A skoro niedawno obchodziliśmy siódmą rocznicę wejścia w życie i piątą stosowania RODO (jak ten czas leci…!), to dziś czas na kilkanaście akapitów o tym, że administrator może być ukarany za wyciek danych osobowych będących efektem uchybienia w wykonywaniu obowiązków wynikających z RODO — ale tylko za czas po wejściu w życie rozporządzenia, no i wysokość administracyjnej kary pieniężnej za naruszenie RODO musi być współmierna do skali naruszeń.
wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 21 października 2021 r. (II SA/Wa 272/21)
1) O naruszeniu przepisów RODO można mówić dopiero wówczas, gdy w życie weszły przepisy, które mogły być naruszone przez Spółkę. Za wcześniejszy okres, czyli za okres przed wejściem w życie przepisów RODO, co do zasady, nie można stosować sankcji w postaci administracyjnej kary pieniężnej.
2) Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Sprawa zaczęła się od złożenia przez operatora telekomunikacyjnego zgłoszenia naruszenia ochrony danych osobowych abonentów usług przedpłaconych — uzyskania przez osobę nieuprawnioną dostępu do danych osobowych 114 tys. klientów.
Po kontroli PUODO stwierdził, że wyciek był spowodowany wieloletnią (zaistniałą jeszcze przed wejściem w życie RODO) podatnością systemu służącego do rejestracji użytkowników kart prepaid.
art. 24 ust. 1 rozporządzenia 679/2016 o ochronie danych osobowych
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Problemy spowodowane zostały brakiem wdrożenia i testowania odpowiednich środków zabezpieczających — gdyby operator regularnie testował, mierzył i oceniał skuteczność zastosowanych środków technicznych, wyłapałby podatność wcześniej.
art. 32 ust. 1-2 rozporządzenia 679/2016 o ochronie danych osobowych
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: (…)
2 Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Nieprawidłowe jest przy tym testowanie rozwiązań informatycznych dopiero po zaistnieniu podatności, ponieważ obowiązki administratora polegają na zapobieganiu zagrożeniom, a nie na reagowaniu na istniejące problemy. Procesy przetwarzania danych osobowych polegają na „zarządzaniu ryzykiem”, a więc nie mogą opierać się na jednorazowym wdrożeniu środków bezpieczeństwa — testy bezpieczeństwa należy prowadzić stale.
Operator dokonał takiej analizy w maju 2018 r., a następnie aż do grudnia 2019 r. (tj. czasu wykrycia wycieku) nie prowadził dalszych audytów, nie zadbał także o bezpieczeństwo danych w fazie projektowania systemów. W ocenie PUODO stwierdzone uchybienia doprowadziły do naruszenia zasady poufności danych, co usprawiedliwiało nałożenie na operatora administracyjnej kary pieniężnej w wysokości 1,968 mln złotych.
(Pozostawione w uzasadnieniu okruszki pozwoliły ustalić, że operatorem tym był Virgin Mobile Polska.)
W skardze na decyzję operator powołał się na fakt, iż określając wysokość administracyjnej kary pieniężnej za naruszenie RODO urząd nie wziął pod uwagę wszystkich okoliczności sprawy, m.in. że: (i) przepisy rozporządzenia stosuje się od 25 maja 2018 r., zatem administrator nie był zobowiązany do wdrożenia przewidzianych środków przed tą datą, a kara nie może dotyczyć ewentualnych nieprawidłowości sprzed tej daty; (ii) szkodą poniesioną przez osoby, których dane wyciekły, nie jest obawa poniesienia szkody; (iii) nieumyślność naruszenia powinna być traktowana jako okoliczność łagodząca, a przez to wpływać na zmniejszenie kary, podobnie jak okoliczność, iż było to pierwsze stwierdzone uchybienie; (iv) operator nie odniósł żadnych korzyści finansowych z naruszenia, co także powinno mieć wpływ na zmniejszenie wysokości sankcji; (v) profesjonalny charakter przetwarzania danych nie jest czynnikiem obciążającym administratora; (vi) operator przeszedł audyt i certyfikację ISO przed wykryciem wycieku, co wyklucza zarzut braku testowania; (vii) natychmiast po wykryciu wycieku zareagowano i załatano błędy, dzięki czemu sprawcy (którego organom ścigania nie udało się wykryć, acz najprawdopodobniej był to insider) udało się pobrać zaledwie ok. 13,62% wszystkich rekordów.
art. 83 ust. 1-2 rozporządzenia 679/2016 o ochronie danych osobowych
1. Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne (…) były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
2. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
b) umyślny lub nieumyślny charakter naruszenia;
c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
g) kategorie danych osobowych, których dotyczyło naruszenie;
h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz
k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Zdaniem Virgin Mobile nie można przy tym pomijać, że obowiązek rejestracji telefonów na kartę w pewnym stopniu zaskoczył operatorów telekomunikacyjnych, co wszakże nie ułatwiło dostosowania systemów do nowych rozwiązań, trudno też mówić o minimalizacji danych lub pseudonimizacji, skoro zakres danych przetwarzanych określają przepisy prawa telekomunikacyjnego („operowanie, jako przykładowymi pojęciami „minimalizacja danych”, „pseudonimizacja” niewiele wyjaśnia, a tworzy jedynie wrażenie, że organ nie do końca zna przepisy dotyczące zakresu danych gromadzonych przez dostawców usług telekomunikacyjnych”). Oznacza to, że PUODO w sposób dowolny wybrał przesłanki wymiaru kary za naruszenie RODO, ale też źle zinterpretował obowiązki administratorów, czego skutkiem było nałożenie kary w wysokości nieproporcjonalnej do uchybień.
Wojewódzki Sąd Administracyjny nie podzielił wszystkich argumentów operatora:
- obowiązek wykazania przestrzegania zasad przetwarzania danych osobowych spoczywa na administratorze (art. 5 ust. 2 RODO), zatem prowadzone przez PUODO postępowanie dowodowe sprowadza się do oceny materiałów przedstawionych przez spółkę;
- niewykrycie sprawcy uniemożliwia ocenę w jaki dokładnie sposób udało mu się przełamać zabezpieczenia — ale skoro podatności systemu umożliwiły wyciek danych, to z całą pewnością można stwierdzić, że wdrożone zabezpieczające były niewystarczające, a spółka nie panowała nad procesami, co oznacza naruszenie obowiązków wynikających z art. 32 RODO i zasady rozliczalności;
- dokonywanie testów dopiero po pojawieniu się zagrożenia jest z punktu widzenia RODO niewystarczające — obowiązkiem administratora jest wszakże regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków;
co w sumie oznacza, że operator zlekceważył ryzyko przy przetwarzaniu danych osobowych, czego skutkiem był incydent bezpieczeństwa. Nie oznacza to jednak, iżby każde uchybienie było „wyceniane” w sposób identyczny — wszakże wysokość administracyjnej kary pieniężnej za naruszenie RODO powinna być uzależniona od indywidualnych okoliczności, innych w każdym przypadku, zaś przesłanki ustalenia kwoty wymienia art. 83 ust. 2 RODO. Stąd też stwierdzając nieprawidłowości po stronie operatora, PUODO sam nie uniknął nieprawidłowości w zastosowaniu przepisów, m.in.:
- pominął okoliczność, iż to wskutek działań operatora udało się ograniczyć skutki wycieku — a tymczasem w decyzji pojawiło się sformułowanie, że skopiowano wszystkie dane (naruszenie art. 83 ust. 2 lit. c) RODO i art. 8 kpa);
- administracyjna kara pieniężna za naruszenie przepisów RODO może dotyczyć tylko zdarzeń, które miały miejsce po wejściu w życie rozporządzenia 679/2016 — owszem, na administratorach ciążyły stosowne obowiązki także przed 25 maja 2018 r., jednak wcześniejszy okres nie może być brany pod uwagę jako kryterium długotrwałości naruszeń, zaś „wejście w życie RODO z dniem 24 maja 2016 r. oddzielono bowiem od obowiązku bezpośredniego stosowania przepisów RODO od — 25 maja 2018 r.” (naruszenie art. 83 ust. 2 lit. e) RODO);
- jeśli PUODO uważa, że profesjonalny charakter przetwarzania ma wpływ na wysokość administracyjnej kary pieniężnej za naruszenie RODO, to pogląd ten musi dokładniej wyjaśnić — prawdą jest, że nawet incydentalne lub uboczne przetwarzanie danych podlega przepisom o ochronie danych osobowych, ale takiej przesłanki szacowania kary w przepisie brak (naruszenie art. 77 kpa);
- z niejasnej przyczyny organ uznał, że na wysokość sankcji nie ma wpływu fakt, że dowiedział się o naruszeniu od samego operatora (naruszenie art. 83 ust. 2 lit. h) RODO);
- nie wiadomo też dlaczego urząd stwierdził, że na wysokość kary nie mają wpływu kategorie danych, które wyciekły — bo akurat przesłanka ta jest wskazana w art. 83 ust. 2 lit. g) RODO (zwłaszcza, że pełen zestaw danych wyciekł tylko w przypadku części abonentów, reszta rekordów została pobrana w formie niekompletnej);
- w ocenie sądu PUODO zignorował fakt, że osiągnięcie korzyści finansowych z naruszenia jest okolicznością obciążającą, ale brak takiej motywacji — łagodzącą (naruszenie art. 83 ust. 2 lit. k) RODO);
- nieumyślność (podobnie jak umyślność) naruszenia jest jednym z kryteriów ustalania wysokości kary (art. 83 ust. 2 lit. b) RODO) — ale uznając, iż nieumyślne naruszenie powinno spotkać się ze znacznie bardziej surowymi konsekwencjami organ nijak tego poglądu nie uzasadnił.
Z tego względu wydana przez PUODO decyzja została uchylona (wyrok jest prawomocny, co sugeruje, że organ uznał krytykę za zasadną i nie polemizował z w/w oceną).