eWatchers.org

UODO - Décision n° DKN 5130.2559.2020 du 9 décembre 2021 concernant l’Univervité de VARSOVIE

Texte original extrait du site www.uodo.gov.pl.
89 lignes (7 363 mots)

DECYZJA

DKN.5130.2559.2020

Na podstawie art. 104 § l i art. 105 § l ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.) w związku z art. 7 ust. 1, art. 60, art. 102 ust. 1 pkt 1) i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h) oraz art. 58 ust. 2 lit. i) w związku z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 34 ust. 1 , a także art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Politechnikę Warszawską z siedzibą w Warszawie przy Placu Politechniki 1, 00-661 Warszawa, Prezes Urzędu Ochrony Danych Osobowych

1) stwierdzając naruszenie przez Politechnikę Warszawską z siedzibą w Warszawie przy Placu Politechniki 1, 00-661 Warszawa, przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej „rozporządzeniem 2016/679”, polegające na niezrealizowaniu obowiązków ciążących na administratorze, wynikających z rozporządzenia 2016/679, poprzez:

a) niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, brak regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym o nazwie […], a tym samym niewłaściwe uwzględnienie ryzyka związanego z przetwarzaniem danych osobowych w ww. systemie,

b) brak uwzględnienia ryzyka związanego z przetwarzaniem w aplikacji […] haseł użytkowników w postaci funkcji skrótu, która nie daje dostatecznej gwarancji bezpieczeństwa, co w przypadku niezastosowania innych środków technicznych i organizacyjnych mających na celu zapewnienie bezpiecznego przetwarzania, zgodnie z przepisami rozporządzenia 2016/679, stanowi o narażeniu osób, których dane dotyczą, na zwiększenie ryzyka naruszenia praw lub wolności osób fizycznych w razie zaistnienia naruszenia poufności przetwarzanych danych,

c) brak analizy zasadności 4-tygodniowego przechowywania logów (dzienników zdarzeń) maszyny wirtualnej, na której znajdował się system […] oraz brak analizy zasadności braku szczegółowego dziennika zdarzeń w aplikacji […], co przesądza o niewdrożeniu odpowiednich środków technicznych i organizacyjnych, zapewniających utrzymanie zdolności do szybkiego i skutecznego stwierdzenia wystąpienia wszelkich naruszeń aby zapewnić możliwość podjęcia stosownych działań,

nakłada na Politechnikę Warszawską z siedzibą w Warszawie przy Placu Politechniki 1, za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, administracyjną karę pieniężną w wysokości 45 000 PLN (czterdzieści pięć tysięcy złotych);

2) w pozostałym zakresie postępowanie umarza.

Uzasadnienie

W dniu […] maja 2020 r. Politechnika Warszawska (zwana dalej także: „Uczelnią” lub „Administratorem”) zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych (zwanemu dalej także: „Prezesem UODO” lub „organem nadzorczym”) naruszenie ochrony danych osobowych, które zostało zarejestrowane pod sygnaturą DKN.5130.2559.2020. Zgłoszenie zostało uzupełnione przez Uczelnię […] maja 2020 r. W zgłoszeniu naruszenia wskazano, że […] maja 2020 r. nieznana i nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej Uczelni bazy danych, zawierającej dane osobowe studentów i wykładowców studiów […], z lat 2008 – 2020, a także 169 kandydatów na studia na rok akademicki 2019/2020 (łącznie 5013 osób).

Kategorie danych, których dotyczy naruszenie, obejmują: imię i nazwisko, imiona rodziców, data urodzenia, adres zamieszkania lub pobytu, nr PESEL, adres e-mail, nazwa użytkownika i/lub hasło, nazwisko rodowe matki, seria i nr dowodu osobistego oraz nr telefonu.

W celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, administrator powiadomił m.in. odpowiednie organy ścigania oraz zabezpieczył i odseparował od sieci wewnętrznej Uczelni zasoby informatyczne, będące przedmiotem naruszenia. Stwierdzając wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, poinformował za pomocą poczty elektronicznej […] i […] maja 2020 r. wszystkie osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, zgodnie z art. 34 rozporządzenia 2016/679 (treść zawiadomienia stanowi załącznik do zgłoszenia wstępnego). Ponadto administrator wskazał, że podjął również inne działania informacyjne, takie jak komunikat na stronie internetowej Uczelni oraz dedykowana podstrona z listą najczęściej zadawanych pytań i odpowiedzi.

Pismem z […] maja 2020 r. Prezes Urzędu Ochrony Danych Osobowych zawiadomił Politechnikę Warszawską o wszczęciu postępowania administracyjnego, którego przedmiotem jest możliwość naruszenia przez Uczelnię, jako administratora danych, obowiązków wynikających z przepisów rozporządzenia 2016/679 w zakresie obowiązków wynikających z art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz art. 34 ust. 1 i 3. Ww. postępowanie administracyjne, pismem z dnia […] lipca 2021 r., zostało rozszerzone również o możliwość naruszenia przez Uczelnię, jako administratora danych, obowiązków wynikających z przepisów ww. rozporządzenia w zakresie, o którym mowa w art. 5 ust. 2.

W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych pismami z: […] maja, […] lipca, […] września 2020 r., […] stycznia oraz […] lipca 2021 r., wezwał Uczelnię do złożenia wyjaśnień. Na podstawie wyjaśnień złożonych przez Uczelnię w pismach z: […] czerwca, […] lipca, […] września 2020 r., […] stycznia 2021 r. oraz […] lipca 2021 r., organ nadzorczy ustalił następujący stan faktyczny:

- Jednostka organizacyjna Uczelni, tj. […], dalej też […], w celu realizacji swoich zadań wykorzystuje system informatyczny o nazwie […] (zwany dalej […]), w ramach którego funkcjonuje aplikacja – […] (zwana dalej także […]), funkcjonująca od około 10 lat i wykorzystywana przez studentów do zapisywania się na przedmioty oraz uzyskiwania wglądu w historię studiowania i rozliczenia opłat, a także w celu sporządzania zaświadczeń, statystyk i innych dokumentów, do których zobowiązana jest Uczelnia. W ramach tego systemu wykładowcy mogli umieszczać pliki związane z prowadzonym przedmiotem.

- Aplikacja […] została od podstaw stworzona przez pracowników Uczelni, gdyż żadne z rozwiązań oferowanych na rynku, nie było w stanie sprostać potrzebom […].

- Aplikacja […] była na bieżąco modyfikowana w zależności od aktualnych potrzeb Administratora. Docelowo funkcjonalności systemu były stopniowo przenoszone do systemu […], tj. […].

- Obok aplikacji […], w ramach systemu […], funkcjonowała równolegle aplikacja […]. Obie korzystały z dostępu do […], w której znajdowały się dane osobowe, będące przedmiotem naruszenia.

- […] stycznia 2020 r. (według oznaczenia metadanych pliku) nieuprawniona osoba trzecia, dysponując danymi uwierzytelniającymi, wykorzystała funkcjonalność umieszczania plików w aplikacji […] przez osobę mającą uprawnienia wykładowcy (wyjaśnienia z dnia […] czerwca 2020 r. wraz z załącznikami oraz wyjaśnienia z dnia […] stycznia 2021 r.) i dokonała umieszczenia pliku typu backdoor w katalogu aplikacji […], przeznaczonym do przechowywania plików przez wykładowców. W intencji twórców aplikacji […] możliwość zapisywania do tego katalogu powinna być ograniczona tylko do zalogowanych użytkowników o statusie wykładowcy.

- Nieuprawniona osoba dane do logowania w aplikacji […] pozyskała za pośrednictwem systemu […] (prawdopodobnie […], użytkownik stosował prawdopodobnie te same dane do logowania w różnych systemach).

- […] kwietnia 2020 r. (według oznaczenia metadanych pliku) dokonano umieszczenia drugiego pliku typu backdoor w katalogu aplikacji […]. Administrator wskazał, że nie odnaleziono śladu wgrania złośliwego pliku za pośrednictwem aplikacji […].

- […] maja 2020 r. (według oznaczenia logów serwera) dokonano nieautoryzowanego pobrania danych osobowych za pomocą pliku umieszczonego […] kwietnia 2020 r. Według autora raportu wstępnej analizy powłamaniowej, plik ten został prawdopodobnie umieszczony za pomocą funkcjonalności dostarczonej przez plik umieszczony na serwerze […] stycznia 2020 r. Logi serwera stanowią załącznik nr 1 do pisma z […] lipca 2020 r. Raport z wstępnej analizy powłamaniowej z […] maja 2020 r. stanowi załącznik nr 2 do pisma z […] czerwca 2020 r.

- […] maja 2020 r. redakcja […] skierowała do Uczelni wiadomość e-mail dotyczącą przedmiotowego naruszenia.

- […] maja 2020 r. po powzięciu informacji o potencjalnym naruszeniu Uczelnia odłączyła od sieci publicznej serwer z […]. W wyniku stwierdzenia naruszenia administrator podjął decyzję o całkowitym wyłączeniu systemu z użytku.

- […] maja 2020 r. również redakcja […] poinformowała Uczelnię o naruszeniu, ze wskazaniem adresu pliku SQL będącego bazą danych systemu […], zajmującego 2,8 GB.

- […] maja 2020 r. Uczelnia zleciła podmiotowi zewnętrznemu dokonanie analizy powłamaniowej (analiza stanowi załącznik nr 2 do pisma z […] czerwca 2020 r.).

- Z informacji wskazanych w raporcie z wstępnej analizy powłamaniowej wynika, iż logi dzienników systemowych usuwane były po upływie 4 tygodni. Również sama aplikacja […] nie posiadała szczegółowego dziennika zdarzeń.

- Hasła w aplikacji […] były przechowywane pod postacią skrótu MD5 bez dodatkowych rozwiązań, a jego złożoność wymagała 8 znaków, jedną dużą literę i znak specjalny. Administrator wskazał, że od grudnia 2019 r. trwały prace nad implementacją nowego systemu logowania oraz sposobu przechowywania haseł, jednakże nie zostały zakończone oraz wdrożone (wyjaśnienia z […] czerwca 2020 r. oraz […] lipca 2020 r.).

- Uczelnia nie wykonywała testów penetracyjnych aplikacji […], pozwalających na wykrycie podatności systemu na ataki z sieci publicznej (wyjaśnienia administratora z dnia […] stycznia 2021 r.).

- W ramach regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych Uczelnia wskazała, że do wyszukiwania podatności aplikacji i systemów dostępnych z zewnątrz, wykorzystuje […] (wyjaśnienia administratora z […] czerwca i […] września 2020 r.).

- W opinii administratora zabezpieczenia były adekwatne do ryzyka, a scenariusz działania sprawcy wykroczył poza schemat przyjęty w ocenie ryzyka. Uczelnia nie przeprowadzała formalnego audytu kodu źródłowego aplikacji […] oraz nie wykonała formalnej oceny ryzyka dla tej aplikacji. Oświadczyła, że podczas tworzenia, wdrażania i eksploatacji systemu rewizji dokonywali jego autorzy (osoby zatrudnione na umowę o pracę w Politechnice Warszawskiej), a w dalszym okresie eksploatacji pracownicy działu IT […]. Rzetelność tych rewizji Administrator uzasadnił wiedzą i doświadczeniem autorów oraz analizą dotychczasowych doniesień branżowych o podatnościach i atakach informatycznych (wyjaśnienia administratora z […] lipca 2020 r. i […] września 2020 r.).

- Oprogramowanie wykorzystywane do funkcjonowania infrastruktury informatycznej Politechniki Warszawskiej jest aktualne oraz na bieżąco aktualizowane. W chwili zaistnienia naruszenia aplikacja […] funkcjonowała w wersji […], na dzień […] września 2020 r. podniesiona została do najnowszej wersji […] (wyjaśnienia z […] czerwca i […] września 2020 r.).

- W strukturze Politechniki Warszawskiej, przed zaistnieniem naruszenia, funkcjonowała […] oraz […], stanowiące załącznik do Zarządzenia nr […] Rektora Politechniki Warszawskiej z dnia […] maja 2018 r. (dokumenty stanowią załącznik do pisma z […] lipca 2021 r.).

- W strukturze Politechniki Warszawskiej funkcjonuje obecnie […] oraz […], stanowiące załącznik do Zarządzenia nr […]Rektora Politechniki Warszawskiej z dnia […] lipca 2020 r. (dokumenty stanowią załącznik do pisma z […] lipca 2020 r.).

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Zgodnie z brzmieniem art. 24 ust. 1 rozporządzenia 2016/679 uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny proporcjonalności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże. Jednocześnie wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych – zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, zgodnie z którą dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Stosownie do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Zgodnie z treścią art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Art. 32 ust. 1 rozporządzenia 2016/679 stanowi, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych, uwzględniając przy tym kryteria wskazane w art. 32 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Zgodnie z art. 32 ust. 2 rozporządzenia 2016/679, oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Mając na uwadze fakt, iż naruszenie ochrony danych osobowych dotyczyło funkcjonowania zabezpieczeń w systemie informatycznym, w piśmie z […] maja 2020 r. (oraz w formie pytań doprecyzowujących w pismach z […] lipca 2020 r., […] września 2020 r. i […] stycznia 2021 r.), Prezes UODO zwrócił się do Uczelni o wskazanie i przedstawienie stosownych dowodów, czy a jeśli tak, to kiedy i w jaki sposób, Administrator dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, w systemach informatycznych, których naruszenie dotyczy. W szczególności, czy wykonywał testy penetracyjne aplikacji […], czy dokonywał oceny ryzyka oraz identyfikował zagrożenia związane z możliwością nieuprawnionego uzyskania dostępu do środowiska informatycznego, a jeżeli tak, to kiedy i jakie środki obniżające przyjęte ryzyko zastosował, w jaki sposób dokonuje monitorowania oraz przeglądu tego ryzyka. W wyjaśnieniach z dnia […] czerwca 2020 r., […] lipca 2020 r., […] września 2020 r. i […] stycznia 2021 r. Uczelnia wskazała, że nie wykonywała testów penetracyjnych pozwalających na znalezienie podatności na ataki z sieci publicznej. Wskazała, że systemy te są skanowane pod względem podatności na zagrożenia za pomocą rozwiązań […] i […], jednakże nie wskazała kiedy dokonuje takiego skanowania, nie przedstawiła stosownych dowodów potwierdzających jego przeprowadzanie, wykrytych podatności i sposobów postępowania z nimi. Uczelnia na żadnym etapie postępowania administracyjnego nie przedstawiła stosownych dowodów, które można byłoby uznać za wystarczające do wykazania spełnienia obowiązków, wynikających z art. 32 ust. 1 i 2 rozporządzenia 2016/679. Administrator poprzestał jedynie na oświadczeniu, iż nie dokonywał formalnej oceny ryzyka, identyfikował zagrożenia związane z nieuprawnionym uzyskaniem dostępu do środowisk informatycznych „(…) na drodze zbierania informacji od jednostek uczelni”. Ponadto wykorzystywał ww. narzędzia oraz „(…) wzajemne rewizje kodu źródłowego systemu […] między jego autorami” a w dalszym okresie eksploatacji pracowników działu IT […], których kompetencje były weryfikowane „[…] w ramach procedur rekrutacyjnych a następnie w codziennej pracy przez ich przełożonych”. W ocenie Administratora takie działania nie wymagały dokonywania formalnego audytu kodu źródłowego systemu […].

W ocenie organu nadzorczego taki sposób działania administratora nie zapewniał należytej kontroli nad procesem przetwarzania danych w ww. systemie, a w konsekwencji identyfikowania ryzyk naruszenia praw lub wolności osób fizycznych.

Analizując powyższe wyjaśnienia i zgromadzony materiał dowodowy, należy podkreślić, że zgodnie z § […], stanowiącej załącznik nr […] do Zarządzenia nr […] Rektora Politechniki Warszawskiej, zapewnienie bezpieczeństwa danych osobowych jest oparte na ciągłym doskonaleniu, którego podstawą jest coroczne przeprowadzanie analizy ryzyka w zakresie zapewnienia bezpieczeństwa danych osobowych. Z kolei zgodnie z § […], stanowiących załącznik nr […] do ww. Zarządzenia, analizy ryzyk dokonuje osoba lub zespół osób wyznaczonych odpowiednio przez administratora. Po zakończeniu procesu analizy i parafowaniu przez Inspektora ochrony danych, wyniki zatwierdza Administrator. Analiza ryzyka, zgodnie z ww. dokumentem, składa się w szczególności z szacowania skutków, szacowania prawdopodobieństwa incydentu oraz określenia poziomu ryzyka. Metoda ta zobowiązuje również do uprzedniej identyfikacji zagrożeń. Analiza powyższych dokumentów pozwala stwierdzić, iż brak przeprowadzania przez administratora formalnej oceny ryzyka, stanowił nie tylko naruszenie przepisów rozporządzenia 2016/679, ale również wewnętrznych regulacji, służących zapewnieniu prawidłowego i bezpiecznego przetwarzania danych osobowych w organizacji. Należy przy tym podkreślić, iż zasady zawarte w ww. dokumentacji, obowiązującej zgodnie z Zarządzeniem […] Rektora Politechniki Warszawskiej od dnia […] maja 2018 r., wynikały wprost z rozporządzenia 2016/679, a w szczególności z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 rozporządzenia 2016/679. Dlatego też ograniczenie się wyłącznie do zastosowania mechanizmów dostarczanych przez dedykowane rozwiązania dostępne na rynku […] i doraźny przegląd kodu aplikacji należy uznać za niewystarczające.

Takie rozumienie obowiązków nałożonych na administratora znajduje potwierdzenie również w wyroku Wojewódzkiego Sądu Administracyjnego z 3 września 2020 r. II SA/Wa 2559/19. Sąd orzekł w nim, że „Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.
Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.”

W piśmie z dnia […] maja 2020 r. Prezes UODO zwrócił się do Uczelni o wskazanie działań, jakie administrator podjął w celu oceny przyczyn niewykrycia niepożądanych działań ingerujących w poufność danych, które miały miejsce w styczniu i kwietniu 2020 r. W wyjaśnieniach z […] czerwca 2020 r. Administrator wskazał, że „[s]cenariusz działania sprawcy wykroczył poza schemat przyjęty w ocenie ryzyka”. Mimo tak formułowanych tez, Administrator na żadnym etapie postępowania nie przedstawił żadnych dowodów mających uzasadnić adekwatność stosowanych zabezpieczeń do ryzyka. Opisał jedynie zabezpieczenia infrastruktury informatycznej, które w jego ocenie były najlepsze w stosunku do oczekiwań, doświadczeń i jego możliwości finansowych, a nie w kontekście ryzyk dla danych przetwarzanych w ramach procesu objętego naruszeniem.

Zdaniem Prezesa UODO, działania te nie były zatem adekwatne do wszystkich zagrożeń i ryzyk związanych z możliwością uzyskania nieuprawnionego dostępu do danych przetwarzanych w systemie […]. Mając na uwadze ustalony stan faktyczny, w ocenie Prezesa UODO Administrator nie dokonał analizy ryzyka, a tym samym nie zastosował się do obowiązku z art. 32 ust. 2 w związku z art. 5 ust. 2 rozporządzenia 2016/679, tj. nie wykazał w należyty sposób, czy stopień bezpieczeństwa jest adekwatny do ryzyka wiążącego się z niezgodnym z prawem, nieuprawnionym dostępem do danych osobowych. Ponownie należy podkreślić, iż Administrator w swoich wyjaśnieniach wskazał jedynie na zakup wysokiej klasy urządzenia brzegowego wraz z kompletem licencji rozszerzających możliwości urządzenia w zakresie monitorowania i zabezpieczania dostępu z zewnątrz. Wskazał również na stosowanie rozwiązania antywirusowego oraz regularne aktualizacje. W ocenie Prezesa UODO, wdrożenie przez administratora ww. środków technicznych, bez dokonania uprzedniej analizy ryzyka dla danych przetwarzanych w ramach procesu objętego naruszeniem, nie dawało na żadnym etapie przetwarzania danych gwarancji, iż środki te będą adekwatne i w sposób skuteczny zminimalizują dostatecznie ryzyko nieuprawnionego dostępu osób trzecich do danych przetwarzanych w systemie […].

Stanowisko Prezesa UODO znajduje uzasadnienie w wyroku z 26 sierpnia 2020 r. (sygn. II SA/Wa 2826/19) Wojewódzkiego Sądu Administracyjnego w Warszawie, który orzekł m.in., że art. 32 rozporządzenia 2016/679 „(…) nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością.” Ponadto Sąd podkreślił również, że „[p]rzyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka.”.

Jak sama Uczelnia wskazała, ww. środki okazały się nieskuteczne w przypadku zastosowanego złośliwego narzędzia (plik typu backdoor), które nieuprawnionej osobie umożliwiło uzyskanie dostępu do danych osobowych. Ponadto, w piśmie z […] stycznia 2021 r., Uczelnia wskazała, że prawdopodobnie dane logowania użyte do umieszczenia plików typu backdoor, pozyskano z systemu […], wykorzystywanego do wewnętrznej wymiany kodów oprogramowania tworzonego przez pracowników, doktorantów oraz wybranych studentów. Powyższe wyjaśnienia, jak i ustalony stan faktyczny bezsprzecznie, w ocenie Prezesa UODO, wskazują, że administrator skupił swoją uwagę na zagrożeniach związanych z funkcjonowaniem infrastruktury informatycznej, a nie związanych z funkcjonowaniem aplikacji stworzonej przez pracowników Uczelni. Dotyczy to w szczególności obszaru funkcjonalności umożliwiającej wgrywanie plików, która z punktu widzenia bezpieczeństwa systemów informatycznych i dobrych praktyk, jest funkcjonalnością krytyczną. Ma to szczególne znaczenie w przypadku świadomości, że pliki mogą pochodzić z niezaufanych źródeł. W interesie każdego administratora jest weryfikacja, czy taka funkcjonalność jest odpowiednio zabezpieczona chociażby przed możliwością manipulowania ścieżkami, pod którymi zostaną zapisane, a same pliki są odpowiednio walidowane pod kątem zagrożeń dla przetwarzanych danych osobowych.

Weryfikacja takich funkcjonalności i identyfikacja zagrożeń wynikająca z podatności, które funkcjonalność ta może zawierać, powinna być przeprowadzana zarówno na etapie projektowania, zgodnie z art. 25 ust. 1 rozporządzenia 2016/679, oraz każdorazowo w przypadku jej modyfikacji, co jest spełnieniem obowiązków, o których mowa w ww. artykule, a także w art. 24 ust. 1, art. 32 ust. 1 lit. b) i d) czy art. 32 ust. 2 rozporządzenia 2016/679.

Art. 32 ust. 1 lit. d) rozporządzenia 2016/679 zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania, uwzględniając m.in. kontekst przetwarzania, stan wiedzy technicznej, czy ryzyko naruszenia praw lub wolności osób fizycznych. Uwzględnianie kontekstu przetwarzania, w każdej organizacji powinno wiązać się z identyfikowaniem zagrożeń o charakterze wewnętrznym, jak i zewnętrznym.

Administrator dokonując analizy ryzyka dla danych przetwarzanych w systemie informatycznym, zwłaszcza dostępnym z sieci publicznej, powinien w szczególności i z należytą starannością identyfikować zagrożenia, uwzględniając przy tym chociażby takie okoliczności jak zakres przetwarzanych danych, liczbę użytkowników aplikacji, charakter ich uprawnień oraz uwarunkowania środowiska informatycznego, w którym aplikacja funkcjonuje, jak również potencjalne możliwości wpływu osób trzecich, które w sposób nieuprawniony uzyskują dostęp do aplikacji i mogą wpłynąć na poufność, integralność i dostępność przetwarzanych danych osobowych. Mając na uwadze autorski charakter aplikacji […], w ocenie Prezesa UODO, nieprzeprowadzenie formalnej analizy ryzyka, która wiązałaby się z koniecznością przeprowadzenia testu bezpieczeństwa mającego na celu wykrycie wszystkich podatności aplikacji, przyczyniła się do naruszenia, co potwierdzają również rekomendacje zawarte w Raporcie ze wstępnej analizy powłamaniowej. Stanowi to naruszenie zasady określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, tj. zasady poufności i integralności, której odzwierciedleniem są obowiązki określone w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 oraz art. 32 ust. 2 rozporządzenia 2016/679.

Nie można bowiem uzasadniać wskazywanych zabezpieczeń jako adekwatnych do ryzyka, wskazując na scenariusz działania sprawcy wykraczający poza schemat przyjęty w ocenie ryzyka, nie przedstawiając ku temu żadnych dowodów (analiza ryzyka). Trudno mówić o przyjmowaniu pewnych założeń dotyczących zagrożeń, nie przeprowadzając pełnego formalnego audytu systemu, w tym testów penetracyjnych, nie mając tym samym świadomości, jakie możliwości ma osoba uzyskująca nieuprawniony dostęp do systemu informatycznego. Należy wyraźnie podkreślić, że analizując ryzyko, w przyjmowanych scenariuszach (wektorach potencjalnego ataku), należy mieć świadomość, jakie realne możliwości ma atakujący, uwzględniając m.in. metody socjotechniczne, stan wiedzy technicznej, fizyczne aspekty bezpieczeństwa, w tym bezpieczeństwa teleinformatycznego, przy czym wspomnianego atakującego należy rozpatrywać zarówno z punktu widzenia osoby nieznającej organizacji administratora oraz jej infrastruktury informatycznej, jak również osoby, która wiedzę tę posiada.

Ww. brak świadomości zagrożeń płynących z niezidentyfikowanych podatności systemu […] sprawił, iż dopiero po zaistnieniu naruszeniu i rekomendacji z przeprowadzonej Analizy powłamaniowej Administrator zdecydował o „[…] nierozwijaniu i wyłączeniu systemu z użytku” (wyjaśnienia z […] września 2020 r.). Mając na uwadze około 10 – letni okres funkcjonowania aplikacji […] i wyjaśnienia Administratora dotyczące sposobu jej utrzymania należy stwierdzić, że dbałość o ochronę danych przetwarzanych za pomocą tej aplikacji miała charakter doraźny, a obowiązki wynikające z rozporządzenia 2016/679, w tym okres przejściowy na dostosowanie tego obszaru do nowych przepisów o ochronie danych osobowych, nie były impulsem do pełnej weryfikacji bezpieczeństwa i identyfikacji podatności.

Wyjaśniając kwestie dotyczące zabezpieczenia haseł w aplikacji […] Administrator wskazał, że hasła były przechowywane pod postacią skrótu MD5 bez soli, tj. dodatkowego losowego parametru funkcji szyfrowania, a ich złożoność ograniczała się do […]. Uczelnia wskazała, że trwały prace nad implementacją nowego sposobu przechowywania haseł, lecz nie zostały zakończone i wdrożone.

Prezes UODO wskazuje, że stosowanie funkcji skrótu (inaczej też: haszowanie) w stosunku do haseł przechowywanych w systemach teleinformatycznych jest jednym z najczęściej spotykanych środków mających zapewnić poufność hasła i ograniczyć jego znajomość wyłącznie do osoby, która się nim posługuje. Ogranicza się w ten sposób negatywne konsekwencje związane z potencjalnym ryzykiem wykorzystania takiego hasła przez osobę, która w sposób nieuprawniony uzyskuje do niego dostęp. Osoba, która zna poświadczenia użytkownika dotyczące konkretnej usługi, może uzyskać swobodny dostęp do jego konta. Należy zwrócić uwagę, że w przedmiotowej sprawie taka sytuacja mogłaby doprowadzić np. do oszustwa dotyczącego tożsamości. Ponadto, użytkownik mógł używać takiej samej nazwy użytkownika i hasła w innych serwisach.

Mimo, że zastosowanie funkcji skrótu nie eliminuje całkowicie prawdopodobieństwa, że osoba nieuprawniona odwróci ten proces i uzyska treść hasła, jego odpowiednie wykonanie powoduje, że ataki polegające na łamaniu haseł okazują się czasochłonne, a nawet niepraktyczne. Celem takiego procesu jest m.in. uzyskanie odpowiedniego czasu na podjęcie działań zaradczych zarówno przez administratora, jak i osobę, której dane dotyczą, zwłaszcza w przypadkach, kiedy administrator nie stwierdzi naruszenia ochrony danych osobowych w czasie zbliżonym do jego faktycznego zaistnienia. Dlatego decydując się na takie rozwiązanie administrator powinien ocenić, czy rzeczywiście spełni swoją rolę. Zastosowanie funkcji skrótu opartej na algorytmie MD5 (bez dodatkowych technik zabezpieczających) oraz ograniczenie złożoności zabezpieczanego w ten sposób hasła, do […], w ocenie Prezesa UODO stanowi niewystarczający środek techniczny, co stanowi o naruszeniu art. 32 ust. 1 rozporządzenia 2016/679. Słabość algorytmu MD5 jest powszechnie znana, a jego stosowanie w obecnych systemach teleinformatycznych niezalecane. Dodatkowo, mimo stosowania złożoności hasła w ww. zakresie, zastosowany algorytm wpływa na obniżenie czasochłonności uzyskania pierwotnej treści hasła.

Zdaniem Prezesa UODO istotnym więc jest by administrator w ramach realizacji obowiązków wynikających z rozporządzenia 2016/679 dokonywał cyklicznej weryfikacji, czy w używanych rozwiązaniach technicznych i organizacyjnych nie stwierdzono słabości mogących wpłynąć na ryzyko naruszenia praw lub wolności osób, których dane dotyczą. Wytyczne w tym zakresie wydaje m.in. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa ENISA np. „Algorithms, key size and parameters report 2014” (dostępne na stronie https://www.enisa.europa.eu/publications/algorithms-key-size-and-parameters-report-2014). Brak takiej weryfikacji przesądza o naruszeniu przez Uczelnię art. 25 ust. 1 rozporządzenia 2016/569. Należy podkreślić, że koncepcja wynikająca z tego przepisu opiera się na proaktywnym i prewencyjnym podejściu administratora polegającym na zapewnianiu bezpieczeństwa danym osobowym na każdym etapie. Przyjęcie takich rozwiązań przez unijnego prawodawcę ma na celu wzmocnienie zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, tak by zapewnić przetwarzanym danym niezbędne, odpowiadające ryzykom związanym z ich przetwarzaniem, bezpieczeństwo. Brak działań administratora w tym zakresie stanowi również o naruszeniu art. 24 ust. 1, art. 32 ust. 1 lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679 poprzez brak uwzględnienia ryzyka związanego z przetwarzaniem haseł użytkowników w postaci funkcji skrótu, której słabość jest powszechnie znana, co w przypadku niezastosowania innych środków technicznych i organizacyjnych mających na celu zapewnienie bezpiecznego przetwarzania, zgodnie z ww. przepisami rozporządzenia 2016/679, stanowi o narażeniu osób, których dane dotyczą, na zwiększenie ryzyka naruszenia praw lub wolności osób fizycznych w razie zaistnienia naruszenia poufności przetwarzanych danych.

W nawiązaniu do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, Uczelnia obok wskazania, że stosuje oprogramowanie do wyszukiwania podatności aplikacji na zagrożenia, wskazała, iż nie dokonuje analizy wewnętrznych logów systemu (wyjaśnienia z […] września 2020 r.). Jak wynika z wyjaśnień administratora oraz ze Wstępnej analizy powłamaniowej, konfiguracja serwera, na którym znajdowała się aplikacja […], powodowała kasowanie logów (dzienników systemowych) po 4 tygodniach, a analiza zasadności przyjęcia takiego okresu przechowywania logów nie była wykonywana. Ponadto z ww. Wstępnej analizy wynika, iż sama aplikacja obsługująca system […] nie posiadała na tyle szczegółowego dziennika zdarzeń, by zidentyfikować jakiekolwiek ślady pochodzenia pierwszego pliku, który posłużył nieznanej i nieuprawnionej osobie do dostępu do bazy danych.

Zgodnie z zasadą rozliczalności administrator powinien wykazać w szczególności, że dane przetwarzane są zgodnie z wymaganiami rozporządzenia 2016/679, dotyczącymi spełnienia wymagań w zakresie stosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, aby przetwarzanie odbywało się zgodnie z określonymi w przepisach wymaganiami dotyczącymi zapewnienia poufności, integralności i dostępności do danych. Należy podkreślić, że zasada rozliczalności jest skierowana zarówno na zewnątrz organizacji, jak i do wewnątrz. W tym celu, oprócz wprowadzenia ogólnych mechanizmów logujących podstawowe zdarzenia w systemie informatycznym, administrator powinien przenalizować, biorąc pod uwagę zakres, kontekst i cele przetwarzania, na jakim poziomie szczegółowości i przez jaki okres powinny być rejestrowane zdarzenia w celu zachowania zgodności przetwarzania danych w organizacji z przepisami o ochronie danych osobowych. Powszechnie przyjmuje się, że rozliczalność w systemach informatycznych jest realizowana w formie automatycznie generowanych zapisów (tzw. logów) zawierających określony zestaw informacji umożliwiający stwierdzenie kto, kiedy, jakie operacje, w odniesieniu do jakich danych wykonał w systemie. Szczegółowość zapisów logów jest kwestią indywidualną, uzależnioną od zaimplementowanych funkcjonalności oraz zadań użytkownika. W kontekście przetwarzania danych osobowych administrator powinien móc również wykazać, że osoby, które upoważnił do przetwarzania danych osobowych przetwarzają je zgodnie z zasadami określonymi w rozporządzeniu 2016/679, tj. tylko wtedy, kiedy jest to niezbędne dla uzyskania określonego celu przetwarzania oraz w zakresie jakim jest to niezbędne.

Zasada rozliczalności określona w art. 5 ust. 2 rozporządzenia 2016/679 została uszczegółowiona w art. 24 ust. 1 i art. 32 ust. 1 tego rozporządzenia, który nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Wdrażając te środki, administrator powinien uwzględnić charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i różnej wadze zagrożenia. Mając na uwadze powyższe, zasadny jest zarzut naruszenia tych artykułów w zw. z art. 5 ust. 2 rozporządzenia 2016/679. Nieuwzględnienie przez Uczelnię w sposób wystarczający tej zasady w procesie korzystania z systemu informatycznego służącego do przetwarzania danych osobowych oraz niepodejmowanie działań analitycznych logów systemów, w ramach realizacji obowiązku monitorowania adekwatności zabezpieczeń, w ocenie organu nadzorczego, w oparciu o zebrany materiał dowodowy, przyczyniło się do zmaterializowania się zagrożenia w postaci uzyskania nieuprawionego dostępu do sytemu informatycznego i przetwarzanych w nim danych osobowych. Ponadto, tak funkcjonujący system ochrony danych nie gwarantuje pełnej gotowości administratora do reakcji na zagrożenia, a w przypadku ich zmaterializowania się, podjęcia stosownych działań zapobiegawczych i naprawczych, mających na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia.

Zgodnie z § […], każdy system informatyczny służący do przetwarzania danych musi m.in. zapewniać: poufność, integralność, autentyczność, rozliczalność, czy niezaprzeczalność. A obowiązek zapewnienia tych atrybutów bezpieczeństwa informacji, zgodnie z § […] ciąży na administratorze systemu informatycznego oraz administratorach sieci komputerowych. Biorąc pod uwagę ustalony stan faktyczny oraz podniesiony już wyżej zarzut nieprzeprowadzenia analizy ryzyka dla danych przetwarzanych w systemie […], uzasadniona jest konstatacja, że Administrator nie realizował w pełni zapisów ww. […] oraz […], stanowiącej załącznik nr […] do Zarządzenia nr […] Rektora Politechniki Warszawskiej, zgodnie z którą szacując prawdopodobieństwo incydentu, powinny być brane pod uwagę w szczególności rodzaje podatności, istniejące zabezpieczenia oraz doświadczenie i statystyki dotyczące podobnych zdarzeń.

Przepisy rozporządzenia 2016/679 zobowiązują zarówno administratorów, jak i podmioty przetwarzające do przyjęcia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych. Z wyżej wymienionych przepisów, jak i motywu 87 rozporządzenia 2016/679, wynika ponadto, że rozporządzenie ustanowiło wymóg przyjęcia ww. środków, by od razu stwierdzić naruszenie ochrony danych osobowych. Ma to decydujące znaczenie dla ustalenia, czy w danym przypadku zachodzą obowiązki z art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679.

Obowiązek powiadomienia organu nadzorczego o naruszeniu i termin jego przekazania wiąże się z momentem, w którym administrator „stwierdzi” naruszenie ochrony danych osobowych. Grupa Robocza Art. 29, w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, przyjętych 3 października 2017 r., ostatnio zmienionych i przyjętych 6 lutego 2018 r. (dalej: wytyczne dotyczące zgłaszania naruszeń), wskazuje, że administrator stwierdza naruszenie w momencie, w którym uzyskał wystarczającą dozę pewności co do tego, że doszło do wystąpienia incydentu bezpieczeństwa, który doprowadził do ujawnienia danych osobowych. Należy jednak tą kwestię rozpatrywać względem obowiązku administratora utrzymania zdolności do szybkiego i skutecznego stwierdzania wystąpienia wszelkich naruszeń aby zapewnić możliwość podjęcia stosownych działań. W niektórych przypadkach ustalenie, czy doszło do ujawnienia danych osobowych, może wymagać czasu. Biorąc pod uwagę okoliczności, w jakich Administrator dowiedział się o naruszeniu (informacja od podmiotu trzeciego) oraz zebrany materiał dowodowy i ustalony na jego podstawie stan faktyczny, nie można stwierdzić, iż administrator wdrożył odpowiednie środki techniczne i organizacyjne pozwalające na szybkie wykrycie i zbadanie incydentu w celu ustalenia, czy faktycznie i w jaki sposób doszło do naruszenia ochrony danych osobowych, a jeżeli tak – podjąć działania zaradcze i, w razie konieczności, zgłosić naruszenie i zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych. Uprawniona nawet wydaje się konstatacja, że administrator nie dokonałby stwierdzenia naruszenia bez sygnału od podmiotu trzeciego, a niektóre ustalenia dokonane we Wstępnej analizie powłamaniowej byłyby niemożliwe, chociażby przez nieprzeanalizowanie zasadności 4-tygodniowego przechowywania logów (dzienników zdarzeń) maszyny wirtualnej. Dopiero po naruszeniu, w wyniku rekomendacji zawartej w ww. analizie, administrator zmienił dotychczasową praktykę i wydłużył okres przechowywania logów do […] tygodni. W związku z powyższym Prezes UODO stwierdza naruszenie przez Uczelnię art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 oraz art. 32 ust. 2 rozporządzenia 2016/679.

Zgodnie z brzmieniem art. 34 ust. 1 rozporządzenia 2016/679, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Ponownie należy wskazać na Wytyczne dotyczące zgłaszania naruszeń, które wskazują, że zawiadamiając osoby o naruszeniu ochrony danych, administrator powinien zachować w tej kwestii przejrzystość i przekazać informacje w sposób sprawny i terminowy. Analizując znaczenie określenia „bez zbędnej zwłoki” na gruncie tego przepisu należy przyjąć, że początkiem terminu na zawiadomienie osób, których dane dotyczą, jest moment stwierdzenia naruszenia. W sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji, Administrator niezwłocznie, po stwierdzeniu naruszenia, zawiadomił o nim osoby, których dane dotyczą, przekazując im wszystkie informacje, o których mowa w art. 34 ust. 2 rozporządzenia 2016/679.

W konsekwencji Prezes UODO umorzył postępowanie administracyjne w zakresie naruszenia art. 34 ust. 1 rozporządzenia 2016/679.

Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a-h oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie administracyjnej kary pieniężnej.

Decydując o nałożeniu na Politechnikę Warszawską administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:

1. Charakter i waga naruszenia przy uwzględnieniu liczby poszkodowanych osób(art. 83 ust. 2 lit. a rozporządzenia 2016/679) – przy wymierzaniu kary istotne znaczenie miała okoliczność, że liczba osób dotkniętych naruszeniem wynosi 5013. Naruszenie spowodowało wysokie ryzyko wystąpienia negatywnych skutków w przyszłości wynikających z charakteru danych, dużej liczby podmiotów danych, prawdopodobnie złej woli osoby, która w sposób nieuprawniony uzyskała do nich dostęp, a także dużą skalę przetwarzania. Naruszenie poufności nr telefonu, adresu e-mail, czy numeru PESEL ww. osób mogą skutkować wkroczeniem w życie prywatne osób dotkniętych naruszeniem. W stosunku do ww. osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoba bądź osoby nieuprawnione mogą podjąć bezprawne działania. Osoby, których dane dotyczą, mogą więc doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmioty danych mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Podsumowując powyższe należy uznać, że stwierdzone w niniejszej sprawie naruszenia mają znaczną wagę i poważny charakter, a prawdopodobieństwo wystąpienia ich negatywnych skutków dla osób, których dane dotyczą, jest wysokie.

2. Czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679) - za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia przepisów ogólnego rozporządzenia o ochronie danych. Z informacji uzyskanych przez organ nadzorczy w toku prowadzonego postępowania administracyjnego wynika, iż ww. naruszenie przepisów trwało nieprzerwanie od 25 maja 2018 r., tj. od czasu rozpoczęcia stosowania rozporządzenia 2016/679, do czasu zakończenia zaistniałego incydentu, tj. do dnia […] maja 2020 r., gdy serwer wraz oprogramowaniem został odłączony od sieci.

3. Wysoki stopień odpowiedzialności administratora(art. 83 ust. 2 lit. d rozporządzenia 2016/679). Biorąc pod uwagę, że to na administratorze ciąży obowiązek dokonania oceny zabezpieczeń na każdym etapie przetwarzania, zwłaszcza wobec rozwiązań technologicznych, tworzonych bez wsparcia profesjonalnych podmiotów zewnętrznych, a jedynie w oparciu o własne zasoby ludzkie oraz wiedzę technologiczną, zaimplementowanych w organizacji Uczelni przez jej pracowników na przestrzeni około 10 lat, należy stwierdzić, że Politechnika Warszawska nie wdrożyła odpowiednich środków technicznych i organizacyjnych mających na celu zapewnić bezpieczeństwo przetwarzania danych osobowych.

4. Kategorie danych osobowych, których dotyczyło naruszenie ochrony danych osobowych (art. 83 ust. 2 lit. g rozporządzenia 2016/679) – dane osobowe, do których dostęp uzyskała nieznana i nieuprawniona osoba trzecia, nie należą wprawdzie do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich szeroki zakres (imię i nazwisko, imiona rodziców, data urodzenia, adres zamieszkania lub pobytu, nr PESEL, adres e-mail, nazwę użytkownika, hasło, nazwisko rodowe matki, seria i nr dowodu osobistego oraz numer telefonu), wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W tym miejscu należy podkreślić, iż w szczególności nieuprawnione ujawnienie takiej kategorii danych jak nr PESEL (w połączeniu z imieniem i nazwiskiem), może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Nr PESEL czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Szczególnej ochrony danych osobowych, w tym przede wszystkim numeru ewidencyjnego PESEL wymaga się także od instytucji publicznych, do których bez wątpienia można zaliczyć stronę przedmiotowego postępowania.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj.

1. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679) – nie stwierdzono, na żadnym etapie postępowania, umyślnych działań administratora, ukierunkowanych na naruszenie przepisów o ochronie danych osobowych.

2. Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) - Politechnika Warszawska podjęła dodatkowe, wykraczające poza obowiązek prawny, działania mające na celu złagodzenie, czy też wynagrodzenie krzywdy poniesionej przez osoby dotknięte naruszeniem, tj. „Uczelnia finansuje poszkodowanym koszty zabezpieczenia danych osobowych w standardowej usłudze na okres 12 miesięcy”, jak również „[…] wszystkie osoby, których sytuacja dotyczy, mogą ubiegać się o zwrot podstawowych kosztów poniesionych na zabezpieczenie swoich danych osobowych. Podstawą zwrotu jest potwierdzenie statusu osoby, której dane osobowe zostały ujawnione” (zgłoszenie uzupełniające z […] maja 2020 r. oraz wyjaśnienia z […] czerwca 2020 r.).

3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679) – nie stwierdzono wcześniejszych naruszeń przepisów rozporządzenia 2016/679 przez Uczelnię.

Żadnego wpływu na fakt nałożenia, jak i sam wymiar, administracyjnej kary pieniężnej nie miały inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności:

1. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679) – Uczelnia samodzielnie podjęła szereg działań, mających na celu usunięcie naruszenia oraz złagodzenie jego ewentualnych negatywnych skutków. Ww. działania miały charakter autonomiczny i nie były przedmiotem jakichkolwiek konsultacji z organem nadzorczym.

2. Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) – naruszenie ochrony danych osobowych zgłoszone zostało Prezesowi UODO przez Politechnikę Warszawską, co stanowi wypełnienie przez Politechnikę Warszawską spoczywającego na niej obowiązku, o którym mowa w art. 33 rozporządzenia 2016/679. Grupa Robocza Art. 29 w Wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (WP 253 17/PL) podkreśla, iż „Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.

3. W tej samej sprawie nie zostały wcześniej zastosowane wobec Politechniki Warszawskiej środki, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83. ust. 2 lit. i rozporządzenia 2016/679).

4. Politechnika Warszawska nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).

5. Nie stwierdzono aby w związku z naruszeniami Administrator uzyskał korzyści finansowe, czy też uniknął strat, o których mowa w art. 83 ust. 2 lit. k rozporządzenia 2016/679.

Odnosząc się do wysokości wymierzonej Uczelni administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uznał, iż w ustalonych okolicznościach niniejszej sprawy – tj. wobec stwierdzenia naruszenia przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 oraz faktu, iż Uczelnia jest organem jednostki sektora finansów publicznych – zastosowanie znajdzie również art. 102 z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), z którego wynika ograniczenie wysokości (do 100.000 zł) administracyjnej kary pieniężnej, jaka może zostać nałożona na jednostkę sektora finansów publicznych.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, że nałożenie administracyjnej kary pieniężnej w wysokości 45.000 zł (czterdzieści pięć tysięcy zł) na Politechnikę Warszawską jest konieczne i uzasadnione wagą oraz charakterem i zakresem dokonanych przez Politechnikę Warszawską naruszeń. W tym miejscu należy jednocześnie podkreślić, iż zastosowanie wobec Uczelni jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Uczelnia w przyszłości nie dopuści się kolejnych zaniedbań.

W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Politechnikę Warszawską przepisów rozporządzenia 2016/679, ale i prewencyjną, czyli zapobieganie naruszeniom przepisów o ochronie danych osobowych w przyszłości zarówno przez Politechnikę Warszawską, jak i innych administratorów danych.

Celem nałożonej kary jest doprowadzenie do właściwego wykonywania przez Politechnikę Warszawską obowiązków, w szczególności w art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa.

Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji niniejszej decyzji.

Le texte correspond au texte original. Des modifications visuelles ont pu toutefois être apportées pour améliorer la lecture du document.

Source : www.uodo.gov.pl.