Brak zabezpieczeń blokujących nieuprawnione wykonanie kopii danych podstawą do nałożenia kary przez Prezesa UODO
Prezes UODO nałożył administracyjną karę pieniężną na Burmistrza Miasta i Gminy W. w związku z niezastosowaniem odpowiednich środków organizacyjnych zapewniających bezpieczeństwo danych, co doprowadziło do nieuprawnionego wykonania kopii danych osobowych. Brak analizy ryzyka i monitorowania zabezpieczeń przyczyniły się do naruszenia przepisów RODO. Decyzja Prezesa UODO stanowi istotne przypomnienie o konieczności przestrzegania zasad ochrony danych osobowych.
Tematyka: Prezes UODO, Administrator danych, RODO, kara pieniężna, naruszenie danych osobowych, analiza ryzyka, zabezpieczenia, monitorowanie, szkolenia o ochronie danych, zasady ochrony danych osobowych
Prezes UODO nałożył administracyjną karę pieniężną na Burmistrza Miasta i Gminy W. w związku z niezastosowaniem odpowiednich środków organizacyjnych zapewniających bezpieczeństwo danych, co doprowadziło do nieuprawnionego wykonania kopii danych osobowych. Brak analizy ryzyka i monitorowania zabezpieczeń przyczyniły się do naruszenia przepisów RODO. Decyzja Prezesa UODO stanowi istotne przypomnienie o konieczności przestrzegania zasad ochrony danych osobowych.
Prezes UODO stwierdził naruszenie przez Burmistrza Miasta i Gminy W. przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO. Naruszenie przepisów polegało na niezastosowaniu przez Burmistrza Miasta i Gminy W. odpowiednich środków organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych. Skutkiem niezastosowania odpowiednich środków było nieuprawnione wykonanie kopii danych osobowych z komputera służbowego na przenośny nośnik pamięci przez pracownika Urzędu Miasta i Gminy W. Prezes UODO nałożył na Burmistrza Miasta i Gminy W. administracyjną karę pieniężną w kwocie 10 000 złotych. Stan faktyczny Burmistrz Miasta i Gminy W. (Urząd Miasta i Gminy W., dalej: Administrator) dokonał Prezesowi Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) zgłoszenia naruszenia ochrony danych osobowych. Do naruszenia ochrony danych osobowych doszło na skutek nieuprawnionego wykonania z komputera służbowego na przenośny nośnik pamięci przez pracownika kopii danych osobowych w zakresie: nazwiska i imiona, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr ewidencyjny PESEL, inne (informacje o rozliczeniach opłat za czynsze, wodę, ścieki, energię elektryczną, najem lokali). W związku ze złożonymi wyjaśnieniami Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Burmistrza, jako administratora danych, obowiązków wynikających z przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), w związku z naruszeniem ochrony danych osobowych. Z uzasadnienie decyzji Prezesa UODO W przedmiotowej sprawie – wobec nieprzeprowadzenia przed wystąpieniem naruszenia ochrony danych osobowych analizy ryzyka dla operacji przetwarzania danych osobowych w związku z wykorzystywaniem przez pracowników sprzętu komputerowego umożliwiającego podłączenie przenośnych nośników danych (w szczególności pamięci USB), w tym prywatnych przenośnych nośników danych, która uwzględniałaby zagrożenia związane z nieuprawnionym skopiowaniem przez pracownika z komputera służbowego na ten rodzaj nośnika danych plików zawierających dane osobowe – Administrator nie monitorował zarówno adekwatności, jak i skuteczności zastosowanych zabezpieczeń, wbrew nie tylko obowiązkom wynikającym z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO, ale także zasadzie rozliczalności, o której mowa w art. 5 ust. 2 RODO. Z okoliczności sprawy wynika, że przed wystąpieniem naruszenia ochrony danych osobowych nie dokonano oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych (art. 5 ust. 1 lit. f RODO), wynikającego z zagrożeń związanych z dopuszczeniem używania przenośnych nośników danych przez pracowników Administratora, w tym zagrożeń dotyczących nieuprawnionego wykonania kopii plików z komputera służbowego na ten rodzaj nośnika danych. W konsekwencji, nie wykazano również przestrzegania w tym zakresie zasady rozliczalności (art. 5 ust. 2 RODO). Podkreślić należy, że przeprowadzenie analizy ryzyka przed dopuszczeniem używania przenośnych nośników danych przez pracowników Administratora, a następnie monitorowanie przyjętych procedur bezpieczeństwa zminimalizowałoby ryzyko wystąpienia przedmiotowego naruszenia i czyniłoby zadość obowiązkowi rozliczalności, który został nałożony na Administratora. Z uwagi na fakt nieprzeprowadzenia przez Administratora analizy ryzyka przed wystąpieniem naruszenia ochrony danych osobowych, Burmistrz nie był w stanie wykazać, czy przyjęte rozwiązania rzeczywiście zapewniały odpowiednie bezpieczeństwo w przypadku przetwarzania danych osobowych w związku z korzystaniem przez pracowników z przenośnych nośników danych. Dobór tych środków powinien nastąpić w wyniku prawidłowo przeprowadzonej analizy ryzyka dla operacji przetwarzania danych osobowych, czego jednak Administrator przed wystąpieniem naruszenia ochrony danych osobowych nie zrobił. Należy także zauważyć, że Administrator (z uwagi na charakteru rozwiązań, które przyjął) obiektywnie nie jest w stanie zweryfikować, a w konsekwencji także wykazać, czy pracownik wykorzystywał przenośne nośniki danych w sposób gwarantujący zgodne z prawem przetwarzanie danych osobowych. Zdaniem Prezesa UODO analiza ryzyka, która została przeprowadzona po stwierdzeniu naruszenia ochrony danych osobowych, stanowi dowód na fakt, iż Administrator właściwie rozpoznał konsekwencje braku odpowiednich zabezpieczeń procesu przetwarzania danych osobowych w sytuacji dopuszczenia używania przenośnych nośników pamięci. Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO wziął pod uwagę następujące okoliczności sprawy. Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, którego skutkiem była możliwość uzyskania nieuprawnionego dostępu do przetwarzanych przez Administratora danych przez osobę bądź osoby nieuprawnione, a w konsekwencji możliwość pozyskania danych osobowych osób, które były zawarte dokumentach bezpodstawnie skopiowanych przez pracownika na przenośny nośnik pamięci, ma znaczną wagę i poważny charakter. Stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla dokładnie nieustalonej, potencjalnie dużej liczby osób (Administrator wskazał, że naruszenia dotyczy ok. 250 osób), do których danych dostęp mogła mieć osoba bądź osoby nieuprawnione. Podkreślić należy również długi czas trwania naruszenia przepisów RODO. Administrator był także świadomy, że w przypadku dopuszczenia przetwarzania danych osobowych z wykorzystaniem sprzętu komputerowego umożliwiającego podłączenie przenośnych nośników danych (w szczególności pamięci USB), w tym prywatnych przenośnych nośników danych, powinien przetwarzać dane osobowe, w taki sposób, aby zapewnić im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych i organizacyjnych, a wiec w taki sposób, aby zapewnić przestrzeganie zasady „integralności i poufności” wyrażonej w art. 5 ust. 1 lit. f RODO. Administrator był świadomy częstego wykorzystywania przenośnych nośników danych do autoryzacji oraz obsługi interesantów. Powinien zatem przewidzieć możliwość naruszenia ochrony danych osobowych poprzez nieuprawnione wykorzystanie tego rodzaju nośnika danych. Mimo przyjętej praktyki wykorzystywania przenośnych nośników danych, Administrator nie przeprowadził analizy ryzyka w zakresie objętym naruszeniem. Dopiero po wystąpieniu naruszenia ochrony danych osobowych podjął określone czynności o charakterze techniczno- organizacyjnym, takie jak przeprowadzenie analizy ryzyka czy wprowadzenie odpowiedniej procedury. W działaniach Administratora uwidoczniona została świadomość, co do braku zapewnienia odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych z wykorzystaniem przenośnych nośników danych (np. pamięci USB), w szczególności w sytuacji, gdy nośnik ten nie jest własnością Administratora. W omawianym przypadku Administrator mógł przewidzieć, że przyjęte rozwiązania nie zapewnią odpowiedniego stopnia bezpieczeństwa danych osobowych, co będzie stanowiło naruszenie przepisów o ochronie danych osobowych. Oznacz to, że nieumyślnie naruszył przepisy o ochronie danych osobowych - art. 5 ust. 1 lit. f RODO w zw. z art. 24 ust. 1, 25 ust. 1, 32 ust. 1 i 2 RODO i w konsekwencji również art. 5 ust. 2 RODO. Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Administrator dopuścił się zaniedbania skutkującego wystąpieniem naruszenia dotyczącego poufności danych. Stanowi to istotną okoliczność wpływającą obciążająco na wysokość kary administracyjnej. Stwierdzono ponadto, że dane osobowe znajdujące się na przenośnym nośniku pamięci nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, jednakże ich zakres, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem. Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczność łagodzącą, dobrą współpracą Administratora z organem nadzorczym. Stwierdzono także, że Administrator w pełnym zakresie zrealizował zalecenia Prezesa UODO dotyczące uzupełnienia zawiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu. Burmistrz podjął również konkretne i szybkie działania, których efektem było usunięcie możliwości ponownego wystąpienia naruszenia. W szczególności Administrator usunął podatność na naruszenie ochrony przetwarzanych danych osobowych, poprzez wprowadzenie ewidencjonowania przenośnych pamięci. Wprowadzono także zakaz korzystania z prywatnych przenośnych nośników pamięci przez pracowników Urzędu, a w szczególności zakaz dokonywania czynności polegających na kopiowaniu, przegrywaniu plików, montowaniu, demontowaniu urządzeń, wgrywaniu, przegrywaniu oprogramowania oraz danych w celu przeniesienia lub skopiowania informacji ze sprzętu teleinformatycznego pracodawcy na nośniki stanowiące własność użytkowników. Komentarz Prezes UODO w tej decyzji odniósł się także do kwestii przeprowadzania szkoleń i traktowania ich jako środka, o którym mowa m.in. w art. 24 i 32 RODO. Jak wynika ze zgromadzonego materiału dowodowego, Administrator przeprowadził szkolenia obejmujące zagadnienia związane z ochroną danych osobowych, ale nie był w stanie wykazać, że osoba odpowiedzialna za naruszenie ochrony danych osobowych uczestniczyła w tych szkoleniach. Tym samym Administrator nie zrealizował jednej z podstawowych zasad przyświecających RODO, jaką jest zasada rozliczalności. Należy poprzeć twierdzenie, że aby przeprowadzanie szkoleń z zakresu ochrony danych osobowych mogło zostać uznane za adekwatny środek bezpieczeństwa, musi być realizowane w sposób cykliczny. Decyzja Prezesa UODO z 9.5.2023 r., DKN.5131.44.2022,
Naruszenie przepisów o ochronie danych osobowych przez Administratora, który dopuścił się zaniedbania skutkującego możliwością uzyskania nieuprawnionego dostępu do danych osobowych. Prezes UODO wziął pod uwagę poważny charakter naruszenia i długi czas trwania incydentu przy ustalaniu wysokości administracyjnej kary pieniężnej. Ważnym elementem kary było również brak odpowiedniej reakcji Administratora na naruszenie i zaniedbanie w przeprowadzaniu szkoleń z ochrony danych osobowych.