Kara Prezesa UODO za niezastosowanie środków technicznych i organizacyjnych przez Politechnikę Warszawską

Prezes UODO nałożył administracyjną karę pieniężną na Politechnikę Warszawską za niezastosowanie wystarczających środków technicznych i organizacyjnych w ochronie danych osobowych. Decyzja dotyczy naruszenia art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 RODO. Wystąpiło nieuprawnione pobranie bazy danych z danymi osobowymi studentów, wykładowców i kandydatów na studia.

Tematyka: Prezes UODO, Politechnika Warszawska, UODO, RODO, ochrona danych osobowych, środki techniczne, środki organizacyjne, karanie, naruszenie, baza danych, analiza ryzyka, logi systemowe

Prezes UODO nałożył na Politechnikę Warszawską z siedzibą w Warszawie administracyjną karę pieniężną
w wysokości 45.000 zł. Ocenił, iż doszło do naruszenia art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust.
1, art. 32 ust. 1 i 2 RODO. W sprawie tej Prezes UODO ocenił więc stosowane przez administratora środki
techniczne i organizacyjne, które uznał za niewystarczające, czyli m.in. kwestie związane z analizą logów,
przechowywaniem haseł w aplikacji, czy wreszcie z brakiem przeprowadzenia formalnej analizy ryzyka.
Stan faktyczny
Politechnika Warszawska (dalej: Administrator) zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych (dalej:
Prezes UODO) naruszenie ochrony danych osobowych. W zgłoszeniu naruszenia wskazano, że nieznana
i nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej Administratora bazy danych, zawierającej
dane osobowe studentów i wykładowców, a także kandydatów na studia (łącznie 5013 osób).
Kategorie danych, których dotyczyło naruszenie, obejmowały: imię i nazwisko, imiona rodziców, datę urodzenia,
adres zamieszkania lub pobytu, nr PESEL, adres e-mail, nazwę użytkownika i/lub hasło, nazwisko rodowe matki,
serię i nr dowodu osobistego oraz nr telefonu.
Administrator powiadomił m.in. odpowiednie organy ścigania oraz zabezpieczył i odseparował od sieci wewnętrznej
zasoby informatyczne, będące przedmiotem naruszenia.
Stwierdzając wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, Administrator poinformował
wszystkie podmioty o naruszeniu za pomocą poczty elektronicznej, zgodnie z art. 34 rozporządzenia Parlamentu
Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.
UE L z 2016 r. Nr 119, s. 1; dalej: RODO). Ponadto Administrator wskazał, że podjął również inne działania
informacyjne, takie jak zamieszczenie komunikatu na stronie internetowej.
Prezes UODO zawiadomił Administratora o wszczęciu postępowania administracyjnego, którego przedmiotem była
możliwość naruszenia obowiązków wynikających z art. 5 ust. 1 i 2 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2
oraz art. 34 ust. 1 i 3 RODO.
Z uzasadnienia decyzji Prezesa UODO
Administrator wskazał, że nie wykonywał testów penetracyjnych, pozwalających na znalezienie podatności na ataki
z sieci publicznej. Wskazał, że systemy te są skanowane pod względem podatności na zagrożenia, jednakże nie
sprecyzował, kiedy dokonywał skanowania, nie przedstawił stosownych dowodów potwierdzających jego
przeprowadzanie, wykrytych podatności i sposobów postępowania z nimi. Administrator na żadnym etapie
postępowania administracyjnego nie przedstawił stosownych dowodów, które można byłoby uznać za wystarczające
do wykazania spełnienia obowiązków wynikających z art. 32 ust. 1 i 2 RODO. Poprzestał on jedynie na
oświadczeniu, iż nie dokonywał formalnej oceny ryzyka.
W ocenie Organu nadzorczego taki sposób działania Administratora nie zapewniał należytej kontroli nad procesem
przetwarzania danych w systemie, a w konsekwencji identyfikowania ryzyk naruszenia praw lub wolności osób
fizycznych. W ocenie Prezesa UODO Administrator nie zastosował się do obowiązku z art. 32 ust. 2 w związku z art.
5 ust. 2 RODO, tj. nie wykazał w należyty sposób, czy stopień bezpieczeństwa jest adekwatny do ryzyka wiążącego
się z niezgodnym z prawem, nieuprawnionym dostępem do danych osobowych.
Mając na uwadze autorski charakter aplikacji, w ocenie Prezesa UODO nieprzeprowadzenie formalnej analizy
ryzyka, która wiązałaby się z koniecznością przeprowadzenia testu bezpieczeństwa, mającego na celu wykrycie
wszystkich podatności aplikacji, przyczyniła się do naruszenia. Powyższe stanowi naruszenie zasady określonej
w art. 5 ust. 1 lit. f) RODO, tj. zasady poufności i integralności, której odzwierciedleniem są obowiązki określone
w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 oraz art. 32 ust. 2 RODO.
Zdaniem Prezesa UODO istotnym jest, by w ramach realizacji obowiązków wynikających z RODO administrator
dokonywał cyklicznej weryfikacji, czy w używanych rozwiązaniach technicznych i organizacyjnych nie stwierdzono
słabości mogących wpłynąć na ryzyko naruszenia praw lub wolności podmiotów danych. Brak takiej weryfikacji
oznacza naruszenie art. 25 ust. 1 RODO. Brak działań Administratora w tym zakresie stanowi również o naruszeniu
art. 24 ust. 1, art. 32 ust. 1 lit. d) oraz art. 32 ust. 2 RODO poprzez brak uwzględnienia ryzyka związanego

z przetwarzaniem haseł użytkowników w postaci funkcji skrótu. Jej słabość jest powszechnie znana, co w przypadku
niezastosowania innych środków technicznych i organizacyjnych, mających na celu zapewnienie bezpiecznego
przetwarzania, stanowi o narażeniu podmiotów danych na zwiększenie ryzyka naruszenia praw lub wolności osób
fizycznych w razie zaistnienia naruszenia poufności przetwarzanych danych.
Odnosząc się do zagadnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych
i organizacyjnych, zdaniem Prezesa UODO, Administrator obok wskazania, że stosował oprogramowanie do
wyszukiwania podatności aplikacji na zagrożenia, wskazał, iż nie dokonywał analizy wewnętrznych logów systemu.
Jak wynika z wyjaśnień Administratora oraz ze Wstępnej analizy powłamaniowej, konfiguracja serwera, na którym
znajdowała się aplikacja, powodowała kasowanie logów (dzienników systemowych) po 4 tygodniach, a analiza
zasadności przyjęcia takiego okresu przechowywania logów nie była wykonywana. Ponadto z ww. wstępnej analizy
wynika, iż sama aplikacja obsługująca system nie posiadała na tyle szczegółowego dziennika zdarzeń, by
zidentyfikować jakiekolwiek ślady pochodzenia pierwszego pliku, który posłużył nieznanej i nieuprawnionej osobie do
dostępu do bazy danych.
W sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji, niezwłocznie po stwierdzeniu naruszenia
Administrator zawiadomił o nim osoby, których dane dotyczą, przekazując im wszystkie informacje, o których mowa
w art. 34 ust. 2 RODO. W konsekwencji Prezes UODO umorzył postępowanie administracyjne w tym zakresie.
Stosownie do treści art. 83 ust. 2 lit. a)-k) RODO, Prezes UODO wziął pod uwagę następujące okoliczności. Po
pierwsze uwzględniono ilość osób dotkniętych naruszeniem. Podkreślono, że naruszenie spowodowało wysokie
ryzyko wystąpienia negatywnych skutków w przyszłości, wynikających z charakteru danych, dużej liczby podmiotów
danych, prawdopodobnie złej woli osoby, która w sposób nieuprawniony uzyskała do nich dostęp, a także dużą skalę
przetwarzania. W stosunku do tych osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia
się ich danymi osobowymi, ponieważ nieznany jest cel, dla którego osoba bądź osoby nieuprawnione mogą podjąć
bezprawne działania. Za okoliczność obciążającą uznano także długi czas trwania naruszenia.
Biorąc pod uwagę, że to na Administratorze ciąży obowiązek dokonania oceny zabezpieczeń na każdym etapie
przetwarzania, zwłaszcza wobec rozwiązań technologicznych, tworzonych bez wsparcia profesjonalnych podmiotów
zewnętrznych, a jedynie w oparciu o własne zasoby ludzkie oraz wiedzę technologiczną, zaimplementowanych
w organizacji przez jej pracowników na przestrzeni około 10 lat, Prezes UODO stwierdził, że Administrator nie
wdrożył odpowiednich środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa
przetwarzania danych osobowych.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również okoliczności łagodzące. Nie
stwierdzono umyślnych działań Administratora, ukierunkowanych na naruszenie przepisów o ochronie danych
osobowych. Ponadto podjęto dodatkowe działania mające na celu złagodzenie, czy też wynagrodzenie krzywdy
poniesionej przez osoby dotknięte naruszeniem. Ostatecznie nie stwierdzono wcześniejszych naruszeń przepisów
RODO przez Administratora.
Podsumowując, Administrator nie zastosował odpowiednich środków technicznych i organizacyjnych, mających
zapewnić zdolność do ciągłego zapewniania poufności usług przetwarzania. Nie przeprowadzał on regularnych
testów, pomiarów i ocen skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie
bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym. Ponadto Administrator nie
uwzględnił ryzyka związanego z przetwarzaniem w aplikacji haseł użytkowników w postaci funkcji skrótu, która nie
dawała dostatecznej gwarancji bezpieczeństwa, co w przypadku niezastosowania innych środków stanowi
o narażeniu podmiotów danych na zwiększenie ryzyka naruszenia praw lub wolności osób fizycznych w razie
zaistnienia naruszenia poufności przetwarzanych danych. Kara administracyjna została nałożona także z uwagi na
brak analizy zasadności 4-tygodniowego przechowywania logów oraz na brak analizy zasadności braku
szczegółowego dziennika zdarzeń w aplikacji.

Komentarz
Ciekawym rozwiązaniem przyjętym przez Administratora były dodatkowe działania podjęte w związku z naruszeniem,
a mające na celu złagodzenie, zminimalizowanie lub wynagrodzenie krzywdy. Zdecydowano się na finansowanie
poszkodowanym kosztów zabezpieczenia danych osobowych w standardowej usłudze na okres 12 miesięcy.
Ponadto osoby, których sytuacja dotyczyła, mogły ubiegać się o zwrot podstawowych kosztów poniesionych na
zabezpieczenie swoich danych osobowych. Podstawą zwrotu było potwierdzenie statusu osoby, której dane
ujawniono.

Decyzja Prezesa UODO z 9.12.2021 r., DKN.5130.2559.2020,

Prezes UODO uznał, że Administrator nie spełnił obowiązków wynikających z RODO, np. nie wykonał testów penetracyjnych ani nie przeprowadził formalnej analizy ryzyka. Brak odpowiednich środków i działań organizacyjnych skutkował wysokim ryzykiem naruszenia praw osób fizycznych.