj. nałożenie jej w niższym wymiarze, a także w stosunku do kar nakładanych przez organ w podobnych pod względem faktycznym i prawnym postępowaniach.
Mając na uwadze powyższe zarzuty, skarżąca wniosła o uchylenie zaskarżonej decyzji w całości, o zasądzenie kosztów postępowania oraz o wstrzymanie wykonania pkt 1 zaskarżonej decyzji.
W uzasadnieniu skargi skarżąca przedstawiła szczegółową argumentację na poparcie postawionych zarzutów.
W odpowiedzi na skargę organ wniósł o jej oddalenie w całości, odnosząc się szczegółowo do postawionych w skardze zarzutów i uznając je za bezzasadne.
Postanowieniem z dnia 25 września 2024 r. sygn. akt II SA/Wa 1266/24 Wojewódzki Sąd Administracyjny w Warszawie odmówił wstrzymania wykonania pkt 1 zaskarżonej decyzji.
W piśmie procesowym z dnia [...] października 2024 r. skarżąca, odnosząc się do stanowiska organu wyrażonego w odpowiedzi na skargę, podtrzymała swoje dotychczasowe stanowisko w sprawie.
Z kolei w piśmie procesowym z dnia [...] marca 2025 r. organ odpowiedział na replikę strony skarżącej i podtrzymał stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji oraz w odpowiedzi na skargę.
W załączniku do protokołu rozprawy z dnia 28 marca 2025 r. skarżąca, odpowiadając na argumentację organu przedstawioną w piśmie z dnia [...] marca 2025 r., podtrzymała swoje dotychczasowe stanowisko w sprawie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga nie zasługuje na uwzględnienie.
W pierwszej kolejności należy zauważyć, że w rozpoznawanej sprawie organ w zaskarżonej decyzji stwierdził, że doszło do naruszenia przez skarżącą spółkę przepisów o ochronie danych osobowych, tj. przede wszystkim obowiązków wynikających z art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia nr 2016/679, w związku z czym w pkt 1 decyzji nakazał spółce, w terminie 30 dni od dnia doręczenia decyzji, dostosowanie operacji przetwarzania do przepisów rozporządzenia nr 2016/679, zaś w pkt 2 nałożył na skarżącą spółkę administracyjną karę pieniężną.
W osnowie zaskarżonej decyzji organ w sposób precyzyjny sformułował, na czym polegały stwierdzone naruszenia. Otóż, po pierwsze organ uznał, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych; a po drugie organ uznał, że spółka nie wdrożyła odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, a te zaniechania spółki skutkowały naruszeniem zasady integralności i poufności oraz zasady rozliczalności.
W ocenie Sądu, organ prawidłowo przyjął, że tak opisane naruszenia przepisów rozporządzenia nr 2016/679 wystąpiły w rozpoznawanej sprawie.
Zgodnie z art. 24 ust. 1 rozporządzenia nr 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Z kolei w myśl art. 32 ust. 1 lit. d) rozporządzenia, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku w tym między innymi w stosownym przypadku regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Przy czym zgodnie z art. 32 ust. 2 rozporządzenia nr 2016/679, oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jak wynika z przywołanych przepisów, administrator danych osobowych jest zobowiązany wdrożyć środki techniczne i organizacyjne, które odpowiadają ustalonemu stopniowi ryzyka naruszenia praw i wolności osób fizycznych. Aby zatem przyjęte środki techniczne i organizacyjne były adekwatne, konieczne jest w pierwszej kolejności prawidłowe ustalenie przez administratora stopnia ryzyka.
W rozpoznawanej sprawie organ uznał, że po pierwsze, spółka w sposób nieprawidłowy (zbyt niski) oceniła występujący poziom ryzyka naruszenia praw i wolności osób fizycznych, a po drugie nie przeprowadzała regularnego testowania, mierzenia i oceniania istniejących rozwiązań. To zatem jedynie te naruszenia stały się przyczyną wydania zaskarżonej decyzji, a w szczególności nałożenia na spółkę administracyjnej kary pieniężnej.
W konsekwencji Sąd, kontrolując zaskarżoną decyzję, badał jedynie, czy w zakresie tych wyżej opisanych naruszeń organ prawidłowo ustalił stan faktyczny sprawy, a następnie właściwie zastosował odpowiednie przepisy prawa materialnego. Z tej przyczyny nie mogły odnieść zamierzonego rezultatu te zarzuty skargi, które dotyczyły w sposób bezpośredni ataku hakerskiego, który miał miejsce w styczniu 2021 r. (tj. w szczególności nieustalenia przyczyn tego ataku oraz podejmowanych przez spółkę działań mających na celu zminimalizowanie szkód będących jego następstwem). Sąd podkreśla bowiem, że organ w rozpoznawanej sprawie nie nałożył na spółkę kary za wystąpienie zdarzenia w postaci ataku hakerskiego, lecz za wyżej opisane nieprawidłowości w procesie przetwarzania danych osobowych, które wskutek tego incydentu zostały ujawnione. Organ w szczególności nie twierdził, by spółka była zobowiązana do ustalenia przyczyn tego ataku, lecz podkreślił, że niemożność ustalenia tych przyczyn wynikała m.in. z braku prowadzenia regularnego testowania, mierzenia i oceniania przyjętych środków technicznych i organizacyjnych, a także, że skutkowała ona nieprawidłowym ustaleniem stopnia ryzyka dla praw i wolności osób fizycznych.
Obydwa stwierdzone przez organ naruszenia są ze sobą funkcjonalnie powiązane. Brak przeprowadzenia regularnego testowania przyjętych rozwiązań skutkował niemożnością prawidłowego ustalenia występujących w spółce ryzyk, a to z kolei spowodowało niewdrożenie, odpowiednich dla realnie występującego ryzyka, środków technicznych i organizacyjnych. Brak możliwości ustalenia przyczyn ataku hakerskiego potwierdza niejako, że spółka nie miała wiedzy o występujących w procesach przetwarzania danych osobowych "słabych punktach", w których ryzyko utraty danych było szczególnie wysokie.
Zdaniem Sądu, skarżąca spółka nie podważyła skutecznie, zarówno w postępowaniu administracyjnym, jak i w postępowaniu przed sądem administracyjnym, okoliczności faktycznych leżących u podstaw rozstrzygnięcia organu.
Organ, nakładając na skarżącą administracyjną karę pieniężną, stwierdził, że dokonana przez skarżącą analiza poziomu ryzyka w sposób istotny zaniżyła występujące ryzyko co do szczegółowo wskazanych przez organ kategorii działań. Nie można w tym zakresie podzielić stanowiska skarżącej, że przyjęta analiza ryzyka była prawidłowa, skoro, co zostało niejako wykazane poprzez fakt wystąpienia zdarzenia w postaci ataku hakerskiego, ryzyko to było znacznie wyższe niż spółka to wskazywała, zaś tego znacznego poziomu ryzyka nie uwzględniła również w analizie ryzyka, która została sporządzona już po ataku hakerskim, tj. w analizie ryzyka z dnia [...] sierpnia 2021 r.
Nie można przy tym zgodzić się ze skarżącą, że jeśli analiza ryzyka została wykonana w zgodzie z przyjętą metodologią, to organ nie jest uprawniony do kwestionowania jej wyników. Prezes Urzędu Ochrony Danych Osobowych, jako organ nadzorczy w zakresie przestrzegania przepisów o ochronie danych osobowych, jest uprawniony i kompetentny do dokonania oceny przyjętego w analizie ryzyka stopnia ryzyka i może uznać, jak uczynił to w niniejszej sprawie, że efekt końcowy dokonanej przez spółkę analizy ryzyka pomija okoliczności istotne z punktu widzenia prawdopodobieństwa wystąpienia naruszenia, co skutkuje istotnym zaniżeniem występującego ryzyka. Tę ocenę organu Sąd rozpoznający niniejszą sprawę w całości podziela. Nie można zaakceptować bowiem przyjętej przez spółkę oceny, że w zakresie "Wykorzystania systemów informatycznych bez wsparcia" poziom ryzyka przy większości czynności i celów przetwarzania jest – jak zostało uznane przez spółkę: "mały" (a przy czynności/celu przetwarzania "Dane badawcze-świadczenia [...]" "minimalny"), zaś w zakresie "Wystąpienia szkodliwego oprogramowania na sprzęcie przetwarzającym dane" poziom ryzyka dla wszystkich czynności i celów przetwarzania danych jest "średni". W kontekście ataku hakerskiego, który miał miejsce w styczniu 2021 r. i który potwierdził, że poziom ryzyka w skarżącej spółce w omawianym zakresie był znaczny, należy przyjąć, że spółka nie doszacowała poziomu ryzyka dla praw i wolności osób fizycznych, co w konsekwencji spowodowało, że przyjęte środki techniczne i organizacyjne (wprawdzie adekwatne do przyjętego przez spółkę poziomu ryzyka) nie są odpowiednie dla rzeczywistego poziomu ryzyka, które występowało przed atakiem hakerskim, jak i występowało w dniu wydania zaskarżonej decyzji.
Odnosząc się do drugiego z postawionych spółce zarzutów, należy zwrócić uwagę, że na żadnym etapie postępowania, skarżąca nie twierdziła ani nie wykazywała, że prowadzi regularne testowanie, mierzenie i ocenianie przyjętych środków technicznych i organizacyjnych. Odwoływała się jedynie do przeprowadzonego audytu w związku z przedłużeniem ważności posiadanego przez spółkę certyfikatu ISO/IEC 27001:2013. Organ nie kwestionował, że taki audyt został w spółce przeprowadzony, jednak stał na stanowisku, że jego przeprowadzenie nie może zastąpić realizacji obowiązku regularnego testowania, mierzenia i oceniania wynikającego z art. 32 ust. 1 lit. d) rozporządzenia nr 2016/679. Tę ocenę organu Sąd w całości podziela.
Z akt administracyjnych nie wynika, by spółka tego rodzaju działania regularnie podejmowała, co w konsekwencji doprowadziło, do niezastosowania przez spółkę odpowiednich środków technicznych i organizacyjnych odpowiadających ustalonemu prawidłowo poziomowi ryzyka dla praw i wolności osób fizycznych. Sam fakt zawarcia w dokumentach spółki wskazań co do konieczności prowadzenia regularnych testów nie oznacza, że tego rodzaju testy były prowadzone, a skarżącą takiej okoliczności nie wykazała. Wbrew twierdzeniom skarżącej, ze zgromadzonego w toku postępowania materiału dowodowego, w tym również z obszernych wyjaśnień skarżącej oraz ustaleń dokonanych w toku kontroli, nie wynika, by skarżąca do dnia wydania zaskarżonej decyzji rozpoczęła regularne testowanie, mierzenie i ocenianie przyjętych środków technicznych i organizacyjnych.
Trudno równocześnie zarzucać organowi, że na tę okoliczność nie przeprowadził wystarczająco wnikliwie postępowania dowodowego, skoro to skarżąca, jako podmiot mający podejmować określone działania, jako jedyna może wykazać, że działania takie – w postaci regularnego testowania, mierzenia i oceniania, zostały podjęte. Postawione w skardze zarzuty naruszenia przepisów postępowania w tym zakresie są zatem niezasadne.
Zarówno analizy ryzyka przedłożone przez skarżącą spółkę w toku postępowania administracyjnego oraz inne dokumenty dotyczące polityki przetwarzania danych osobowych w spółce nie potwierdziły, aby przed wydaniem zaskarżonej decyzji stwierdzone naruszenia (w precyzyjnie określonym przez organ zakresie) zostały usunięte. Należy przy tym podkreślić, że dołączony do skargi dokument, stanowiący analizę ryzyka opatrzoną datą [...] listopada 2023 r. nie został przez spółkę przedłożony organowi przed wydaniem zaskarżonej decyzji, pomimo tego, że spółka brała przez cały czas trwania postępowania aktywny w nim udział. Pomimo poinformowania przez organ w piśmie z dnia [...] listopada 2023 r. (k. 1041 akt administracyjnych), że zostały zebrane wszystkie dokumenty niezbędne do wydania decyzji w sprawie, spółka nie przedłożyła nowej analizy ryzyka. Powyższe uniemożliwiło organowi odniesienie się do treści tego dokumentu. Powyższa okoliczność pozostaje bez istotnego wpływu na wynik sprawy, bowiem podstawą wydania zaskarżonej decyzji były stwierdzone w toku postępowania nieprawidłowości, których wystąpienie – jak wyżej wskazano – znalazło swoje potwierdzenie w zgromadzonym materiale dowodowym.
Należy podkreślić również, że organ nie kwestionował, iż spółka podjęła pewne działania w związku z wykryciem naruszenia danych, które zmierzały do zminimalizowania ryzyka kolejnych naruszeń. Powyższe nie zmienia jednak faktu, że opisane w zaskarżonej decyzji naruszenia przepisów rozporządzenia nr 2016/679 wystąpiły, a także że spółka na dzień wydania zaskarżonej decyzji nie dokonała właściwej (tj. odpowiadającej rzeczywistości) oceny poziomu ryzyka, a także nie podjęła regularnego testowania, mierzenia i oceniania skuteczności stosowanych środków technicznych i organizacyjnych.
W związku z powyższym nie można również zarzucać organowi, że nie przeprowadził wnioskowanych przez skarżącą środków dowodowych, w tym w szczególności z opinii biegłych, zeznań świadków oraz oględzin miejsca, skoro okoliczności, na które dowody te miały być przeprowadzone, albo nie były sporne, albo nie miały bezpośredniego związku z naruszeniami będącymi przedmiotem postępowania.
Dodatkowo należy wskazać, że jak podkreśla się w orzecznictwie sądów administracyjnych, Prezes Urzędu Ochrony Danych Osobowych jest organem administracji specjalnej, co oznacza, iż dysponuje on zasobami kadrowymi wyspecjalizowanymi w zakresie powierzonych mu zadań i kompetencji. Te okoliczności, które dla zwykłego obywatela stanowią zakres wiedzy specjalistycznej, z punktu widzenia organu załatwiane są jednak bez konieczności sięgania do pomocy biegłych z danej dziedziny, gdyż zatrudnia on urzędników mogących na podstawie własnej wiedzy specjalistycznej ocenić je w ramach urzędu. Materialny zakres zastosowania rozporządzenia nr 2016/679 wynikający z art. 2 ust. 1 wyraźnie wskazuje, że jego przepisy dotyczą przetwarzania danych osobowych w sposób zautomatyzowany. Jest zatem oczywistym, iż organ zatrudnia specjalistów z zakresu informatyki i dziedzin wiedzy z nią powiązanych (por. wyrok Naczelnego Sądu Administracyjnego z dnia 20 marca 2025 r. sygn. akt III OSK 210/22, dostępny w internetowej bazie orzeczeń sądów administracyjnych).
Biorąc pod uwagę powyższe okoliczności, Sąd ocenił, że w sprawie organ prawidłowo ustalił, iż doszło do wskazanych wyżej naruszeń przepisów rozporządzenia nr 2016/679, za które to naruszenia wymierzył karę adekwatną, uwzględniając prawidłowo okoliczności wskazane w art. 83 ust. 2 rozporządzenia nr 2016/679, a także – biorąc pod uwagę, że spółka w dalszym ciągu pozostawała w stanie naruszenia ww. obowiązków – organ zasadnie nałożył na nią nakaz dostosowania operacji do przepisów rozporządzenia.
Odnosząc się do postawionego w skardze zarzutu nieprawidłowej oceny przez organ przesłanki przyczynienia się strony do stwierdzonego naruszenia, należy zauważyć, że w związku z charakterem tych naruszeń, tj. brakiem wprowadzenia regularnego testowania, mierzenia i oceniania przyjętych środków technicznych i organizacyjnych oraz zaniżoną oceną występującego ryzyka dla praw i wolności osób fizycznych, nie sposób przypisać odpowiedzialności za te naruszenia innym podmiotom niż sama spółka. Nie wynikały one z błędów podległych pracowników, o których spółka nie miała wiedzy, lecz były skutkiem systemowych nieprawidłowości w zakresie realizacji obowiązków wynikających z art. 24 ust. 1 i art. 32 ust. 1 i 2 rozporządzenia nr 2016/679. Wskazany zarzut nie jest zatem zasadny.
Podobnie należy ocenić zarzut dotyczący niezasadnego wzięcia przez organ pod uwagę wcześniejszych decyzji związanych z naruszeniem przez spółkę przepisów o ochronie danych osobowych. Powołane przez organ decyzje nie dotyczyły tego samego naruszenia (tj. naruszenia wskazanego w osnowie zaskarżonej decyzji), były jedynie powiązane z niniejszą sprawą w ten sposób, że dotyczyły ataku hakerskiego z 2021 r. Powyższe nie oznacza, że organ nie był uprawniony do wzięcia ich pod uwagę przy ustaleniu wymiaru nałożonej administracyjnej kary pieniężnej i uznaniu, że stanowią one okoliczność obciążającą.
Na uwzględnienie nie zasługuje również zarzut dotyczący niezasadnej oceny przez organ kategorii danych podlegających naruszeniu. Jak wynika z akt sprawy, doszło do naruszenia poufności następujących danych: nazwisko, imię, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwa użytkownika lub hasło, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, nazwisko rodowe matki, seria i numer dowodu osobistego oraz numer telefonu. Nie sposób zatem uznać, jak czyni to skarżąca, że organ nieprawidłowo przyjął, że zakres danych będących przedmiotem naruszenia stanowi okoliczność obciążającą, tym bardziej jeśli wziąć pod uwagę – niekwestionowany przez skarżącą – fakt, że wśród danych, których dotyczyły stwierdzone naruszenia, znajdują się dane szczególnie wrażliwe wskazane w art. 9 ust. 1 rozporządzenia nr 2016/679, tj. dotyczące stanu zdrowia.
Zdaniem Sądu, organ prawidłowo ocenił zatem wszystkie wskazane w art. 83 ust. 2 rozporządzenia nr 2016/679 przesłanki mające wpływ na wymiar kary, a także określił jej wysokość w sposób proporcjonalny do stwierdzonego naruszenia, stosując właściwie metodykę przyjętą przez EROD w Wytycznych 04/2022 i wymierzył karę w granicach określonych w art. 83 ust. 5 rozporządzenia nr 2016/679. Nie można przy tym – jak czyni to skarżąca – skutecznie zarzucać organowi odejście w zakresie wymiaru kary od ustalonej praktyki, bowiem – co oczywiste – każda sprawa jest rozpatrywana przez organ indywidualnie, z uwzględnieniem charakteru naruszenia, a także wszystkich przesłanek wskazywanych w art. 83 rozporządzenia nr 2016/679.
Z powyższych przyczyn Sąd przyjął, że zaskarżona decyzja nie narusza zarówno przepisów prawa procesowego, jak i materialnego w stopniu uzasadniającym jej uchylenie, co skutkowało w konsekwencji oddaleniem skargi.
Biorąc wszystkie powyższe okoliczności pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935 ze zm.), orzekł jak w sentencji.