Czy administrator ponosi odpowiedzialność za wyciek danych osobowych — umożliwienie przez podmiot przetwarzający dostępu do bazy osobom nieupoważnionym? Jeśli do naruszenia doszło wskutek ataku hakerów, a administratorowi nie sposób zarzucać niedopatrzenia w wyborze podwykonawcy? I, wcale nie na marginesie: czy PUODO, zarzucając naruszenie bezpieczeństwa danych, powinien udowodnić tę okoliczność już na etapie decyzji — czy wystarczy, jeśli odniesie się do tej kwestii na etapie odpowiedzi na skargę wniesioną do sądu administracyjnego? (nieprawomocny wyrok WSA w Warszawie z 25 lipca 2024 r., II SA/Wa 2430/23).
Sprawa dotyczyła odpowiedzialności administratora za wyciek danych osobowych z bazy prowadzonej przez podmiot przetwarzający, który padł ofiarą ataku hakerów.
opis stanu faktycznego:
- sprawa zaczęła się od ataku hakerskiego na infrastrukturę podmiotu świadczącego na rzecz banku usługi outsourcingowe w zakresie kadrowo-płacowym, którego skutkiem było zainfekowanie serwera oprogramowaniem typu ransomware, zaszyfrowanie bazy oraz (rzekome?) wykradzenie danych osobowych;
- bank jako administrator zawiadomił o wycieku PUODO i zainteresowane osoby, a także przeprowadził audyt bezpieczeństwa u podwykonawcy;
- jedna z osób, których dane zostały wykradzione — były pracownik, którego dane były przechowywane w ramach prowadzonej dokumentacji pracowniczej — złożyła w PUODO skargę na nieuprawnione udostępnienie danych;
decyzja PUODO:
- w wydanej decyzji organ nadzoru uznał, iż naruszenie ochrony danych osobowych dowodzi ich kiepskiego zabezpieczenia, za co udzielił bankowi upomnienia;
z rozporządzenia 679/2016 o ochronie danych osobowych
art. 24 ust. 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
art. 28 ust. 1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
art. 32 ust. 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)
art. 32 ust. 4. Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
skarga do WSA:
- we wniesionej skardze na decyzję bank podkreślił, że obowiązek prawidłowego zabezpieczenia danych przed cyberatakiem ciążył na podmiocie przetwarzającym;
- zaś administrator, któremu nie można zarzucać niedopatrzenia (nie ponosi winy w wyborze outsourcera, nie nakazał mu braku zabezpieczenia informacji, nie stał za atakiem), nie może ponosić odpowiedzialności za błędy podmiotu przetwarzającego (por. „Wyciek danych osobowych sam w sobie nie jest dowodem wdrożenia kiepskich zabezpieczeń”);
orzeczenie Wojewódzkiego Sądu Administracyjnego:
- WSA stwierdził, iż chociaż wiadomo, iż doszło do infekcji oprogramowaniem typu ransomware, w swej decyzji PUODO nie wyjaśnił na czym miało polegać owo przetwarzanie, z którym wiąże odpowiedzialność administratora;
- owszem, jako przetwarzanie można traktować umożliwienie uzyskania dostępu do danych osobowych przez osobę nieupoważnioną — jednak nie jest jasne, czy podobnie należy traktować atak hakerski;
- okoliczność ta powinna była być wyjaśniona i udowodniona już na etapie wydanej decyzji, tymczasem organ skupił się na tym wątku dopiero na etapie odpowiedzi na skargę banku;
- zarzutów wobec banku nie można traktować jako bezspornych tylko dlatego, że w zawiadomieniu przyznano, że doszło do ataku hakerów i wykradzenia bazy — albowiem jeśli PUODO traktuje wyciek danych jako nieuprawniony lecz niezamierzony dostęp, z czym wiąże odpowiedzialność administratora, to powinien tę okoliczność niezbicie wykazać;
- nie wystarczy samo stwierdzenie, że doszło do naruszenia wymogu zapewnienia przetwarzania w sposób gwarantujący odpowiedni poziom bezpieczeństwa danych przed przypadkową utratą, zniszczeniem lub uszkodzeniem — zwłaszcza, że w przetwarzanie były zaangażowane dwa podmioty, zaś do ew. wycieku doszło po stronie podmiotu przetwarzającego, a nie administratora.
Stwierdzając, że zaszyfrowanie przez przestępców bazy po stronie podmiotu przetwarzającego nie dowodzi, iż doszło do nieuprawnionego udostępnienia danych, za które odpowiedzialność mógłby ponosić administrator — który nie ma wpływu na środki techniczne i organizacyjne zastosowane przez podwykonawcę — WSA uchylił decyzję.