• Magdalena Wikarjak-Górzna, autor |

Prezes Urzędu Ochrony Danych Osobowych („Prezes UODO”) nałożył na przedsiębiorcę telekomunikacyjnego świadczącego usługi w sieci komórkowej („Spółka”) karę w wysokości ok. 2 milionów złotych za brak wdrożenia „odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych.”

Przyczyną nałożenia kary było naruszenie ochrony danych osobowych abonentów usług przedpłaconych, polegające na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu przez nią 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu.

W wyniku zgłoszenia naruszenia Prezesa UODO wszczął kontrolę w Spółce. Kontrola wykazała, że Spółka nie przeprowadzała regularnych i kompleksowych testów, pomiarów i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Środki organizacyjno-techniczne od rozpoczęcia stosowania RODO były poddawane przeglądom oraz uaktualniane w miarę potrzeb jedynie w sytuacji wystąpienia zmian organizacyjnych lub prawnych. W ocenie Prezesa UODO dokonywanie testów nieregularnie, tj. wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające. Mimo przyjętych przez Spółkę rozwiązań, nie była ona bowiem w stanie wykryć podatności występujących w systemie wdrożonym przez Spółkę.

Takie zachowanie Spółki skutkowało naruszeniem obowiązku polegającego na doborze skutecznych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, w tym zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, jak i rozwiązań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków technicznych i organizacyjnych. Powyższe z kolei przyczyniło się do naruszenia zasad poufności rozliczalności. Weryfikacja stosowanych środków organizacyjno-technicznych musi być dokonywana w sposób regularny, co oznacza świadome, zaplanowane i zorganizowane działanie, a także dokumentowanie (w związku z zasadą rozliczalności) w określonych przedziałach czasowych, niezależnie od zmian w strukturze Spółki.

W wyniku stwierdzonych nieprawidłowości wszczął następnie postępowania administracyjne zakończone nałożeniem kary. Na wymiar kary miały wpływ następujące okoliczności obciążające: znaczna waga i poważny charakter stwierdzonego naruszenia skutkujące wysokim ryzykiem naruszenia praw i wolności osób fizycznych, długi czas trwania naruszenia, rozmiar szkody (co prawda brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba lub osoby nieuprawnione, doznały szkody majątkowej, niemniej w opinii Prezesa UODO już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową w postaci obawy utraty kontroli nad danymi lub kradzieżą tożsamości) oraz nieumyślny charakter naruszenia (niedochowanie należytej staranności). Prezes UODO wziął pod uwagę także następujące okoliczności łagodzące takie jak: dobrą współpracą Spółki z organem nadzorczym prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, realizację zalecenia Prezesa UODO dot. uzupełnienia powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu oraz usunięcie naruszenia. Spółka wdrożyła również normy ISO gwarantujące na przyszłość wysoki poziom procedur regulujących m.in. przetwarzanie danych osobowych w Spółce, w tym przewidujące również regularne przeglądy i audyty zabezpieczeń i funkcjonowania systemów zarządzania danymi osobowymi i bezpieczeństwa informacji.

Decyzja Prezesa UODO w przedmiotowej sprawie akcentuje, że administrator zobowiązany jest do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych. To na administratorze ciąży obowiązek wprowadzenia środków adekwatnych w zakresie sposobu i celu, w jakim dane osobowe są przetwarzane, do ryzyka związanego z przetwarzaniem tych danych osobowych. Zgodnie z założeniem RODO, to administrator samodzielnie (bez listy wymagań wskazanych przez ustawodawcę) ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Adekwatność środków musi być utrzymana przez cały okres przetwarzania, dlatego regularne testowanie zabezpieczeń pozwala na wcześniejsze wykrycie podatności lub niedoskonałości wprowadzonych rozwiązań.

Działania administratora w postaci testów przeprowadzanych w razie konieczności (podejrzenia zaistnienia podatności) nosiły bardziej znamiona analizy ryzyka niż realizacji obowiązku wdrożenia adekwatnych środków organizacyjno-technicznych (regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania).  To już kolejna decyzja Prezesa UODO podkreślająca jak ważne są regularne działania w obszarze bezpieczeństwa danych osobowych. Na obowiązek zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń wskazuje także Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 3 września 2020 r. o sygnaturze II SA/Wa 2559/19, powołany przez Prezesa UODO w omawianej decyzji.

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do sądu administracyjnego.