Jednym z obowiązków administratora danych osobowych jest stałe monitorowanie wdrożonych środków bezpieczeństwa. Biorąc zatem pod uwagę pogląd, iż nie można dostać kary za wyciek danych, ale kara grozi podmiotowi, którego zaniedbania doprowadziły do wycieku, można zadać całkiem racjonalne pytanie: czy na gruncie RODO kara grozi za brak regularnego testowania zabezpieczeń przetwarzanych danych? I, wcale nie na marginesie: czy szkodą w rozumieniu RODO może być obawa przed kradzieżą tożsamości po wycieku danych?

nieprawomocny wyrok WSA w Warszawie z 21 czerwca 2023 r. (II SA/Wa 150/23)
Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust 1 lit. d) RODO. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.
Sprawa dotyczyła odpowiedzialności operatora telekomunikacyjnego Virgin Mobile za dopuszczenie do wycieku danych osobowych użytkowników korzystających z usług przedpłaconych.
Zdaniem PUODO do nieprawidłowości w przetwarzaniu danych doszło wskutek braku wdrożenia i testowania zabezpieczeń bazy, za co nałożył na firmę karę w wysokości 1,968 mln zł.
Ta decyzja została prawomocnie uchylona przez WSA, który uznał, iż rzeczywiście operatorowi można przypisać pewne zaniedbania, których skutkiem był incydent bezpieczeństwa, ale nie zgodził się z samą wysokością sankcji pieniężnej („Wysokość kary za naruszenie RODO powinna być współmierna do skali naruszeń”).
W kolejnym podejściu PUODO „wycenił” uchybienia w zabezpieczeniach danych abonentów na 1,599 mln zł (w znacznej mierze ze względu na inną metodologię liczenia całkowitego rocznego światowego obrotu przedsiębiorcy).
Zdaniem spółki P4 sp. z o.o. (która w tzw. międzyczasie przejęła Virgin Mobile) taka wysokość kary za brak regularnego testowania zabezpieczeń jest nieadekwatna m.in. do skali zdarzenia, postawy firmy, która prawidłowo zawiadomiła organ o naruszeniu, a także w świetle braku powstania szkody po stronie użytkowników.
Odnosząc się do tych argumentów Wojewódzki Sąd Administracyjny zwrócił uwagę, że wprawdzie liczące 37 stron uzasadnienie decyzji jest „rozbudowane w sposób nadmierny” (niektóre sformułowania się powtarzają, co świadczy o „braku syntetycznego podejścia do problemu”) — co nie zmienia jednak faktu, że tym razem stanowisko PUODO jest niepodważalne.
art. 24 ust. 1 rozporządzenia 679/2016 o ochronie danych osobowych
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
art. 25 ust. 1 RODO
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator — zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania — wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
art. 32 ust. 1 RODO
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
A mianowicie:
- przyczyną wycieku była wcześniej niestwierdzona podatność systemu informatycznego — a przecież administrator danych osobowych ma obowiązek regularnego testowania i monitorowania środków bezpieczeństwa, zaś sposób wdrożenia tych rozwiązań jest jedną z przesłanek określenia wysokości kary za naruszenie RODO;
- nie można się przy tym powołać na fakt, że wcześniej nie doszło do podobnego wycieku, przez co niemożliwe było przewidzenie go w przyszłości: istotą RODO jest analiza ryzyka i wprowadzanie adekwatnych do zagrożeń metod zabezpieczenia danych, stąd też z jednej strony prawodawca nie narzuca już listy wymogów, których spełnienie wystarczało do przyjęcia, że dane są prawidłowo zabezpieczone — z drugiej trzeba mieć na uwadze, że wycieki danych się zdarzają, a więc należy im aktywnie przeciwdziałać, w tym poprzez regularne testowanie zabezpieczeń; szczególną ostrożność powinny zachować podmioty przetwarzające dane osobowe na masową skalę, (np. operator telekomunikacyjny);
- stan stwierdzonego naruszenia bezpieczeństwa danych trwał aż do uzyskania — nie do rozpoczęcia procedury jego uzyskania — certyfikatu ISO/IEC określającego m.in. zasady testowania, mierzenia i oceniania skuteczności stosowanych środków; datą początkową jest dzień wejścia w życie RODO, bo przecież już wówczas administrator powinien mieć wszystko przygotowane, choćby dlatego, że kwestie ochrony danych osobowych należy uwzględniać na etapie projektowania rozwiązań (privacy by design);
- operator nie ma także racji, iż wskutek wycieku żaden z abonentów nie poniósł żadnej szkody — szkodą w rozumieniu RODO jest także szkoda niemajątkowa (krzywda) w postaci obawy przed utratą kontroli nad swymi danymi osobowymi;
- nie można także żądać obniżenia kary powołując się na fakt zawiadomienia PUODO o wycieku: zgłoszenie naruszenia ochrony danych osobowych jest obowiązkiem administratora, a nikt nie może liczyć na „nagrodę” za przestrzeganie prawa;
- operator nie ma racji twierdząc, że ujawnienie numerów PESEL klientów nie prowadzi do wysokiego ryzyka naruszenia praw i wolności — bo przechwycenie PESEL przez osobę nieuprawnioną skutkuje wysokim ryzykiem kradzieży tożsamości (por. wyrok WSA z 19 kwietnia 2022 r., II SA/Wa 3024/21);
- co więcej operator sieci Play nie może podważać kary jako nałożonej za zaniedbania Viking Mobile — bo skutkiem połączenia spółek w trybie art. 492 par. 1 ksh jest sukcesja uniwersalna, czyli wstąpienie we wszystkie prawa i obowiązki podmiotu przejmowanego, w tym także odpowiedzialności za delikty administracyjne, zatem P4 sp. z o.o. może płacić za poprzednika prawnego.
Stwierdzając, iż zarówno brak regularnego testowania zabezpieczeń, jak i inne naruszenia uzasadniały nałożenie na administratora kary pieniężnej w tej wysokości, WSA oddalił skargę.