Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Karolina Kisielewicz, Asesor WSA Dorota Kozub-Marciniak (spr.), Protokolant specjalista Joanna Głowala po rozpoznaniu na rozprawie w dniu 4 kwietnia 2024 r. sprawy ze skargi Komendanta [...] Wojewódzkiej Komendy Ochotniczych Hufców Pracy w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Komendant Wojewódzki [...] Wojewódzkiej Komendy Ochotniczych Hufców Pracy (dalej także, jako: Komendant, skarżący lub administrator) wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej, jako: Prezes UODO lub organ) z dnia [...] lipca 2023 r.

Zaskarżona decyzja wydana została na podstawie art. 104 § 1 K.p.a. w związku z art. 7, art. 60 i art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a i hart. 58 ust. 2 lit. i, art. 83 ust. 1 - 3, art. 83 ust. 4 lit. a w związku z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 art. oraz 83 ust. 5 lit. a w związku z art. 5 ust. 1 lit. f i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35.), dalej, jako: RODO. Prezes UODO, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez skarżącego, stwierdzając naruszenie przez Komendanta przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO polegające na:

1. niezastosowaniu przez Komendanta Wojewódzkiego [...] Wojewódzkiej Komendy Ochotniczych Hufców Pracy w [...] odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych w przypadku wykonywania pracy przez pracowników zatrudnionych w [...] Wojewódzkiej Komendzie Ochotniczych Hufców Pracy w [...] z wykorzystaniem przenośnych komputerów służbowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, co skutkowało utratą (na skutek kradzieży) przez pracownika [...] Wojewódzkiej Komendy Ochotniczych Hufców Pracy w [...] jego przenośnego komputera wykorzystywanego na potrzeby świadczenia pracy, na którym znajdowały się dokumenty zawierające dane osobowe, które ten pracownik wykorzystywał w celach służbowych,

2. braku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, w szczególności w związku z wykorzystaniem przenośnych komputerów służbowych,

które to naruszenia skutkują naruszeniem zasady "integralności i poufności" (art. 5 ust. 1 lit. f RODO) i rozliczalności (art. 5 ust. 2 RODO), nałożył na skarżącego administracyjną karę pieniężną w kwocie 15 000 złotych.

W uzasadnieniu Prezes UODO wskazał, że Komendant w dniu 10 maja 2022 r. dokonał zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych (dalej, jako: Prezes UODO) naruszenia ochrony danych osobowych, do którego doszło [...] maja 2022 r. Naruszenie ochrony danych osobowych nastąpiło na skutek włamania do samochodu służbowego osoby zajmującej kierownicze stanowisko i kradzieży jej służbowego komputera przenośnego wykorzystywanego do przetwarzania danych osobowych trzech osób. W konsekwencji ww. naruszenia ochrony danych osobowych doszło do utraty poufności danych osobowych tych osób. Administrator wskazał, że kategorie danych osobowych, które zostały naruszone, to: nazwiska i imiona, data urodzenia, adres zamieszkania lub pobytu oraz numer identyfikacyjny PESEL.

Pismem z 17 maja 2022 r. administrator wskazał, że "(...) skradziony komputer nie posiadał uruchomionej usługi szyfrowania, nie mniej posiadał hasło do konta użytkownika. Wskazano ponadto, że na skradzionym komputerze zainstalowano system operacyjny Windows 10 Home, zaznaczając jednocześnie, że "obecnie mamy zakupione do Windows 10 Professional, systemu pozwalającego na uruchomienie BitLockera (...)".

Administrator w piśmie z 29 czerwca 2022 r. wskazał, że ze skradzionego komputera korzystano poza obszarem przetwarzania danych. Ponadto Komendant wskazał, że "(...) sprzęt został ukradziony z samochodu służbowego, którego próbę kradzieży również poczyniono (...)".

Pismem z 1 lipca 2022 r. Prezes UODO zwrócił się do administratora między innymi o wskazanie, czy została opracowana i wdrożona procedura dotycząca przetwarzania danych osobowych poza siedzibą administratora, jeśli tak, to czy po naruszeniu ochrony danych osobowych została ona poddana aktualizacji (zwrócono się o przekazanie procedury w wersji obowiązującej przed naruszeniem, jak i po wystąpieniu naruszenia).

W piśmie z 14 lipca 2022 r. administrator wskazał, że "(...) w treści obowiązującej polityki bezpieczeństwa ochrony danych os. funkcjonują zapisy: 1) Wszelkie adnotacje związane z przetwarzaniem danych poza obszarem [...]WK OHP, obowiązkowo muszą być przekazywane do IOD nie rzadziej niż co kwartał. Informacja może przekazana zostać drogą elektroniczną, przy zachowaniu formy dokumentu - wzór nr 15 do niniejszej polityki bezpieczeństwa; 2) W przypadku pracy zdalnej [lub telepracy] świadczonej przez osobę będącą pracownikiem [...]WK OHP, jako obszar przetwarzania danych w wykazie miejsc przetwarzania danych należy użyć pojęcia zdalna praca lub telepraca na podstawnie umowy o pracę. Powyższe funkcjonowało na zasadach kontaktu telefonicznego, z brakiem zastosowania wzoru dok. nr 15 (załącznik nr 1 do niniejszego pisma), co po naruszeniu ulegnie zmianie. Przetwarzanie poza obszarem będzie bardziej kontrolowane, a stosowanie rejestru w ramach załącznika nr. 15 poddane zostanie audytowi z końcem br. (...)". W przedmiocie przeprowadzonych szkoleń pracowników administrator wyjaśnił, że "(...) w [...]WK OHP funkcjonuje zasada, iż każdy nowy pracownik zostaje zapoznany z: (...) najistotniejszymi dla pracownika przepisami RODO oraz ustawy o ochronie danych osobowych (...) Polityką bezpieczeństwa i ochrony danych osobowych w [...]WK OHP (...) Instrukcją Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych w [...]WK OHP (...)". Administrator wyjaśnił również, że jest w trakcie aktualizacji oprogramowania "(...) tak aby wszędzie zaistniała możliwość uruchomienia BitLockera. Na chwilę obecną ok. 61 sprzętów mobilnych ma uruchomione szyfrowanie. Administrator wskazał ponadto, że planuje do końca 2022 r. wykonać audyt całego sprzętu mobilnego oraz przeprowadzić cykl telekonferencji z pracownikami komórek oraz jednostek organizacyjnych w tematyce bezpieczeństwa ochrony danych osobowych.

W odpowiedzi na pytanie organu, czy administrator odtworzył dane osobowe osób, których dane znajdowały się na skradzionym komputerze przenośnym, administrator wskazał, że dane zostały odtworzone dzięki pamięci przenośnej - dysk zewnętrzny. Administrator przedłożył między innymi "Zarządzenie nr 60 Komendanta [...] Wojewódzkiej Komendy OHP z dnia 22 grudnia 2021 r. w sprawie wprowadzenia zasad wykonywania kopi zapasowej w jednostkach organizacyjnych [...]WK OHP". Szczegółowe zasady dotyczące wykonywania kopii zapasowej wskazane zostały w załączniku nr 1 do ww. zarządzenia. W § 6 dokumentu wskazano, że zgodnie z przyjętą polityką bezpieczeństwa ochrony danych osobowych dyski mogą być używane wyłącznie na terenie jednostki organizacyjnej (ust. 1). Pracownik ma prawo wynieść nośnik poza obszar jednostki organizacyjnej jedynie w przypadku konieczności dostarczenia sprzętu do Biura [...] Komendy OHP, po wcześniejszym zgłoszeniu powyższego do zespołu IT lub IODO (ust. 2). Dysk wraz z protokołem przekazania należy przechowywać w zamykanej szafie, w stosownym pomieszczeniu, do którego nie ma dostępu beneficjent instytucji (ust. 3). Za wyniesienie dysku poza obszar przetwarzania bez uzasadnionego celu oraz zgłoszenia niniejszego faktu do działu zespołu IT lub IODO mogą zostać wyciągnięte konsekwencje służbowe (ust. 4).

Nadto administrator wskazał "(...) [...]WK OHP przedkłada: 1) Analizę ryzyka przetwarzania danych osobowych poza obszarem przetwarzania dla [...]WK OHP - załącznik nr 3 do pisma, wykonaną według metodyki - załącznik nr 4. 2) Tabelę pozwalającą określić wagę naruszenia według metodyki metody oceny wagi naruszenia wg. Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), [załącznik nr 5]. Załączając egzemplarz analizy ryzyka "KARTA OCENY RYZYKA - przetwarzanie danych os. poza obszarem przetwarzania dla [...]WK OHP", Administrator nie wskazał w jakiej dacie analiza ryzyka została przeprowadzona.

Administrator wyjaśnił ponadto, że kradzież laptopa, dotknęła kierownictwa wyższego, które często wykonuje czynności, z racji swoich obowiązków służbowych, w delegacji. W ramach zaistniałego faktu w znowelizowanej treści polityki bezpieczeństwa danych osobowych w [...]WK OHP dodano stosowne zapisy.

Pismem z dnia 22 grudnia 2022 r. administrator poinformował organ, że podjął czynności mające na celu rozszerzenie ochrony przed takimi zdarzeniami w przyszłości tj.: wdrożył uruchomienie BitLockera na komputerach mobilnych typu laptop, posiadających odpowiedni system operacyjny, przygotowuje wniosek do jednostki nadrzędnej tj. Komendy Głównej OHP o wsparcie techniczne, tj. możliwość przekazania lepszej jakości laptopów, które posiadałyby możliwość uruchomienia BitLockera oraz geolokalizacji, zaktualizował politykę bezpieczeństwa, a dodatkowo poinformował pracowników [...]WK OHP o zakazie wynoszenia laptopów poza obszar przetwarzania bez wyraźnej zgody Kierownika jednostki oraz administratora danych, tj. Komendanta [...]WK OHP. Do wyjaśnień załączono oświadczenie pracownika administratora, zajmującego stanowisko Specjalisty ds. informatyki i telekomunikacji, z dnia 20 października 2022 r., z którego wynika, że w okresie od 4 maja 2022 r. do 30 czerwca 2022 r. na urządzeniach elektronicznych typu laptop, należących do [...] Wojewódzkiej Komendy Ochotniczych Hufców Pracy zostało uruchomione szyfrowanie typu BitLocker Ponadto, wraz z ww. pismem administrator załączył między innymi: "Analizę nr 1 - Ryzyko inherentne, przed naruszeniem", "Analizę nr 2 - Ryzyko rezydualne (po uwzględnieniu mechanizmów kontrolnych)" - Administrator nie wskazał w jakiej dacie ww. analizy ryzyka zostały przeprowadzone.

W celu uzyskania jednoznacznych wyjaśnień dotyczących daty przeprowadzonej analizy ryzyka, Prezes UODO ponownie zwrócił się w tej kwestii do administratora. W piśmie z dnia 21 marca 2023 r. Prezes UODO zwrócił się o: a) wskazanie daty przeprowadzenia analizy ryzyka przed wystąpieniem naruszenia ochrony danych osobowych (dokument ten stanowi załącznik nr 4 do pisma Administratora z 22 grudnia 2022 r.) oraz daty przeprowadzenia analizy ryzyka wykonanej "po uwzględnieniu mechanizmów kontrolnych" (dokument ten stanowi załącznik nr 5 do pisma Administratora z 22 grudnia 2022 r.), b) przesłanie oraz wskazanie daty wykonania analizy ryzyka przeprowadzonej przed dokonaniem analizy ryzyka stanowiącej załącznik nr 4 do pisma Administratora z 22 grudnia 2022 r. (jeżeli taka analiza nie była przeprowadzona, zwrócono się o wskazanie przyczyny jej niewykonania).

W odpowiedzi na ww. pytania organu, administrator nie udzielił jednoznacznej odpowiedzi wskazując, w piśmie z 27 marca 2023 r., że załącznik nr 4 oraz załącznik nr 3 został przygotowany dodatkowo w formie rozdzielonych analiz w odrębnych plikach. Obie analizy w oryginalnej wersji były w jednym pliku, który został przedłożony w piśmie z dnia 14 lipca 2022 r. Plik sam w sobie posiada datę utworzenia zawartości: [...].08.2012r. [[...] - Załącznik nr 1 do niniejszego pisma.]. Powyższe wynika z faktu, iż procesy analiz były prowadzone/tworzone na modyfikowanych plikach po poprzednim pracowniku, który zajmował stanowisko związane z kontrolą wewnętrzną. Pierwsza analiza była wykonywana w okolicach połowy 2020 roku, po czym plik był weryfikowany w czasie zaistnienia naruszenia. Dokonana została zmiana m.in. w sformułowaniu dot. wynoszenie urządzeń mobilnych typu laptop/tablet, zawierających dane osobowe, bez zgody KKO/KJO. Wcześniej w brzmieniu: wynoszenie nośników danych typu laptop. Analiza ryzyka dotyczy czynności i jest plikiem aktywnym. Ponadto, administrator wskazał, że w dniu 27 marca 2023 r. została zakończona procedura wdrażania pakietu usług od firmy [...], dzięki czemu korzystając z usługi [...] wszystkie komputery zostały zarejestrowane w organizacji. Powyższe pozwala na sprawdzanie aktywności oraz numerów IP logowania konkretnych pracowników, a także monitorowania połączeń Internetowych w przypadku utraty laptopa

Organ dokonał oceny materiału dowodowego pod kątem zbadania jego wiarygodności i mocy dowodowej. Prezes UODO uznał przeważającą większość przedłożonych przez administratora dowodów za wiarygodne. Kluczowe wyjaśnienia są bowiem logiczne, spójne i korelują z całością materiału dowodowego. Organ wskazał, że nie może jednak umknąć uwadze fakt, iż administrator przedkładając wyjaśnienia dostarczał dokumenty (dowody na ich potwierdzenie), z których nie wynikało, w jakiej dacie zostały one wytworzone. Skutkowało to koniecznością uzyskiwania przez organ dodatkowych wyjaśnień w celu dokładnego ustalenia i zbadania stanu faktycznego. Powyższe nie oznacza, że Prezes UODO uznał jakikolwiek z kluczowych dla rozstrzygnięcia dowodów za niewiarygodny i nieposiadający mocy dowodowej. Ma to jednak istotny wpływ na ocenę stopnia współpracy administratora z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków.

Prezes UODO przytoczył treść art. 57 ust. 1 lit. a i h, art. 5, art. 25 ust. 1, art. 32 ust. 1 i 2, art. 24 ust. 1 RODO i wskazał, że administrator dopuszczając możliwość przetwarzania danych osobowych przy użyciu przenośnych komputerów służbowych poza siedzibą jego organizacji, w oparciu o właściwie przeprowadzoną analizę ryzyka, winien zidentyfikować zagrożenia dla przetwarzanych w ten sposób danych osobowych, a następnie określić oraz wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa tych danych, a także regularnie sprawdzać skuteczność tych środków. W tym przypadku przeprowadzenie takiej analizy było szczególnie istotne z uwagi na specyfikę pracy wykonywanej na stanowisku, w którym przewidziano świadczenie pracy w delegacji. Powyżej wskazane okoliczności, z uwagi na konieczność przyjęcia rozwiązań w zakresie przetwarzania danych osobowych, powinny spowodować podjęcie szeregu dodatkowych działań zapewniających bezpieczeństwo danych osobowych, a punktem wyjścia do ich określenia winno być, przeprowadzenie analizy ryzyka, która zakłada możliwość utraty dostępu (np. w następstwie kradzieży lub zagubienia) do sprzętu komputerowego wykorzystywanego do przetwarzania danych osobowych przez pracowników poza organizacją administratora i w następstwie tego naruszenie poufności danych znajdujących się na tym sprzęcie (art. 25 ust. 1 RODO).

Dalej organ podniósł, że RODO wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa.

W przedmiotowej sprawie administrator był wielokrotnie wzywany przez organ nadzorczy do przedłożenia analizy ryzyka dokonanej przed wystąpieniem naruszenia ochrony danych osobowych, jak i tej dokonanej po jego wystąpieniu. W odpowiedzi na pismo organu, w którym wniósł o przekazanie analizy ryzyka funkcjonującej przed naruszeniem danych osobowych oraz wykonanej po naruszeniu, administrator dostarczył dokument, z którego nie wynikało, kiedy przedłożona analiza została przez niego przeprowadzona. W dostarczonym wraz z pismem pliku zapisanym w formacie .xls o nazwie "Załącznik nr 3 do pisma - Analiza Ryzyka przetwarzanie poza obszarem [pisownia oryginalna]", w arkuszu o nazwie "Karta Oceny Ryzyka", uwzględniono rodzaj przetwarzania danych określony jako "Przetwarzanie danych osobowych poza obszarem przy wykorzystaniu nośnika danych typu laptop/tablet/dysk zewnętrzny (dane wykluczające art. 9)" oraz "Przetwarzanie danych osobowych poza obszarem przy wykorzystaniu nośnika danych typu laptop/tablet/dysk zewnętrzny (dane uwzględniające art. 9)’’. W ramach ww. rodzajów przetwarzania - w części "Karty oceny ryzyka" określonej jako "Ryzyko inherentne" - Administrator zidentyfikował zagrożenia, w tym te, które określił jako "zagubienie/kradzież sprzętu przy braku uruchomionych szyfrujących" ustalając przy tym poziom ryzyka jako wysoki, jednocześnie wskazując, że: "Poziom ryzyka nieakceptowany - działanie może zostać przesunięte w czasie, wymaga stałego monitorowania", a jako "Rekomendacje/Zalecenia/Mechanizmy kontrolne" wskazał: "zabezpieczenie wszystkich mobilnych urządzeń systemami szyfrującymi, np. BitLocker".

W części "Karty oceny ryzyka" określonej jako "Ryzyko rezydualne (po uwzględnieniu mechanizmów kontrolnych)" Administrator zidentyfikował, tożsame z powyżej opisanymi, rodzaje przetwarzania danych i zagrożenia, z tą różnicą, że - w przypadku kluczowych z punktu widzenia przedmiotowej sprawy zagrożeń, tj. zagubienie/kradzież sprzętu przy braku uruchomionych szyfrujących - administrator dokonał korekty poziomu ryzyka wskazując, że jest on niskie, a poziom tego ryzyka jest akceptowalny.

Wskazana analiza ryzyka została ponownie przekazana organowi wraz z pismem z dnia 22 grudnia 2022 r. w formie załączników z tą różnicą, że została ona przedstawiona w formie dwóch plików zapisanych w formacie .xls. Zarówno w przypadku analizy ryzyka dostarczonej wraz z pismem z 14 lipca 2022 r., jak i w przypadku tej dostarczonej wraz z pismem z 22 grudnia 2022 r. administrator nie wskazał daty ich przeprowadzania. Ponadto użyte przez administratora określenia "ryzyko inherentne" i "ryzyko rezydualne" nie umożliwiają dokonanie jednoznacznej oceny tego, czy administrator przeprowadził analizę ryzyka przed wystąpieniem naruszenia. Organ zaznaczył przy tym, że forma przedłożonej analizy jest nieczytelna, a niektóre zawarte w niej zapisy są niezrozumiałe. Co prawda, administrator samodzielnie decyduje o formie i treści przeprowadzonej analizy, ale powinien być on w stanie, zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO), wykazać, że taka analiza została przeprowadzona właściwie, tzn. stanowi ona odpowiednie narzędzie dla skutecznego wdrożenia, a następnie monitorowania środków gwarantujących bezpieczeństwo w procesie przetwarzania danych osobowych. Przedstawiona analiza ryzyka nie wskazuje na przyczyny mitygacji - kluczowego w niniejszej sprawie - ryzyka, tzn. z przedłożonej analizy wynika, że administrator obniżył ryzyko wystąpienia zagrożenia, jakim jest "zagubienie/kradzież sprzętu przy braku uruchomionych szyfrujących" wskazując, że ryzyko jest akceptowalne (podczas gdy - zgodnie z poprzednią wersją analizy ryzyka - było ono nieakceptowalne).

Dalej Prezes UODO wskazał, że brak wskazania dat przeprowadzenia ww. analiz skłonił organ nadzorczy do skierowania kolejnego pisma z żądaniem wskazania brakujących informacji, niezbędnych do dokładnego i pełnego ustalenia stanu faktycznego. Zdaniem organu skarżący po raz kolejny udzielił wymijających odpowiedzi.

Organ nie uznał wiarygodności dowodu: "Załącznik nr 1 – [...] Szczegółów utworzenia pliku", który został doręczony przez skarżącego wraz pismem z 27 marca 2023 r. Informacja zawarta we właściwościach pliku zapisanym w formacie .xls, o tym, że plik ten został utworzony 8 sierpnia 2012 r. nie dowodzi tego, że sama analiza ryzyka została w tym dniu utworzona. Zawartość pliku w formacie .xls o aktualnej nazwie "Załącznik nr 3 do pisma - Aanaliza Ryzyka przetwarzanie poza obszarem" mogła ulegać wielokrotnej zmianie (tzn. rzeczony plik mógł zawierać dowolną zawartość pod warunkiem, że zapisanie tych danych mogło zostać dokonane w formacie .xls), co więcej sama nazwa tego pliku również mogła być wielokrotnie zmieniana. Wobec powyższego, załączony zrzut z ekranu wskazujący na właściwości pliku o formacie .xls o aktualnej nazwie "Załącznik nr 3 do pisma - Analiza Ryzyka przetwarzanie poza obszarem" nie posiada żadnej wartości dowodowej. Co więcej, biorąc pod uwagę ciągłe unikanie przez administratora udzielenia jednoznacznej odpowiedzi, kiedy faktycznie analiza ryzyka została przeprowadzona, dostarczanie tego typu "dowodów" wskazuje jedynie na brak dobrej współpracy administratora z organem.

Prezes UODO wskazał, że nie miał jednak podstaw do uznania za niewiarygodne wyjaśnień administratora, w których wskazuje on, że przeprowadził analizę ryzyka przed wystąpieniem naruszenia.

W ocenie Prezesa UODO, od momentu opracowania analizy ryzyka (tj. - jak wyjaśnia sam administrator- od "połowy 2020 r.") do dnia stwierdzenia naruszenia ochrony danych osobowych (naruszenie zostało stwierdzone [...] maja 2022 r.) minęło wystarczająco dużo czasu dla wdrożenia mechanizmów mitygujących - nieakceptowany przez samego administratora - poziom ryzyka dla operacji związanych z przetwarzaniem danych osobowych poza siedzibą organizacji Administratora przy wykorzystaniu nośnika danych typu laptop /tablet/ dysk zewnętrzny w związku z możliwością zagubienia lub kradzieży sprzętu przy "braku uruchomionych szyfrujących". Administrator, pomimo, że w analizie ryzyka prawidłowo zidentyfikował zagrożenia dla danych osobowych przetwarzanych przy użyciu komputerów wynoszonych poza jego organizację, a także prawidłowo określił poziom ryzyka dla ww. danych oraz zdefiniował sposób postępowania z ryzykiem poprzez wskazanie zabezpieczeń, które należy zastosować dla obniżenia tego ryzyka, nie podjął żadnych działań, aby rzeczywiście to ryzyko wyeliminować lub ograniczyć do poziomu akceptowalnego. Efektem braku działania administratora w tym zakresie była materializacja zidentyfikowanego zagrożenia w postaci kradzieży służbowego komputera z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych, co skutkowało naruszeniem ich poufności.

Następnie organ podał, że administrator pomimo wezwania organu do wskazania, czy została opracowana i wdrożona procedura dotycząca przetwarzania danych osobowych poza siedzibą administratora, a jeżeli tak, to czy po naruszeniu ochrony danych osobowych została ona poddana aktualizacji (zwrócono się o przekazanie procedury w wersji obowiązującej przed naruszeniem, jak i po wystąpieniu naruszenia), ograniczył się do przesłania znowelizowanej "Polityki bezpieczeństwa danych osobowych w [...] Komendzie Ochotniczych Hufców Pracy". Wobec tego, Prezes UODO - mimo podjęcia próby uzyskania wyjaśnień w celu ustalenia szczegółowych zasad, jakie administrator określił w przypadku dopuszczenia przez niego przetwarzania danych osobowych poza siedzibą jego organizacji - nie był w stanie ocenić, czy administrator zastosował się do własnych procedur w tym zakresie. Brak możliwości przeprowadzenia takiej oceny ma jednak znaczenie drugorzędne, w tym sensie, że administrator nie przedkładając dokumentu regulującego kwestię przetwarzania danych osobowych przy wykorzystaniu przenośnego sprzętu komputerowego poza siedzibą jego organizacji, nie wykazał - zgodnie za zasadą rozliczalności (art. 5 ust. 2 RODO) - by określone przez niego zasady (obowiązujące przed wystąpieniem naruszenia ochrony danych osobowych) zakładały wdrożenie odpowiednich środków technicznych w czasie przetwarzania danych osobowych, aby przetwarzanie to odbywało się zgodnie z RODO. W konsekwencji Prezes UODO nie był w stanie ocenić, czy i w jaki sposób administrator dokonywał regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania przed wystąpieniem naruszenia ochrony danych osobowych, a więc czy wywiązał się z obowiązku wynikającego z art. 32 ust. 1 lit. d RODO.

Podsumowując organ wskazał, że z okoliczności sprawy wynika, że administrator przed wystąpieniem naruszenia ochrony danych osobowych - mimo że przepisy RODO obowiązują od 25 maja 2018 r. - nie wprowadził adekwatnych rozwiązań w celu zapobieżenia możliwości naruszenia zasady poufności danych osobowych (art. 5 ust. 1 lit. f RODO) na skutek materializacji zagrożeń związanych z wykorzystywaniem przenośnych komputerów poza siedzibą jego organizacji, w tym zagrożeń dotyczących kradzieży takiego sprzętu. W konsekwencji, administrator nie wykazał również przestrzegania w tym zakresie zasady rozliczalności (art. 5 ust. 2). Z przedłożonych przez administratora wyjaśnień wynika, że wdrożenie odpowiednich procedur i rozwiązań nastąpiło dopiero po wystąpieniu przedmiotowego naruszenia ochrony danych osobowych.

Dalej organ wskazał, że administracyjna kara pieniężna wobec skarżącego nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO na podstawie art. 83 ust. 4 lit. a RODO, natomiast za naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO - na podstawie art. 83 ust. 5 lit. a RODO. Jednocześnie kara nałożona łącznie za naruszenie wszystkich powyższych przepisów - stosownie do przepisu art. 83 ust. 3 RODO - nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO, które stosownie do art. 83 ust. 5 lit. a RODO podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a - k RODO - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążające na wymiar nałożonej administracyjnej kary pieniężnej:

1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO)

2. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b RODO);

3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO);

4. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO);

Prezes UODO podniósł, że ustalając wysokość administracyjnej kary pieniężnej, nie stwierdził okoliczności łagodzących, mającą wpływ na obniżenie wysokości wymierzonej kary. Natomiast inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 RODO, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej. Te okoliczności to:

1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c RODO);

2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d RODO);

3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust 2 lit. e RODO);

4. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit h RODO);

5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i RODO);

6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j RODO);

7. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k RODO);

8. Inne obciążające lub łagodzące czynniki (art. 83 ust. 2 lit. k RODO).

Prezes UODO podniósł również, że wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

Odnosząc się końcowo do wysokości nałożonej kary organ podał, że poprzestanie na upomnieniu byłoby nieproporcjonalne do stwierdzonych nieprawidłowości oraz nie gwarantowałoby, że skarżący w przyszłości nie dopuści się kolejnych zaniedbań. W ocenie organu zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. będzie w tym indywidulanym przypadku skuteczna, proporcjonalna i odstraszająca.

Z tym rozstrzygnięciem skarżący nie zgodził się i wywiódł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnoszą o uchylenie zaskarżonej decyzji w całości oraz o zasądzenie na jego rzecz kosztów postępowania według norm przepisanych.

Zaskarżonej decyzji zarzucono:

1. art. 7 K.p.a., art. 77 § 1 K.p.a., art. 80 K.p.a. w związku z art. 32 ust. 1 RODO, w sytuacji gdy organ zaniechał w toku postępowania administracyjnego wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego, tj. przedstawionych przez skarżącego stosowanych środków bezpieczeństwa, którego wszechstronna ocena powinna doprowadzić organ, do ustalenia, że skarżący wdrożył środki techniczne służące ochronie przetwarzanych danych osobowych, co doprowadziło do niepełnego ustalenia stanu faktycznego sprawy, przede wszystkim w zakresie okoliczności mających wpływ na spełnienie przez skarżącego przesłanki z art. 24 ust. 1 RODO oraz z art. 32 ust. 1 RODO, co zgodnie z art. 83 ust. 2 RODO wpływa na nałożenie oraz wysokość kary administracyjnej,

2. art. 7 K.p.a., art. 8 K.p.a. poprzez nałożenie kary pieniężnej w wysokości 15.000 złotych w sytuacji naruszenia danych osobowych jedynie dwóch osób (ponieważ jedna osoba to małżonka Komendanta [...]WK OHP); organ nie przeprowadził dostatecznej analizy porównawczej w zakresie wysokości kary administracyjnej, którą nakładał w podobnych stanach prawnych i faktycznych, czyniąc nałożoną w przedmiotowej sprawie karę wygórowaną i nieadekwatną; Organ decyzją nr [...] nałożył karę pieniężną w wysokości 50.000 złotych na Szkołę [...] w [...], przy czym naruszenie ochrony danych osobowych w tej sprawie dotyczyło kandydatów na studia z ostatnich 5 lat przez zdarzeniem, co zostało oszacowane przez uczelnię na 81 624 rekordy. W zgłoszeniu skierowanym do Prezesa Urzędu Ochrony Danych Osobowych wskazano górną granicę liczby osób, których dane dotyczyły, na 100 000 osób. Podobny stan faktyczny i prawny zaistniał również w sprawie, w której organ wydał decyzję nr [...]. W tej sprawie również doszło do kradzieży laptopa z mieszkania pracownika. Decyzją organu podmiot (wójt gminy) został ukarany karą administracyjną w wysokości 8.000 złotych, jednak co istotne, liczba poszkodowanych osób została określona na 51;

3. art. 7 K.p.a., 77 § 1 K.p.a., 80 K.p.a., poprzez niedokonanie wszechstronnej oceny materiału dowodowego; organ nie wywiódł logicznych i spójnych wniosków ze zgromadzonego materiału dowodowego i przyjął, że:

• "Naruszenie dotyczyło 3 osób" - podczas gdy naruszenie dotyczyło 2 osób, z uwagi na okoliczność, że dane osobowe jednej osoby to dane żony Komendanta, a takie dane nie podlegają ochronie z uwagi na ich osobisty charakter;

• "stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla 3 osób, do których danych dostęp miała osoba, bądź osoby nieuprawnione",

co w konsekwencji przełożyło się na błędne ustalenie stanu faktycznego sprawy w zakresie okoliczności wpływających na ustalenie oraz wysokość kary administracyjnej;

4. art. 7 K.p.a., 77 § 1 K.p.a., 80 K.p.a., poprzez dokonanie przez organ dowolnej oceny materiału dowodowego, niezgodnej z logiką i zasadami doświadczenia życiowego, polegającą na stwierdzeniu, że Komendant w sposób niewystarczający ocenił zdolność do ciągłego zapewnienia poufności oraz nie uwzględnił ryzyka związanego z uzyskaniem nieuprawnionego dostępu do danych osobowych znajdujących się na laptopie w sytuacji gdy hasło na laptopie służbowym było unikalne a samochód służbowy, którym poruszał się Komendant miał autoalarm, co w konsekwencji doprowadziło do nieuprawnionego stwierdzenia naruszenia art. 32 ust. 1 lit. b i d RODO oraz art. 32 ust. 2 RODO, podczas gdy prawidłowa ocena materiału dowodowego zebranego w sprawie, w tym m.in. że Komendant nie dopuścił się naruszenia w tym zakresie;

5. art. 7 K.p.a., 77 § 1 K.p.a., 80 K.p.a., poprzez dokonanie dowolnej oceny materiału dowodowego, niezgodnej z logiką i zasadami doświadczenia życiowego, polegającej na stwierdzeniu przez organ w treści decyzji, że Komendant nie podejmował działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk, podczas, gdy w toku postępowania organ nie przeprowadził postępowania dowodowego na tę okoliczność i nie dokonał żadnych ustaleń faktycznych w zakresie ryzyka naruszenia praw i wolności osób fizycznych;

6. art. 107 § 1 pkt 6 K.p.a. oraz art. 107 § 3 K.p.a., poprzez sporządzenie uzasadnienie w sposób niezrozumiały, niezgodny z obowiązkami nałożonymi na organ w tym zakresie, polegające na:

a. braku wyczerpującego wskazania przez organ faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, a przyjmowaniu przez organ założeń niepopartych ani dowodami ani uzasadnieniem logicznym, lub dokumentami niestanowiącymi materiału dowodowego zgromadzonego w sprawie ani niebędących źródłami prawa, przez m.in.:

• niepopartą dowodami i argumentacją ocenę, że środki zabezpieczające stosowane przez Komendanta były nieadekwatne do ryzyk i niezgodne z przepisami,

• niepopartą dowodami i argumentacją ocenę, że zastosowanie przez Komendanta środka uwierzytelniającego wyłącznie w postaci loginu i hasła było niewystarczające,

• niepopartą dowodami i argumentacją ocenę, że w sposób niewystarczający oceniono zdolność do ciągłego zapewniania poufności oraz nie uwzględniono ryzyka związanego z uzyskaniem nieuprawnionego dostępu do laptopa służbowego,

• niepopartą dowodami ocenę, że Komendant nie podejmował działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk,

• niepopartą dowodami i argumentacją ocenę, że wcześniejsze wdrożenie i wprowadzenie dodatkowych środków, m.in. szyfrowania danych znacząco zminimalizowałoby ryzyko naruszenia praw i wolności osób fizycznych,

b. braku wskazania przez organ sposobu wyliczenia takiej a nie innej wysokości kary administracyjnej oraz brak uzasadnienia wysokości nałożonej kary administracyjnej, a wskazanie przez organ jedynie tez nieznajdujących oparcia w zgromadzonym materiale dowodowym. m.in. zdaniem Prezesa Urzędu Ochrony Danych Osobowych nałożona na Komendanta kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Spółka stosowała będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych" - podczas gdy Komendant kilka dni po wykryciu naruszenia podjął prace nad wprowadzeniem środków technicznych i zabezpieczających i wdrożył je w szczególności 57 kluczy do WINDOWS PRO zostało zainstalowane na laptopach, co dało możliwość uruchomienia szyfrowania na kolejnych komputerach w [...]WK OHP; po naruszeniu:

• zostały zakupione dodatkowe komputery, których technologia zwiększa wydajność pracy oraz bezpieczeństwo przetwarzania danych - niniejsze zostało poprzedzone wnioskiem do Komendy nadzorującej [...]WK OHP, (Komenda Główna OHP) - pismo z dnia [...] grudnia 2022 roku, znak: [...], pismo z dnia [...] grudnia 2022 roku [...],

• na 61 komputerach mobilnych został uruchomiony BitLocker (szyfrowanie), gdzie za wykonanie niniejszego odpowiadał wyłącznie 1 pracownik IT, (etatowo [...] Wojewódzka Komenda OHP nie ma większych możliwości),

• w dniu 27 marca 2023 r. została zakończona procedura wdrażania pakietu usług od firmy [...]. W związku z tym, korzystając z usługi [...] wszystkie komputery zostały zarejestrowane w organizacji. Pozwala to na sprawdzanie aktywności oraz numerów IP logowania konkretnych pracowników, a także monitorowania połączeń Internetowych w przypadku utraty laptopa,

• w dniu 25 listopada 2022 r. została przeszkolona kadra kierownicza jednostek org., (tam gdzie występuje największe prawdopodobieństwo zaistnienia ryzyka utraty danych), w temacie: "Ochrona Danych Osobowych w [...] Wojewódzkiej Komendzie OHP",

• w dniu 18 maja 2023 r. kadra kierownicza jednostek org. została przeszkolona w temacie: "Omówienie kluczowych zagadnień dot. Ochrony danych osobowych w [...]WK OHP,

• w dniach 23, 24, 25, 26 maja 2023 r. oraz 2 czerwca 2023 r. została przeszkolona większość kadry pracowniczej [...]WK OHP w zakresie bezpieczeństwa danych osobowych,

• od dnia 11 kwietnia 2023 r. do 29 kwietnia r. zostało przeszkolonych 120 osób w obszarze cyberbezpieczeństwa,

• pismem z dnia 9 maja 2022 roku Pani I.L. - żona skarżącego została zawiadomiona o naruszeniu jej danych osobowych (pismo zostało odebrane osobiście),

• pismem z dnia 9 maja 2022 r. W.G. (z domu M.) została zawiadomiona o naruszeniu jej danych osobowych,

• A.K., został poinformowany o naruszeniu jego danych osobowych osobiście drogą telefoniczną przez Skarżącego (po niemożności doręczenia drogą |listowną - pismo z dnia 13 maja 2022 roku wraz z dowodem nadania),

• Skarżący w dniu 29 lipca 2022 roku - Zarządzeniem nr 8 Komendanta [...] Wojewódzkiej Komendy OHP z dnia 29 lipca 2022 r. wprowadził znowelizowaną treść Polityki Bezpieczeństwa Danych Osobowych w [...] Wojewódzkiej Komendzie Ochotniczych Hufców Pracy ( [...]WK OHP) oraz Instrukcję Zarządzania Systemami Informatycznymi Służącymi do Przetwarzania Danych Osobowych w [...]WK OHP,

7. art. 58 ust. 2 lit. b RODO w zw. z art. 7 K.p.a. oraz art. 8 K.p.a. poprzez nałożenie kary pieniężnej w wysokości 15.000 złotych, podczas gdy kara upomnienia nałożona na Komendanta byłaby proporcjonalna do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz gwarantowałoby to że Komendant, w przyszłości nie dopuściłby się do podobnych, co w sprawie niniejszej zaniedbań (naruszenie danych osobowych dwóch osób);

8. art. 32 ust. 1 i 2 RODO poprzez błędną wykładnię i niewłaściwe zastosowanie polegające na przyjęciu, że z art. 32 ust. 1 i 2 RODO wynika obowiązek zastosowania skutecznych środków technicznych i organizacyjnych, podczas gdy obowiązek wynikający z art. 32 ust. 1 i 2 RODO dotyczy zastosowania (wdrożenia) środków odpowiednich, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku;

9. art. 24 ust. 1 RODO oraz 32 ust. 1 i 2 RODO przez ich niewłaściwe zastosowanie tj. formułowanie ocen dotyczących odpowiedniości/nieodpowiedniości technicznych i organizacyjnych środków bezpieczeństwa bez uprzedniej oceny ryzyka, w szczególności przez przyjęcie, że stosowane przez skarżącą techniczne i organizacyjne środki bezpieczeństwa (indywidualne konto użytkownika z indywidulanym hasłem) były nieodpowiednie (tj. zdaniem organu niewystarczające), zaś wskazany przez organ środek bezpieczeństwa w postaci szyfrowania danych byłby odpowiedni z uwzględnieniem stanu wiedzy technicznej, kosztu wdrożenia oraz charakteru, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw i wolności osób fizycznych, podczas gdy organ nie zakwestionował merytorycznie oceny ryzyka dokonanej przez Komendanta, formułował oceny dotyczące ryzyka w sposób arbitralny, w szczególności bez udziału biegłych, bez określenia metody oceny ryzyka oraz bez oparcia formułowanych ocen w materiale dowodowym, zaniechał przeprowadzenia postępowania administracyjnego pod kątem oceny ryzyka dokonanej przez skarżącą i oceny jej prawidłowości;

10. art. 2 ust. 2 lit. c RODO poprzez zastosowanie przedmiotowego przepisu w sytuacji, gdy nie obowiązuje on w przypadku przetwarzania danych osobowych przez osobę fizyczną o czysto osobistym lub domowym charakterze. Małżonka Komendanta [...]WK OHP nie pozostaje w związkach zawodowych lub handlowych z [...]WK OHP, a jej dane znalazły się na dysku twardym laptopa wyłącznie z uwagi na fakt pozostawania w związku małżeńskim z posiadaczem laptopa w konsekwencji organ winien ustalić, że naruszenie dotyczyło dwóch a nie trzech osób.

Skarżący wniósł dodatkowo o dopuszczenie oraz przeprowadzenie dowodu z dokumentów tj. wiadomość e-mail ze specyfikacją samochodu, oświadczenia z dnia 27 lipca 2023 r., zawiadomień z dnia 9 maja 2022 r., oświadczenia z dnia 28 lipca 2023 r., dowodu nadania pisma, Zarządzenie nr 8 Komendanta [...] Wojewódzkiej Komendy OHP z dnia 29 lipca 2022 r. wprowadzające znowelizowaną treść Polityki Bezpieczeństwa Danych Osobowych w [...] Wojewódzkiej Komendzie Ochotniczych Hufców Pracy ( [...]WK OHP), pismo z dnia [...] grudnia 2022 r., znak: [...], pismo z dnia [...] grudnia 2022 r. [...] oraz Instrukcję Zarządzania Systemami Informatycznymi Służącymi do Przetwarzania Danych Osobowych w [...]WK OHP.

W uzasadnieniu skargi przedstawiono szczegółową argumentację na poparcie stawianych zarzutów oraz opisano okoliczności, na dowód których złożony został wniosek dowodowy.

W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał swoje dotychczasowe stanowisko. Prezes UODO odniósł się do zarzutów skargi i uznał je za pozbawione racji.

W piśmie procesowym z dnia 19 października 2023 r. stanowiącym replikę na odpowiedź na skargę, skarżący podtrzymał zarzuty i wnioski skargi. Ustosunkował się do stanowiska organu.

Na rozprawie w dniu 4 kwietnia 2024 r. Sąd postanowił oddalił wnioski dowodowe zawarte w skardze.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2021 r., poz. 137) w zw. z art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 ze zm.- dalej: P.p.s.a.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. W ramach owej kontroli sąd administracyjny nie przejmuje sprawy administracyjnej do jej końcowego załatwienia, lecz ocenia, nie będąc przy tym związany granicami skargi, czy przy wydawaniu zaskarżonego aktu nie naruszono reguł postępowania administracyjnego i czy prawidłowo zastosowano prawo materialne.

Jednocześnie, stosownie do art. 134 § 1 P.p.s.a. rozstrzygając daną sprawę sąd, co zasady, nie jest związany zarzutami i wnioskami skargi, może zastosować przewidziane ustawą środki w celu usunięcia naruszenia prawa w stosunku do aktów

lub czynności wydanych lub podjętych we wszystkich postępowaniach prowadzonych w granicach sprawy, której dotyczy skarga, jeżeli jest to niezbędne dla końcowego jej załatwienia (art. 135 P.p.s.a.).

Dokonując kontroli w ramach tak zakreślonej kognicji sądów administracyjnych, Sąd stwierdził, że zaskarżona decyzja odpowiada prawu.

Zgodnie z zasadą integralności i poufności przetwarzania danych osobowych (art. 5 ust. 1 lit. f RODO), dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie podstawowych zasad dotyczących przestrzegania określonych w ust.1 tego artykułu i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). Trzeba podkreślić, że z tego przepisu wynika domniemanie odpowiedzialności administratora za naruszenie tych zasad, jako że na nim spoczywa ciężar wykazania ich przestrzegania.

Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia. Stosownie do art. 24 ust. 1 i art. 25 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, powinien wdrożyć odpowiednie środki techniczne i organizacyjne, pozwalające skutecznie zabezpieczyć przetwarzane dane, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby, a w razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, móc przedstawić dowody na to, że przestrzega tych zasad i przepisów. Według art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (pkt b) oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (pkt d). Przepis ust. 2 art. 32 RODO stanowi, że oceniając czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Administrator danych osobowych jest odpowiedzialny także za to, aby inspektor ochrony danych monitorował przestrzeganie przepisów dotyczących przetwarzania danych osobowych oraz polityki administratora w dziedzinie ochrony danych osobowych, przeprowadzał szkolenia personelu uczestniczącego w operacjach przetwarzania oraz audyty, uwzględniając ryzyko związane z operacjami przetwarzania (art. 39 ust. 1 lit. b i art. 39 ust. 2 RODO) oraz był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO).

W ocenie Sądu, zaskarżona decyzja odpowiada prawu. Prezes UODO właściwie stwierdził naruszenie przez Komendanta przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO.

Ze zgromadzonej w sprawie dokumentacji, w szczególności z "Karty Oceny Ryzyka – przetwarzanie danych osobowych poza obszarem przetwarzania dla [...]WK OHP" wynika, że uwzględniono rodzaj operacji przetwarzania danych określony jako "Przetwarzanie danych osobowych poza obszarem przy wykorzystaniu nośnika danych typu laptop/tablet/dysk zewnętrzny (dane wykluczające art. 9)". W ramach tego rodzaju przetwarzania - w części "Karty oceny ryzyka" określonej jako "Ryzyko inherentne", zidentyfikowano zagrożenia, w tym te, które określono jako "zagubienie/kradzież sprzętu przy braku uruchomionych szyfrujących" ustalono poziom ryzyka jako wysoki, jednocześnie wskazując, że: "Poziom ryzyka nieakceptowany - działanie może zostać przesunięte w czasie, wymaga stałego monitorowania", a jako "Rekomendacje/Zalecenia/Mechanizmy kontrolne" wskazał: "zabezpieczenie wszystkich mobilnych urządzeń systemami szyfrującymi, np. BitLocker". Jak wyjaśniał sam skarżący wskazana analiza została wykonana w okolicach połowy 2020 r.

Nie budzi wątpliwości, że służbowe laptopy należące do skarżącego, a konkretnie skradziony w dniu [...] maja 2022 r. laptop nie został zabezpieczony urządzeniem szyfrującym zgodnie z ww. rekomendacją. Laptop ten zabezpieczony został jedynie hasłem.

W tej sytuacji w pełni uprawnione jest twierdzenie organu, że Komendant nie zastosował odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych w przypadku wykonywania pracy przez pracowników zatrudnionych w [...] Wojewódzkiej Komendzie Ochotniczych Hufców Pracy w [...] z wykorzystaniem przenośnych komputerów służbowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Uzasadnione jest także stanowisko organu odnośnie do braku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych, w szczególności w związku z wykorzystaniem przenośnych komputerów służbowych. Skoro – jak twierdzi skarżący – analiza ryzyka wskazująca na wysoki poziom zagrożenia w przypadku zagubienia/kradzieży sprzętu przy braku uruchomionych narzędzi szyfrujących dokonana została w połowie 2020 r., a kradzież laptopa miała miejsce w maju 2022 r. – to z pewnością nie można mówić o regularności ww. działań ze strony administratora. Od 2020 do 2022 r. administrator nie podjął działań, które rekomendowane były w ocenie ryzyka dla jego zmniejszenia. Co więcej administrator miał świadomości ryzyka, a mimo to określonych mechanizmów zabezpieczających nie wdrożył.

Oceny tej nie może zmienić stanowisko skarżącego, że hasło na laptopie służbowym było unikalne, a samochód służbowy, którym poruszał się Komendant miał autoalarm. Na administratorze danych osobowych ciążą określone obowiązki. Skoro sam administrator dokonał oceny ryzyka w określonej sytuacji, przedstawił rekomendacje dla zmniejszenia tego ryzyka, a następnie ich nie wdrożył przez określony, dość długi czas, to właściwe jest twierdzenie organu o naruszeniu wskazywanych przepisów RODO.

Skarżący w skardze podnosi, że sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 RODO – karze, nie podlega jednostka za nielegalne działanie osoby trzeciej (np. hakera), polegające na nieuprawnionym dostępie do danych przezeń przetwarzanych, a za dopuszczenie do tego dostępu w związku z nieodpowiednim poziomem stosowanych zabezpieczeń. Co istotne, zdaniem skarżącego, w tej sprawie laptop został skradziony ze służbowego auta i jest to okoliczność nie do uniknięcia nawet przy dochowaniu najwyższych standardów zabezpieczeń. Samochód posiadał autoalarm więc jest to dodatkowe zabezpieczenie mienia. Laptop posiadał hasło do konta użytkownika i składało się ono z ośmiu znaków, jednej dużej litery, cyfry oraz znaku specjalnego. Skarżący był w posiadaniu laptopa z uwagi właśnie na zmniejszone ryzyko jego utraty dlatego do celów służbowych nie używa telefonu komórkowego, który potencjalnie może ulec szybszej kradzieży z uwagi na mały rozmiar. Skarżący zdaje się nie dostrzegać, że nałożona na niego kara dotyczy właśnie braku wdrożenia odpowiednich środków zabezpieczających, które udaremniłyby bądź co najmniej zminimalizowały ryzyko uzyskania danych osobowych przez osoby trzecie (tu: złodzieja). Oczywistym jest, iż w tej sprawie mamy do czynienia z sytuacją nadzwyczajną, nagłą, nieoczekiwaną, tj. kradzieżą. Jednak w sytuacji, gdy laptop zabezpieczony zostałby zgodnie z rekomendacjami przedstawionymi w Karcie Oceny Ryzyka z połowy maja 2020 r., sytuacja przedstawiałaby się zupełnie inaczej. Tymczasem skradziony został niezabezpieczony w rekomendowany sposób komputer przenośny - laptop pracownika [...] Wojewódzkiej Komendy Ochotniczych Hufców Pracy w [...] wykorzystywany na potrzeby świadczenia pracy, na którym znajdowały się dokumenty zawierające dane osobowe, które ten pracownik wykorzystywał w celach służbowych. Skarżący dokonuje oceny zaistniałej sytuacji w oderwaniu od dokonanej przez niego jako administratora oceny ryzyka, co w okolicznościach tej sprawy doprowadziło do wadliwej wykładni art. 32 ust. 1 RODO ("odpowiednie" środki techniczne i organizacyjne). Natomiast zupełnie niezrozumiałe w realiach tej sprawy są argumenty skarżącego odnoszące się do zabezpieczeń samochodu służbowego. Te kwestie są poza przedmiotem tej sprawy i tego rodzaju argumentacja nie może odnieść zamierzonego skutku.

Dalej należy wskazać, że w części "Karty oceny ryzyka" określonej jako "Ryzyko rezydualne (po uwzględnieniu mechanizmów kontrolnych)" administrator zidentyfikował, tożsame z powyżej opisanymi, rodzaje przetwarzania danych i zagrożenia, z tą różnicą, że - w przypadku kluczowych z punktu widzenia przedmiotowej sprawy zagrożeń, tj. zagubienie/kradzież sprzętu przy braku uruchomionych narzędzi szyfrujących - administrator dokonał korekty poziomu ryzyka wskazując, że jest on niskie, a poziom tego ryzyka jest akceptowalny. Nie wiadomo przy tym kiedy administrator dokonał ww. analizę. Zgodzić trzeba się z Prezesem UODO, że przedstawiona analiza ryzyka nie wskazuje na przyczyny mitygacji - kluczowego w niniejszej sprawie - ryzyka, tzn. z przedłożonej analizy wynika, że administrator obniżył ryzyko wystąpienia zagrożenia, jakim jest "zagubienie/kradzież sprzętu przy braku uruchomionych narzędzi szyfrujących" wskazując, że ryzyko jest akceptowalne podczas gdy - zgodnie z poprzednią wersją analizy ryzyka - było ono nieakceptowalne. Prezentowana przez skarżącego w toku postępowania dokumentacja jest niezrozumiała i nie doprowadziła do uznania, że administrator wykazał, zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO), że analiza została przeprowadzona właściwie, tzn. stanowi ona odpowiednie narzędzie dla skutecznego wdrożenia, a następnie monitorowania środków gwarantujących bezpieczeństwo w procesie przetwarzania danych osobowych. Skarżący przedstawił wiele różnych dokumentów jednakże nie odpowiedział na kluczowe dla sprawy kwestie, co organ właściwie wypunktował w uzasadnieniu zaskarżonej decyzji.

Skarżący zarówno w wyjaśnieniach przed organem, jak i w skardze zaprezentował dokumentację i działania jakie podjął już po wystąpieniu naruszenia (m. in. zainstalowanie na komputerach przenośnych urządzeń szyfrujących Bitlocker) jednakże nie zmienia to oceny dokonania samych naruszeń. Generalnie stwierdzić należy, iż wdrożenie środków technicznych służących ochronie przetwarzania danych osobowych zasługuje na aprobatę. Nie można jednak pominąć, że wezwania Prezesa UODO w pismach z dnia 1 lipca 2022 r., a w szczególności z dnia 21 marca 2023 r. były precyzyjne, a skarżący nie odpowiedział w sposób umożliwiający jezdnoznaczne ustalenie kluczowych dla sprawy kwestii. Przy czym wszelkie wątpliwości nie mogły – jak chciał tego skarżący – zostać uwzględnione w tym przypadku na jego korzyść. Na administratorze danych osobowych ciążą bowiem określone prawnie obowiązki, a brak ich spełnienia skutkuje określonymi sankcjami. W przypadku, gdy administrator nie jest w stanie wykazać ich spełnienia, Prezes UODO nie może wszelkich wątpliwości uwzględnić na korzyść administratora. Organ przeanalizował nadesłaną przy piśmie z dnia 14 lipca 2022 r. przez skarżącego dokumentację i doszedł do wniosku, że materiał dowodowy należy uzupełnić (pismo z dnia 21 marca 2023 r.). W takim działaniu organu Sąd nie dopatrzył się uchybień. Organ dążył do ustalenia – jak wyraził się skarżący – "rzeczywistego stanu faktycznego" ale to aktywność skarżącego była w tym postępowaniu decydująca. W tym kontekście należy wskazać, że sam skarżący w toku postępowania raz wskazywał, iż naruszenie danych osobowych dotyczyło dwóch osób, a i innym razem, że trzech osób. Również i w tym zakresie organ wzywał skarżącego do jednoznacznego stanowiska (pismo z dnia 10 maja 2022 r.) i pismem z dnia 17 maja 2022 r. skarżący określił, iż zawiadomienie dotyczy trzech osób. Trudno zatem obecnie skutecznie zarzucić organowi, iż tę kwestię niewłaściwe ustalił skoro oparł się na twierdzeniach administratora. Zauważyć też zależy, iż aby uchybienie organu mogło skutkować wyeliminowaniem rozstrzygnięcia z obrotu prawnego, to uchybienie to musi mieć wpływ na wynik sprawy. Wskazana okoliczność takiej cechy, w ocenie Sądu, nie posiada, a i skarżący nie wykazał, że gdyby zawiadomienie dotyczyło dwóch osób to rozstrzygnięcie organu byłoby inne.

Odnosząc się do kwestii wysokości kary przypomnieć trzeba, że zgodnie z art. 58 ust. 2 lit. i RODO, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 RODO, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy.

Jak wynika z uzasadnienia zaskarżonej decyzji, Prezes UODO szczegółowo wyjaśnił powody nałożenia na skarżącego kary pieniężnej w wysokości 15 000 złotych w oparciu o art. 83 ust. 4 lit. a RODO (za naruszenie art. 25 ust. 1 i art. 32 ust. 1 i 2 RODO) oraz art. 83 ust. 5 lit. a RODO (za naruszenie art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO).

Stosownie do treści art. 83 ust. 2 RODO, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a – h oraz lit. j.

Decydując o nałożeniu na skarżącego administracyjnej kary pieniężnej w ww. wysokości, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a – k RODO – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji, a mianowicie:

1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO);

2. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b RODO);

3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO);

4. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO);

Prezes UODO podniósł, że ustalając wysokość administracyjnej kary pieniężnej, nie stwierdził okoliczności łagodzących, mającą wpływ na obniżenie wysokości wymierzonej kary. Natomiast inne, wskazane przez organ okoliczności, o których mowa w art. 83 ust. 2 RODO, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

W ocenie Sądu, organ w sposób wyczerpujący wyważył dyrektywy zasadności nałożenia oraz wysokości administracyjnej kary pieniężnej w analizowanym przypadku. Szczegółowo uzasadnił swoje stanowisko odnosząc się do poszczególnych ww. kwestii. Brak jest, zdaniem Sądu, podstaw do uznania, że kara ta jest rażąco wygórowana i nieadekwatna do stopnia przewinienia. Stanowisko Prezesa UODO w tym zakresie zostało uzasadnione w sposób wyczerpujący, jest jasne i uzasadnione okolicznościami rozpoznawanej sprawy. Zastosowana przez organ administracyjna kara pieniężna spełnia, w ustalonych okolicznościach rozpatrywanej sprawy, funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Skarżący jak twierdzi, podjął prace nad wprowadzeniem środków technicznych i zabezpieczających (kilka dni po wykryciu naruszenia) tym niemniej organ mówiąc o "skuteczności" kary odniósł ją do gwarancji stosowania prawa przez administratora na przyszłość tj. od momentu zakończenia postępowania administracyjnego. Sąd nie dopatrzył się przy tym naruszenia zasady równości określonej w art. 32 ust. 1 Konstytucji. Zawarta w art. 32 ust. 1 Konstytucji RP zasada równości wobec prawa w znaczeniu formalnym oznacza konieczność takiego samego traktowania przez prawo wszystkich adresatów norm, bez wprowadzania jakiegokolwiek różnicowania. W orzecznictwie Trybunału Konstytucyjnego przyjmuje się, że zasada równości "polega na tym, że wszystkie podmioty prawa (adresaci norm prawnych) charakteryzujące się daną cechą istotną (relewantną) w równym stopniu, mają być traktowane równo, a więc według jednakowej miary, bez zróżnicowań zarówno dyskryminujących jak i faworyzujących" (wyrok TK z 9 marca 1988 r., U 7/87, OTK 1988, nr 1, poz. 1). Prezes UODO rozważył przy wymiarze kary wszystkie aspekty rozpoznawanej sprawy i w sposób zindywidualizowany przedstawił motywy podjętego rozstrzygnięcia. Subiektywna, odmienna ocena skarżącego na tle innych spraw z zakresu przetwarzania danych osobowych, nie oznacza naruszenia omawianej zasady równości. Jedynie marginalnie należy wyjaśnić, że miarkowanie kary jest wieloaspektowe i nie ogranicza się jedynie do ustalenia ilości osób, których naruszenie przetwarzania danych osobowych dotyczyło.

Z tych wszystkich względów Sąd uznał, że zaskarżona decyzja odpowiada prawu. Sąd nie dopatrzył się żadnego naruszenia przepisów prawa materialnego w stopniu mającym wpływ na wynik sprawy, bądź przepisu postępowania w stopniu mogącym mieć istotny wpływ na rozstrzygnięcie, albo też przepisu prawa dającego podstawę do wznowienia postępowania lub stwierdzenia nieważności.

Skoro zatem wszystkie podniesione przez skarżącego zarzuty okazały się chybione oraz brak jest podstaw do uznania, że organ dopuścił się naruszeń prawa, które mogłyby stanowić o uchyleniu albo stwierdzeniu nieważności zaskarżonej decyzji, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 P.p.s.a. orzekł jak w sentencji.