Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa (spr.), Sędzia WSA Andrzej Kołodziej, Sędzia WSA Waldemar Śledzik, , Protokolant sekretarz sądowy Marcin Rusinowicz-Borkowski, po rozpoznaniu na rozprawie w dniu 7 października 2021r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] grudnia 2020r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz strony skarżącej [...] Sp. z o.o. z siedzibą w [...] kwotę 30.503 (trzydzieści tysięcy pięćset trzy) złote tytułem zwrotu kosztów postępowania

I. Stan sprawy przedstawia się następująco:

1. [...]Sp. z o.o. (zwana dalej: "Spółką", "Skarżącą") zgłosiła [...] grudnia 2019r. Prezesowi Urzędu Ochrony Danych Osobowych (zwany dalej "Prezesem UODO") naruszenie ochrony danych osobowych abonentów usług przedpłaconych, polegające na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu [...] rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe [...] klientów w zakresie imienia i nazwiska, nr PESEL, serii i nr dowodu osobistego, numeru telefonu, NIP i nazwy podmiotu. Incydent ten miał miejsce od [...] do [...] grudnia 2019r.

2. Prezes UODO w związku z tym zdecydował o przeprowadzeniu w Spółce kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych: rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - Dz. Urz. UE L 119 z 4.05.2016, str. 1 ze zm., zwana dalej "RODO") i ustawą z 10 maja 2018r. o ochronie danych osobowych (Dz.U. z 2019r. poz. 1781, zwana dalej "u.o.d.o."). Zakresem kontroli objęto sposób przetwarzania, w tym zabezpieczenia danych, w ramach świadczenia usług telekomunikacyjnych abonentom usług przedpłaconych. W toku kontroli odebrano od pracowników Spółki ustne wyjaśnienia i dokonano oględzin systemu [...], służącego do rejestracji danych osobowych abonentów usług przedpłaconych. Stan faktyczny opisano szczegółowo w protokole kontroli, który podpisał zarząd Spółki.

3. Prezes UODO, na podstawie informacji i dowodów zgromadzonych w postępowaniu kontrolnym, ustalił, że w procesie przetwarzania danych abonentów usług przedpłaconych, Spółka, jako administrator, naruszyła: zasadę poufności danych wyrażoną w art. 5 ust. 1 lit. f RODO i obowiązki, które stanowią odzwierciedlenie tej zasady, określone w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d), art. 32 ust. 2 RODO - przez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa, odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych.

Prezes UODO ustalił, że przedmiotem działalności Spółki jest świadczenie usług w zakresie telekomunikacji bezprzewodowej. Podstawą prawną i celem przetwarzania danych osobowych w Spółce w procesie rejestracji usług przedpłaconych jest realizacja umowy na usługę telekomunikacyjną, zawieraną przez dokonanie czynności faktycznej: wysłanie SMS, MMS, pobranie danych bądź inicjację połączenia telefonicznego, w oparciu o ustawę z 16 lipca 2014r. Prawo telekomunikacyjne (Dz.U. z 2019r., poz. 2460, zwana dalej: "u.P.t."). Obowiązek pozyskania danych osobowych przy usłudze przedpłaconej (rejestracji kart prepaid) wprowadzono art. 60b ust. 2 i ust. 1 u.P.t., który wszedł w życie 25 lipca 2016r. Abonenci usług przedpłaconych, którzy zawarli umowę przed dniem wejścia w życie ustawy z 10 czerwca 2016r. o działaniach antyterrorystycznych (Dz.U. z 2016r., poz. 904, zwana dalej "u.d.a.") - przed 2 lipca 2016r., mieli obowiązek podać dostawcy usługi dane osobowe na mocy art. 60 u.d.a. Zakres tych danych w przypadku: a) abonenta niebędącego osobą fizyczną, obejmuje: nazwę podmiotu, nr NIP, nr telefonu, a jeśli rejestracji dokonuje pełnomocnik pozyskiwane są również dane osobowe pełnomocnika w zakresie imienia i nazwiska i nr PESEL lub serii i numeru dokumentu tożsamości; b) osobę fizyczną obejmuje: imię i nazwisko, nr PESEL, nr dowodu osobistego lub innego dokumentu tożsamości oraz nr telefonu. W celach kontaktowych pozyskiwane są też dane osobowe w postaci adresów e-mail i nr telefonu. Zbieranie ww. danych odbywa się na etapie rejestracji karty za pomocą punktów sprzedaży (point of sale, zwane dalej "POS") - podmioty zewnętrzne, z którymi Spółka ma podpisane umowy o współpracy, określające zasady powierzenia przetwarzania danych osobowych. Podmioty nieposiadające własnych rozwiązań programowych do realizacji usługi rejestracji kart przedpłaconych posiadają, stworzoną przez Spółkę, aplikacja web "Partner Portal", służąca do rejestracji kart prepaid. Proces rejestracji danych za pośrednictwem POS odbywa się przez aplikację web [...], dostępną z poziomu sieci publicznej, za pomocą przeglądarki internetowej. Dane osobowe wprowadzane są do tej aplikacji przez POS, na podstawie dokumentu tożsamości. Aplikacja ta umożliwia wygenerowanie wydruku potwierdzenia dokonania rejestracji. Rozwiązania przyjęte u podmiotów korzystających z własnych systemów informatycznych do rejestracji kart prepaid, np. systemów kasowych; terminali, nie pozwalają na wydrukowanie potwierdzenia rejestracji karty. Spółka użytkuje system informatyczny o nazwie [...], z którym łączy się aplikacja [...], służąca do rejestracji kart przedpłaconych. Twórcą [...] jest [...] Sp. z o.o. s.k.a., która zajmowała się też utrzymaniem tego systemu od [...] kwietnia 2014r. do [...] czerwca 2017r. Od [...] lipca 2017r. do chwili obecnej obsługą i utrzymaniem [...] zajmuje się [...] S.A. Podstawowe dane osobowe zapisywane są w jednej tabeli [...], opartej o motor bazodanowy [...], do której trafiają dane rejestracyjne wprowadzane przez POS, za pomocą Partner Portal i dane z systemów klientów hurtowych (niemających dostępu do [...], korzystających ze swoich systemów informatycznych). Producentem [...] Portal jest [...] s.c., który opracował tę aplikację i zajmuje się jej obsługą, rozwojem i nadzorem od [...] września 2014r. [...] - służy do wprowadzania danych do [...], przez zastosowanie sieciowego interfejsu programowania aplikacji wykorzystującego architekturę i protokoły sieci Web, w tym protokół http do komunikacji między aplikacjami znajdującymi się na oddzielnych urządzeniach w sieci (zwanym dalej WebAPI).

Prezes UODO wskazał, że w toku kontroli stwierdzono, że od [...] do [...] grudnia 2019r. w Spółce doszło do incydentu wycieku danych osobowych, na skutek uzyskania nieuprawnionego dostępu do danych abonentów usług przedpłaconych przez wykorzystanie podatności systemu informatycznego - usługi generującej potwierdzenia dokonania rejestracji kart prepaid. Podatność ta polegała na braku weryfikacji identyfikatora wniosku rejestracyjnego (zwany dalej "Id wniosku") z identyfikatorem punktu sprzedaży, w którym dokonano rejestracji (zwany dalej "Id POS"). Poprawna weryfikacja miała polegać na wygenerowaniu potwierdzenia rejestracji jedynie, gdy id wniosku zgadzały się z Id POS, w którym dokonano rejestracji wniosku. [...] nie weryfikował Id POS ani tego, czy dany wniosek pochodzi z konkretnego POS. Środki techniczne i organizacyjne stosowane w Spółce przed wystąpieniem naruszenia, od [...] maja 2018r. (data rozpoczęcia stosowania RODO), były poddawane przeglądom i uaktualniane w miarę potrzeb w sytuacji wystąpienia zmian organizacyjnych lub prawnych (kopia wiadomości e-mail informująca o konieczności dokonania przeglądu stosowanego monitoringu wraz z ankietą). W Spółce nie przeprowadzano kompleksowego regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania danych. W sytuacjach, gdy pojawiało się podejrzenie zaistnienia podatności, prowadzone były prace mające na celu zabezpieczenie przed daną podatnością (wydruki z systemu [...], potwierdzające podjęte działania zaradcze dotyczące potwierdzonych podejrzeń o podatności systemu). Ma to potwierdzenie m.in. w wyjaśnieniach Spółki zawartych w piśmie z [...] marca 2020r. i przesłanych w celach dowodowych wydrukach zrzutów ekranu z systemu [...], wskazujących na wykonywanie testów dotyczących podatności XSS i weryfikacji wprowadzanych danych. Spółka nie przeprowadzała testów nastawionych na weryfikację zabezpieczeń aplikacji [...] i WebAPI [...], dotyczących podatności systemu informatycznego, związanej z naruszeniem danych osobowych. Działania takie podjęto dopiero po incydencie z [...] grudnia 2019r. W dokumentacji prowadzonej przez Spółkę, opisującej proces przetwarzania danych i zastosowane środki organizacyjne i techniczne, pozyskanej w toku czynności kontrolnych (m.in. "Polityce Przetwarzania Danych Osobowych" Spółki, "[...] Procedurze monitorowania kluczowych elementów systemów informatycznych", "[...] Planie na wypadek awarii sieciowego systemu informatycznego") nie uregulowano kwestii dotyczących regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Spółka podjęła działania naprawcze i usunęła podatność systemu informatycznego przez jego modernizację, polegającą na korelacji numeru wniosku (Id wniosku) z numerem POS (Id POS). Obecnie nr wniosku musi się zgadzać z nr POS, w którym wniosek zarejestrowano. Spółka prowadziła ograniczenie czasowe dostępności wygenerowania potwierdzenia rejestracji i warunku, polegającego na tym, że bez aktywnej sesji utworzonej podczas logowania do [...] nie jest możliwe wykonanie czynności wykorzystującej usługi przeznaczonej dla [...]. Gdy zaistnieje potrzeba ponownego wygenerowania wniosku, jest to możliwe tylko z poziomu systemów dostępnych uprawnionym pracownikom Spółki.

4. Prezes UODO, w związku z tym, pismem z [...] czerwca 2020r. zawiadomił Spółkę o wszczęciu z urzędu postępowania administracyjnego w przedmiocie naruszenia przepisów o ochronie danych osobowych, wobec nie wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku.

5. Prezes UODO decyzję z [...] grudnia 2020r. nr [...], stwierdzając naruszenie przez Spółkę: art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 RODO - polegające na niewdrożeniu przez Spółkę odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych - nałożył na Spółkę administracyjną karę pieniężną – [...] zł.

Prezes UODO w uzasadnieniu wskazał, że do Urzędu Ochrony Danych Osobowych wpłynęło [...] grudnia 2019r. zgłoszenie złożone przez Spółkę, informujące o naruszeniu ochrony danych osobowych abonentów usług przedpłaconych, polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu przez nią [...] rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe [...] klientów w zakresie imienia i nazwiska, nr PESEL, serii i nr dowodu osobistego, nr telefonu, nr NIP oraz nazwy podmiotu. Incydent miał miejsce od [...] do [...] grudnia 2019r. Z uwagi na zakres ujawnionych danych osobowych wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw i wolności osób fizycznych.

Spółka w pismach z: [...] lipca i [...] sierpnia 2020r. złożyła wyjaśnienia i wskazała m.in., że od początku działalności oferowała usługi przedpłacone w modelu, który nie wymagał podawania danych osobowych. Wymóg podawania danych wprowadzono u.d.a., a ustawodawca na wejście w życie art. 43 u.d.a., określającego zakres zbieranych danych, wyznaczył 30 dni, który był terminem zdecydowanie za krótkim na wdrożenie i przetestowanie jakiegokolwiek systemu IT o takiej skali i zwiększył ryzyko pojawienia się błędów i niedociągnięć.

Spółka podkreśliła, że dotychczas nie wykazano kim był atakujący, ale sposób wykorzystania podatności wskazywał, że miał on wcześniej dostęp do systemu i wiedział, jak skonstruować odpowiednie zapytanie. Obecnie Spółka nie wie czy i jakimi uprawnieniami mógł dysponować atakujący i jakiego okresu uprawnienie dotyczyło. Wykazanie jednak, czy doszło do udostępnienia danych osobie nieuprawnionej leży po stronie Prezesa UODO.

Spółka podniosła też, że Prokuratura Okręgowa w [...] umorzyła - postanowieniem z [...] lipca 2020r. - dochodzenie w sprawie nieuprawnionego dostępu, z powodu niewykrycia sprawcy. Spółka nie wie zatem, czy osoba nieuprawniona wykorzystała podatność systemu do udostępnienia danych osobowych. Organ w toku postępowania powinien wyjaśnić tę okoliczność.

Spółka, odnosząc się do naruszenia art. 25 ust. 1 RODO, zwróciła uwagę, że przepisy RODO mają zastosowanie od 25 maja 2018r., więc Spółka w chwili wprowadzania do zmian wymaganych u.d.a. nie była zobowiązana do przestrzegania zasady ochrony danych, czyli w fazie projektowania. Na dalszych etapach przetwarzania, zasada ta jest zasadniczo tożsama z obowiązkiem zabezpieczenia danych osobowych, na mocy art. 32 RODO, bowiem zasada minimalizacji danych (art. 25 ust. 1 RODO) nie ma zastosowania, bo zakres danych osobowych jest określony ustawowo. Spółka, decydując się na wdrożenie i korzystanie z systemu Spitfire przeprowadziła liczne jego testy, pomiary i oceny, czy jest on właściwy by należycie spełniać swoje funkcje, w tym zabezpieczać wprowadzane do niego dane osobowe abonentów. Ryzyko dla praw i wolności podmiotów danych było stale oceniane przez Spółkę. Każdorazowo w przypadku zmian organizacyjnych lub prawnych w Spółce, środki techniczne i organizacyjne były poddawane przeglądom oraz uaktualnieniom.

Sposób wykorzystania podatności systemu wskazuje, że dane osobowe osób, których dotyczyło naruszenie, nie zostały pobrane wskutek zewnętrznego obejścia systemu, lecz w wyniku wykorzystanie wiedzy o systemie, co było ryzykiem trudniejszym do uniknięcia, niż atak zewnętrzny polegający na złamaniu zabezpieczeń. Wykorzystanie podatności systemu do ataku, skutkującego uzyskaniem dostępu do danych, nie było też zależne od braku odpowiedniego testowania, mierzenia czy oceniania systemu, bo te czynności były regularnie i prawidłowo prowadzone. Potwierdzeniem są wydruki z systemu [...], dotyczące podatności [...] i weryfikacji wprowadzanych danych, które dowodzą że choć Spółka nie przeprowadziła testów związanych konkretnie z podatnością wykorzystaną podczas ataku z [...] grudnia 2019r., to jednak inne testy API, mające na celu wykrycie podatności i poprawę jakości danych były prowadzone.

Spółka nie zgodziła się z zarzutem, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania nie były przeprowadzane, podkreślając, że prowadziła szeroki wachlarz działań, mających weryfikować poprawność funkcjonowania sytemu informatycznego, aplikacji [...] i Web API [...], służących do rejestracji kart przedpłaconych. Spółka kilkakrotnie, w sposób kompleksowy przeprowadzała przeglądy zabezpieczeń technicznych i organizacyjnych, jak np. audyt w listopadzie 2019r., przegląd umów, audyt certyfikacyjny, przeglądy i oceny zabezpieczeń i ryzyka z udziałem zarządu, zrealizowane w grudniu 2019r. Działania te były kontynuowane w 2020r. m.in. w związku wdrożeniem ISO. Przed wystąpieniem naruszenia przyjęto środki ochrony danych w postaci: procedur określających metodykę analizy ryzyka, procedurę klasyfikacji poziomów bezpieczeństwa informacji, politykę bezpieczeństwa informacji, procedurę zarządzenia systemem informatycznym z załącznikami: [...] Procedura zarządzania kopiami zapasowymi, PI- Procedura zarządzania kontami użytkowników, [...] Polityka haseł do systemów informatycznych, [...] Procedura przeglądu stacji roboczych, [...] Procedura zarządzania zmianami w systemach informatycznych, [...] Procedura monitorowania kluczowych elementów systemów informatycznych oraz procedura zatrudniania, zmiany i zakończenia zatrudnienia oraz nadawania, zmiany i odbierania uprawnień, a także elementy Planu ciągłości działania: [...] Plan na wypadek naruszenia ochrony danych osobowych, [...] Plan na wypadek awarii sieciowego systemu informatycznego, [...] Plan na wypadek awarii krytycznej stacji roboczych.

Spółka pismem z [...] sierpnia 2020r. wyjaśniła, że wskazany w piśmie z [...] lipca 2020r. zakres danych, których dotyczyło naruszenie, był zdecydowanie węższy, niż wskazany w zgłoszeniu z [...] grudnia 2019r. Naruszenie pełnego zakresu danych osobowych wystąpiło wyłącznie w [...] przypadkach (imię i nazwisko, nr PESEL, nr dokumentu abonenta), w [...] przypadkach naruszenie odnosiło się do imion, nazwisk oraz numeru PESEL, zaś [...] przypadkach do numeru dokumentu abonenta. Spółka złożyła do akt kopię certyfikatów uzyskanych [...] lipca 2020r.: [...] - poświadczającego wdrożenie i utrzymywanie przez Spółkę systemu zarządzania bezpieczeństwem informacji w zakresie usług świadczonych przez operatora telekomunikacyjnego; [...] - poświadczającego wdrożenie i utrzymywanie przez Spółkę systemu zarządzania danymi osobowymi jako rozszerzenie [...] oraz [...] o zarządzanie prywatnością w zakresie usług świadczonych przez operatora telekomunikacyjnego.

Spółka w wyjaśnieniach z [...] października 2020r. (uzupełnionych pismem z[...] października 2020r.) wskazała, że wymogi utrzymania certyfikatów zgodności systemu zarządzania w Spółce z wdrożonymi normami oznaczają w szczególności: zweryfikowanie przeprowadzenia (przed otrzymaniem certyfikatu szeregu kompleksowych przeglądów zabezpieczeń i funkcjonowania systemu zarządzania (danymi osobowymi i bezpieczeństwem informacji), zobowiązanie się (w umowie z instytucją wydającą certyfikat) przynajmniej raz w roku (w ciągu najbliższych lat) do analogicznego kompleksowego przeglądu kierowniczego i do wykonania co najmniej po jednym audycie wewnętrznym z obszaru każdej normy, a także objęcie funkcjonowania systemu zarządzania bezpieczeństwa informacji i ochrony danych w Spółce corocznym audytem niezależnej instytucji wydającej certyfikat.

Zgodnie z wymogami utrzymania certyfikatów zgodności z wdrożonymi normami Spółka dokonuje i dokumentuje sukcesywnie dokonanie mierzenia skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania przez: pomiar liczby procesów (czynności) przetwarzania danych osobowych posiadających pełny opis w stosunku do wszystkich procesów (czynności), przetwarzania danych osobowych (dowód: "Miary celów SZBI i SZDO"), pomiar liczby systemów informatycznych przetwarzających dane osobowych, posiadających pełny opis w stosunku do wszystkich systemów (dowód "Miary celów SZBI i SZDO"), pomiar liczby procesów, dla których przeprowadzono analizę ryzyka na potrzeby oceny skutków przetwarzania dla ochrony danych osobowych (element oceny skutków przetwarzania dla ochrony danych osobowych), pomiar liczby zidentyfikowanych incydentów bezpieczeństwa (w tym naruszeń ochrony danych osobowych) oraz pomiar liczby skarg osób na brak stosowanych stosownych zabezpieczeń), formalne określenie celów stawianych przed Spółką w obszarze ochrony danych osobowych i bezpieczeństwa informacji (dowód: Księga Zintegrowanego Systemu Zarządzania obowiązująca od 1 grudnia 2019r.), przygotowanie i realizacja procedury pomiaru tych celów, testy badania podatności systemów informatycznych wykonywane wewnętrznie, testy penetracyjne przeprowadzone w lipcu 2020r. wykonane przez zewnętrzną firmę [...] sp. z o.o.

Prezes UODO w zawiadomieniu o wszczęciu postępowania administracyjnego wskazał, że Spółka nie wypełniła obowiązku z art. 32 ust. 1 lit. b) i d) RODO, polegającego na:

1) doborze skutecznych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, w tym zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, jak i

2) rozwiązań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków technicznych i organizacyjnych. Spółka w związku z tym uchybiła obowiązkom administratora:

- zapewnienia i wykazania zgodności przetwarzania z wymogami RODO (art. 24 ust. 1);

- obowiązkowi skutecznej realizacji zasad ochrony danych (art. 25 ust. 1 RODO), a w konsekwencji naruszyła

- zasadę poufności (art, 5 ust. 1 lit. f RODO)

- zasadę rozliczalności wynikającą (art. 5 ust. 2 RODO).

Prezes UODO wyjaśnił, że od [...] do [...] grudnia 2019r. w Spółce doszło do incydentu wycieku danych osobowych na skutek uzyskania nieuprawnionego dostępu do danych abonentów usług przedpłaconych poprzez wykorzystanie podatności systemu informatycznego, tj. usługi generującej potwierdzenia dokonania rejestracji kart prepaid. Stwierdzona podatność usługi generującej potwierdzenia rejestracji polegała na braku weryfikacji Id wniosku z Id POS. Poprawna weryfikacja miała polegać na wygenerowaniu potwierdzenia rejestracji jedynie wtedy, gdy Id wniosku zgadzał się z Id POS, w którym dokonano rejestracji wniosku. System [...] nie weryfikował Id POS ani tego, czy dany wniosek pochodzi z konkretnego POS. W sprawie naruszono więc zasadę poufności (której prawidłowa realizacja zapewnia, że dane nie są udostępniane osobom nieupoważnionym) w wyniku wykorzystania podatności systemu informatycznego, co skutkowało pozyskaniem danych abonentów usług przedpłaconych z systemu bazodanowego Spółki i urzeczywistnieniem ryzyka naruszenia praw i wolności osób fizycznych, których dane są przetwarzane przez Spółkę.

Spółka przez brak wypełnienia obowiązku z art. 32 ust. 1 lit. b) i d) RODO, także uchybiła obowiązkom administratora - zapewnienia i wykazania zgodności przetwarzania z wymogami art. 24 ust. 1 RODO i obowiązkowi skutecznej realizacji zasad ochrony danych, o której mowa w art. 25 ust. 1 RODO, a w konsekwencji naruszyła zasadę poufności (art. 5 ust. 1 lit. f RODO) i zasadę rozliczalności (art. 5 ust. 2 RODO).

Przyjęty przez Spółkę środek bezpieczeństwa, mający zapewnić odporność systemów informatycznych, polegający na weryfikacji tylko według numeru Id wniosku, zamiast także Id POS, spowodował naruszenia poufności danych, więc nie może być uznany za środek bezpieczeństwa, o którym mowa w ww. przepisach RODO. Do naruszenia ochrony danych osobowych abonentów usług przedpłaconych doszło w wyniku wykorzystania podatności systemu informatycznego (usługi generującej potwierdzenia rejestracji) umożliwiającej nieuprawniony dostęp do danych. Podatność usługi generującej potwierdzenia rejestracji polegała na braku weryfikacji wszystkich wymaganych parametrów: Id wniosku rejestracyjnego i Id POS. Poprawna weryfikacja miała polegać na wygenerowaniu potwierdzenia rejestracji jedynie, gdy Id wniosku zgadzały się z Id POS. [...] nie weryfikował Id POS ani tego, czy dany wniosek pochodzi z tego POS.

Przyjęte przez Spółkę środki ochrony danych mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania i które byłyby przestrzegane. W pozyskanej w toku czynności kontrolnych dokumentacji Spółki, opisującej proces przetwarzania danych i zastosowane środki organizacyjne i techniczne, kwestii tych nie uregulowano. Brak w przyjętych przez Spółkę procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania danych przyczynił się do wystąpienia naruszenia ochrony danych osobowych.

Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mające zapewnić bezpieczeństwo przetwarzania dany osobowych też nie było w Spółce przeprowadzane. W sytuacjach, gdy pojawiało się podejrzenie zaistnienia podatności były prowadzone wyłącznie prace mające na celu zabezpieczenie przed daną podatnością (wydruki z systemu [...] potwierdzające podjęte działania zaradcze dotyczące potwierdzonych podejrzeń o podatności systemu). Ma to również potwierdzenie m.in. w wyjaśnieniach Spółki z [...] marca 2020r. i w przesłanych wydrukach zrzutów ekranów z systemu [...], wskazujących na wykonywanie testów dotyczących podatności [...] i weryfikacji wprowadzanych danych. Nie były natomiast przeprowadzane testy nastawione na weryfikację zabezpieczeń aplikacji [...] i WebAPI systemu [...], dotyczące podatności systemu informatycznego, związanych z naruszeniem danych osobowych. Działania takie podjęte dopiero po incydencie, [...] grudnia 2019r. Środki techniczne i organizacyjne stosowane w Spółce od [...] maja 2018r. (dzień rozpoczęcia stosowania RODO) do czasu wystąpienia naruszenia były poddawane przeglądom i uaktualniane jedynie w sytuacji wystąpienia zmian organizacyjnych lub prawnych (kopia wiadomości e-mail, informująca o konieczności dokonania przeglądu stosowanego monitoringu z ankietą).

Prezes UODO wskazał, że zmiana operatora Systemu [...] z [...] Sp. z o.o. s.k.a. na [...] S.A., dokonana [...] czerwca 2017r., powinna pociągać za sobą kompleksową ocenę skuteczności wdrożonych rozwiązań technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych w systemach informatycznych Spółki. Zebrany materiał dowodowy nie dostarczył dowodów, aby ocenę przeprowadzono. Zmiana ta nastąpiła już w okresie obowiązywania RODO, w którym prawodawca unijny pozostawił administratorom danych dwuletni okres na dostosowanie przetwarzania danych do wymogów RODO.

Spółka w wyjaśnieniach z [...] stycznia 2020r. wskazała, że ostatni kompleksowy przegląd środków technicznych i organizacyjnych przeprowadziła w maju 2018r. Z kolejnych wyjaśnień z [...] lipca 2020r. wynika, że Spółka decydując się na wdrożenie i korzystanie z [...] przeprowadziła liczne jego testy, pomiary i oceny, czy jest on właściwy by należycie spełniać swoje funkcje, w tym zabezpieczać wprowadzane do niego dane osobowe abonentów. Spółka wskazała, że "Ryzyko dla praw i wolności podmiotów danych było stale oceniane przez Spółkę. Każdorazowo w przypadku zmian organizacyjnych lub prawnych w Spółce, środki techniczne i organizacyjne były poddawane przeglądom oraz uaktualnieniom."

Prezes UODO nie zgodził się ze stanowiskiem Spółki, że w czasie korzystania z ww. systemu, dokładała wszelkich starań, aby [...] spełniał funkcje i właściwie chronił dane do niego wprowadzone oraz że w czasie, w którym doszło do ww. zdarzenia przyjęte i stosowane przez nią rozwiązania techniczne były na najwyższym możliwym poziomie. Zdaniem Prezesa UODO do wykrycia wykorzystanej podatności wystarczyłoby zweryfikowanie podstawowej zasady działania systemu [...] - sprawdzenie, czy następuje walidacja nr POS z numerem wniosku. Brak podjęcia tego działania świadczy o nieskutecznym, bądź niewłaściwym przeprowadzaniu wskazanych przez Spółkę przeglądów. Sprawdzenie poprawności walidacji dwóch ww. danych nie wymaga wiedzy specjalistycznej, bądź dużych nakładów finansowych, a jedynie dostępu do systemu. Podatność zidentyfikowana w wyniku naruszenia ochrony danych osobowych jest związana z zastosowanymi środkami technicznymi, służącymi identyfikacji użytkowników i ich uprawnień w systemie. Spółka w zgłoszeniu naruszenia ochrony danych osobowych z [...] grudnia 2019r. wskazała "naruszenie polegało na wykorzystaniu endpointu API służącego do generowania wydruku potwierdzenia rejestracji w stacjonarnych punktach partnerskich (POS). Endpoint ze względu na swój cel jest dostępny z sieci zewnętrznej, ze względu na błąd w konstrukcji pozwalał na odpytanie o potwierdzenie danych rejestracyjnych przy wykorzystaniu jedynie id wniosku rejestracyjnego. Argument identyfikujący punkt partnerski - posld, który powinien być walidowany tak, by jedynie znając parę id punktu + id wniosku dało się pobrać potwierdzenie, nie był w rzeczywistości brany pod uwagę. W związku z tym wywołanie http [...] było możliwe przy podaniu dowolnego posld. Atakujący używał posld = 1 i kolejnych requestld generowanych w pętli".

Zdaniem Prezesa UODO sprawdzenie poprawności działania założonej walidacji nr POS z nr wniosku jest tak oczywiste i podstawowe, że jedynym słusznym wnioskiem, który można wysnuć, jest stwierdzenie, że wdrożenie systemu służącego do przetwarzania danych osobowych do użytku bez poprawnie działającej ww. walidacji świadczy o rażącym zaniedbaniu podstawowych obowiązków administratora danych osobowych, w kontekście art. 32 RODO. Dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające. Spółka bowiem, jak wynika ze zgromadzonego materiału, mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów wdrożonego systemu [...], który z założenia, jak wynika z wyjaśnień Spółki pozyskanych w toku kontroli, miał weryfikować Id POS i zgodność Id wniosku o rejestrację z Id POS rejestrującego wniosek. Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora i podmiotu przetwarzającego. wynikającym z art. 32 ust. 1 lit. d RODO. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych, na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk i proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.

Spółka z tego obowiązku wywiązywała się częściowo, weryfikując i modyfikując poziom skuteczności wdrożonych zabezpieczeń w sytuacjach, gdy pojawiało się podejrzenie zaistnienia podatności - wówczas podejmowane były prace mające na celu zabezpieczenie przed daną podatnością. Nie były przeprowadzane testy dotyczące weryfikacji zabezpieczeń aplikacji Partner Portal oraz WebAPI systemu [...], mających związek z naruszeniem ochrony danych osobowych.

Działania polegające na poddawaniu środków technicznych i organizacyjnych przeglądom oraz uaktualnieniom, w przypadku pojawiania się zmian organizacyjnych lub prawnych, nie wyczerpują wymogu regularności. Testy powinny być wykonywane niezależnie, czy takie zmiany w działalności Spółki zachodzą czy też nie. Zmiany, do których odwołuje się Spółka, powinny być czynnikiem powodującym konieczność przeprowadzenia ponownej analizy ryzyka i ich wpływu na bezpieczeństwo przetwarzanych danych, której wynik należy uwzględnić przy stosowaniu środka bezpieczeństwa, jakim jest regularne testowanie.

W ocenie Prezesa UODO dokonywanie przeglądów w sytuacji wystąpienia zmiany organizacyjnej lub prawnej, jak również podejmowanie działań dopiero w przypadku podejrzenia zaistnienia podatności, nie może zostać uznane za regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania danych. Są one bowiem podejmowane w związku z zajściem wydarzenia, np. zmiany organizacyjnej u administratora danych. Mają one bardziej cechy analizy ryzyka, która powinna być właśnie dokonywana w sytuacji tego typy zmian w organizacji i przebiegu procesów przetwarzania danych osobowych. Testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) RODO, musi być dokonywane w sposób regularny, świadomie zaplanowany, zorganizowany i udokumentowany (w związku z zasadą rozliczalności - art. 5 ust. 2 RODO) w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych, spowodowanych np. zmianą organizacyjną u administratora danych. Takich działań Spółka nie podejmowała, co przesadza o naruszeniu tego przepisu RODO. Analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim stanu faktycznego istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Określenie aktywa - to wszystko, co stanowi wartość dla firmy - administratora danych osobowych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych). Określenie istniejących zabezpieczeń jest konieczne, m.in. aby ich nie powielać. Należy też bezwzględnie sprawdzić skuteczność funkcjonowania zabezpieczeń, bo istnienie zabezpieczenia niesprawdzonego, po pierwsze może wyeliminować jego wartość, po drugie może dać fałszywe poczucie bezpieczeństwa i może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.

Podatność jest określana powszechnie jako słabość, luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia i z jakiego kierunku (powodu) mogą się pojawić.

Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Zazwyczaj wykorzystuje się macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, przedstawiając poziomy ryzyka, dla których organizacja definiuje odpowiednie działania.

W ocenie Prezesa UODO przedstawiona w toku kontroli analiza ryzyka, przeprowadzona w maju 2018r., nie odzwierciedla w pełni stanu faktycznego procesu "Rejestracja danych w POS", będącego przedmiotem kontroli, w związku z wystąpieniem naruszenia ochrony danych osobowych, zgłoszonego przez Spółkę [...] grudnia 2019r. Przegląd środków technicznych i organizacyjnych przeprowadzono jedynie przed rozpoczęciem stosowania RODO. Nie sposób jednak uznać go za realny i faktyczny, bo nie doprowadził do ujawnienia podatności w funkcjonowaniu systemu. Badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem niewystąpienie danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono istnieć w przyszłości. Zagrożenie wskazane w analizie ryzyka w postaci "nieuprawniony dostęp osób trzecich lub nieuprawnione ujawnienie danych osobom trzecim" nie powinno zostać określone przez Spółkę na poziomie "Nie dotyczy", bo zdarzenie to może istnieć w każdej organizacji, z powodu wielu różnych przyczyn, natomiast odpowiedź "Nie dotyczy" byłaby zasadna, gdyby Spółka nie przetwarzała w tym procesie danych osobowych. Zagrożenie to zmaterializowało się, przez wykorzystanie niezidentyfikowanej podatności istniejącej w procesie przetwarzania danych osobowych "Rejestracja danych w POS" w związku z naruszeniem ochrony danych osobowych abonentów usług przedpłaconych.

Przyjęcie wartości "Średnie/rzadka" i ocena na poziomie "2" dla zagrożenia "brak badania podatności systemów informatycznych" też świadczy o powierzchownym podejściu do ryzyka naruszenia praw i wolności osób fizycznych przez Spółkę. Przyjęta ocena powinna odzwierciedlać realną sytuację panującą w danej organizacji i opierać się przede wszystkim na faktach, stwierdzonych podczas badania tej sytuacji, przeprowadzonego w formie audytu, sprawdzenia bądź na podstawie stwierdzonego stanu faktycznego. Z materiału dowodowego zebranego podczas przeprowadzonej kontroli wynika, w Spółce w 2019r. nie przeprowadzono przeglądu stosowanych środków technicznych i organizacyjnych, co samo w sobie dyskwalifikuje dokonanej oceny na tym poziomie, zaś incydentalnie podejmowane działania nie wyczerpują znamion regularności.

Ustalenia te pozwalają na stwierdzenie, że przeprowadzona analiza ryzyka miała na celu jedynie wykazanie, że nie występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych, więc nie jest konieczne wdrażanie dodatkowych środków technicznych i organizacyjnych. Takie podejście spowodowało brak prawidłowej oceny zagrożeń w procesie (o nazwie "Rejestracja danych w POS") przetwarzania danych osobowych abonentów usług przedpłaconych i w konsekwencji niewłaściwe ich zabezpieczenie, czego efektem było naruszenie ochrony danych osobowych.

Prezes UODO zwrócił uwagę, że ww. analizę ryzyka przeprowadzono w maju 2018r., więc przez ponad półtora roku (od maja 2018r. do grudnia 2019r.) Spółka nie podejmowała działań w celu weryfikacji przyjętych założeń i ocen. Tymczasem, podobnie jak inne środki organizacyjne, również analiza ryzyka powinna podlegać okresowym przeglądom i uaktualnieniom. Kolejną analizę ryzyka dla procesu "Rejestracja danych w POS" przeprowadzono dopiero [...] grudnia 2019r. - już po wystąpieniu naruszenia ochrony danych osobowych. Zdaniem organu każde sprawdzenie, audyt bądź przegląd musi opierać się na kompletnych i rzetelnych informacjach. Funkcjonowanie jakiejkolwiek organizacji, zwłaszcza w sferze ochrony danych osobowych, nie może opierać się na nierzetelnych bądź nierealnych podstawach, zaś lekceważenie wartości podstawowych informacji skutkować może fałszywym poczuciem bezpieczeństwa i nie podjęciem działań przez administratora danych osobowych, do których jest zobligowany, co z kolei skutkować może, jak w sprawie, naruszeniem ochrony danych osobowych, powodującym ze względu na zakres naruszenia danych osobowych, wysokie ryzyko naruszenia praw i wolności osób fizycznych.

W ocenie Prezesa UODO brak rzetelnie przeprowadzonej analizy ryzyka, w połączeniu z brakiem regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania doprowadził do naruszenia danych ochrony danych i przesądza o naruszeniu przez Spółkę obowiązków spoczywających na administratorze danych, wynikających z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 RODO.

Prezes UODO, odnosząc się do kopii certyfikatów uzyskanych [...] lipca 2020r. ([...] poświadczającego wdrożenie i utrzymywanie przez Spółkę systemu zarządzania bezpieczeństwem informacji w zakresie usług świadczonych przez operatora telekomunikacyjnego oraz [...] poświadczającego wdrożenie i utrzymywanie przez Spółkę systemu zarządzania danymi osobowymi jako rozszerzenie [...] oraz [...] o zarządzanie prywatnością w zakresie usług świadczonych przez operatora telekomunikacyjnego) i złożonych w tym zakresie wyjaśnień, uznał, że Spółka w toku postępowania usunęła uchybienie w postaci braku procedur zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków w prowadzonej przez Spółkę dokumentacji, opisującej proces przetwarzania danych i zastosowane środki organizacyjne i techniczne. Spółka w złożonych wyjaśnieniach wskazała, że wymogi otrzymania ww. certyfikatów oznaczają m.in objęcie funkcjonowania systemu zarządzania bezpieczeństwa informacji i ochrony danych corocznym audytem wewnętrznym prowadzonym przez Spółę, jak i zewnętrznym niezależnej instytucji wydającej certyfikat. Spółka wdrożyła więc rozwiązania, zapewniające regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków zapewniających bezpieczeństwo przetwarzania danych. Wdrożenie tych rozwiązań nastąpiło jednak dopiero [...] lipca 2020r., czyli po upływie znacznego czasu od wystąpienia naruszenia ochrony danych osobowych abonentów usług przedpłaconych.

Prezes UODO, odnosząc się do wyjaśnień Spółki i wskazanych w nich okoliczności, że w chwili wprowadzania do działalności zmian wymaganych przez u.d.a. Spółka nie była zobowiązana do przestrzegania zasady ochrony danych w fazie projektowania, o której mowa w art. 25 ust. RODO, wskazał, że u.d.a. weszła w życie 2 lipca 2016r., po wejściu w życie RODO, które opublikowano 4 maja 2016r. w Dz.U. UE. Zgodnie z art. 99 ust. 1 RODO, rozporządzenie to wchodzi w życie 20 dnia po publikacji w Dz.U. UE i ma zastosowanie od 25 maja 2018r. (art. 99 ust. 2). RODO weszło w życie 24 maja 2016r., z obowiązkiem bezpośredniego stosowania od 25 maja 2018r. W motywie 171 RODO podkreśla się (motywy zawierają uzasadnienie przepisów części normatywnej aktu), że przetwarzanie, które w dniu rozpoczęcia stosowania RODO już się toczy, powinno w terminie dwóch lat od wejścia RODO w życie zostać dostosowane do jego przepisów. Skoro systemy Spitfire i Partner Portal funkcjonują od 2014r., Spółka, dostosowując te systemy do wymogów nałożonych przepisami u.d.a., zmieniających u.P.t., powinna uwzględnić już na tym etapie obowiązki nałożone przez art. 25 RODO. Wdrażanie obowiązków nałożonych u.d.a. zbiegło się bowiem w czasie z powinnością dostosowania przetwarzania danych do wymogów RODO.

Prezes UODO podkreślił również, że powołany art. 25 ust. 1 RODO, pomimo nazwania wskazanego w nim obowiązku administratora jako "ochrona danych w fazie projektowania" dotyczy nie tylko etapu projektowania, ale także etapu przetwarzania danych. Wdrażanie zabezpieczeń stanowi bowiem ciągły proces, a nie tylko jednorazowe działanie administratora. Wymienione w art. 25 ust. 1 RODO środki, jak "minimalizacja danych" czy "pseudonimizacja", są tylko przykładem środków, które powinny zostać zastosowane w celu spełnienia wymogu realizacji zasad ochrony danych oraz nadania przetwarzaniu niezbędnych zabezpieczeń, by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Prezes UODO, odnosząc się do twierdzenia Spółki, że po stronie organu leży wykazanie, czy doszło do udostępnienia danych osobie nieuprawnionej, stwierdził, że nie ma w swoich kompetencjach uprawnień do prowadzenia postępowania zmierzającego do wykrycia sprawcy przestępstwa i oceny, czy doszło do jego popełnienia. Uprawnienia te przysługują organom ścigania i to one oceniają czy doszło do popełnienia przestępstwa i do kwalifikacji czynu przestępczego. W sprawie nie budzi wątpliwości, że doszło do udostępnienia danych, czego potwierdzeniem jest postanowienie Prokuratora Okręgowego w [...] z [...] lipca 2020r. sygn. akt [...] o umorzeniu dochodzenia wobec niewykrycia sprawcy przestępstwa. Do kompetencji Prezesa UODO należy zaś ocena, czy administrator danych przetwarza dane zgodnie z wymogami wynikającymi z przepisów o ochronie danych osobowych oraz odpowiedzialności administratora danych za przetwarzanie danych w sposób naruszający te przepisy. Obowiązkiem każdego administratora jest przetwarzanie danych zgodnie z zasadami art. 5 RODO, a w sprawie zgodnie z art. 5 ust. 1 lit. f. Zgodnie z art. 5 ust. 2 RODO jest on odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (rozliczalność). Zobowiązuje to administratora do zachowania staranności zarówno przy nadawaniu upoważnień do przetwarzania danych, jak i przy cofaniu upoważnień względem byłego pracownika, zleceniobiorcy czy wykonawcy. Okoliczności podjęcia decyzji o rozwiązaniu więzi prawnej, łączącej z pracownikiem, zleceniobiorcą czy wykonawcą, mogą podnosić ryzyko wystąpienia prób nieuprawnionego dostępu do zasobów podmiotu. Stałe monitorowanie systemów informatycznych jest obowiązkiem administratora, zapewniającym wywiązanie się z wymogów nałożonych art. 32 ust. 1 lit. b) i d) RODO. To po stronie Spółki leży obowiązek wykazania przed organem nadzorczym, że wdrożyła odpowiednie środki bezpieczeństwa danych i zabezpieczyła dane przed dostępem osób nieupoważnionych, np. tych których upoważnienie wygasło, jak również wykazanie, że podjęła wszelkie możliwe działania, aby nie doszło do naruszenia poufności danych. Twierdzenie Spółki, że nie wie, czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć, potwierdza, że wdrożone przez Spółkę środki techniczne i organizacyjne, mające zapewnić bezpieczeństwo danych, były niewystarczające. Brak wiedzy na temat tych informacji stanowi również dowód na to, że Spółka nie panuje nad procesem przetwarzania danych, co stanowi o naruszeniu zasady rozliczalności.

Zdaniem Prezesa UODO brak wdrożenia przez Spółkę w sposób prawidłowy wymogów RODO w zakresie określonym art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 RODO, doprowadziło do naruszenia ochrony danych osobowych abonentów usług przedpłaconych. Konsekwencją naruszenia ww. przepisów jest także naruszenie zasady poufności, wyrażonej w art. 5 ust. 1 lit. f RODO i zasady rozliczalności, o której mowa wart. 5 ust. 2 RODO. Pomimo usunięcia przez Spółkę ww. uchybień w zakresie zapewnienia bezpieczeństwa przetwarzanych danych, w tym podatności systemów informatycznych, służących do przetwarzania danych osobowych abonentów usług przedpłaconych, będącej przyczyną naruszenia poufności danych osobowych, zaszły przesłanki uzasadniające zastosowanie wobec Spółki przysługujących Prezesowi UODO uprawnień do nałożenia kary administracyjnej za naruszenie zasady poufności danych (art. 5 ust. 1 lit. f RODO), a w konsekwencji zasady rozliczalności (art. 5 ust. 2 RODO) w związku z naruszeniem obowiązków administratora, przy wdrażaniu środków technicznych i organizacyjnych w trakcie przetwarzania danych, w celu skutecznej realizacji zasad ochrony danych (art. 25 ust. 1 RODO); obowiązków w zakresie zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych (art. 32 ust. 1 lit. b RODO); obowiązku regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit. d RODO) oraz obowiązku uwzględnienia ryzyka wiążącego się z przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych (art. 32 ust. 2 RODO). Skorzystanie przez Prezesa UODO z ww. uprawnienia wynika przede wszystkim z faktu, że administrator uchybił podstawowym zasadom przetwarzania danych: zasadzie poufności, zasadzie rozliczalności, stanowiącej o bezwzględnym obowiązku wykazania przed Prezesem UODO przestrzegania przepisów RODO.

Prezes UODO, decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej, a także określając jej wysokość, stosownie do art. 83 ust. 2 lit. a-k RODO, wziął pod uwagę, i uznał za obciążające dla Spółki, następujące okoliczności sprawy:

a) charakter i wagę naruszenia, liczbę poszkodowanych osób (art. 83 ust. 2 lit. a RODO). Stwierdzone w sprawie naruszenie, którego skutkiem było uzyskanie nieuprawnionego dostępu do przetwarzanych przez Spółkę danych przez osobę bądź osoby nieuprawnione, a w konsekwencji pozyskanie danych osobowych abonentów usług przedpłaconych Spółki, ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla dużej liczby osób, do których danych dostęp miała osoba bądź osoby nieuprawnione. Naruszenie przez Spółkę obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieupoważnionym, pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane dotyczą, niezgodnie z przepisami RODO, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano. Znaczący wpływ na dużą wagę naruszenia ma również okoliczność, że na Spółce, przetwarzającej dane osobowe w sposób profesjonalny, w ramach jej działalności, ciąży większa odpowiedzialność i większe wymagania niż na podmiocie przetwarzającym dane osobowe w ramach działalności ubocznej, incydentalnie lub na niewielką skalę. Prowadząc działalność komercyjną, Spółka jako administrator tych danych powinna podjąć wszelkie niezbędne działania i dochować należytej staranności w doborze środków technicznych i organizacyjnych, zapewniających bezpieczeństwo i poufność danych. Poczynione ustalenia faktyczne dowodzą, ż Spółka w chwili wystąpienia naruszenia zadaniu temu nie sprostała;

b) czas trwania naruszenia (art. 83 ust. 2 lit. a RODO). Za okoliczność obciążającą Prezes UODO uznał długi czas trwania naruszenia i wskazał, że co prawda sam okres, w którym osoba lub osoby nieuprawnione miały dostęp do danych osobowych przetwarzanych przez Spółkę, był stosunkowo krótki (choć i tak wystarczający do skopiowania wszystkich dostępnych danych), to jednak stan naruszenia był długotrwały. Powstał przed dniem rozpoczęcia stosowania RODO (przed 25 maja 2018r.), a usunięty został ostatecznie - w trakcie postępowania zakończonego wydaniem ww. decyzji - wraz z uzyskaniem przez Spółkę [...] lipca 2020r. ww. certyfikatów [...], [...], [...] oraz [...] - poświadczających wdrożenie procedur zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków w prowadzonej przez Spółkę dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne.

c) rozmiar szkody poniesionej przez osoby, których dotyczyło naruszenie (art. 83 ust. 2 lit. a RODO). W sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba lub osoby nieuprawnione, doznały szkody majątkowej, ale już samo naruszenie poufności ich danych stanowi szkodę niemajątkową (krzywdę); osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.

d) umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b RODO). Nieuprawniony dostęp do danych osobowych abonentów usług przedpłaconych Spółki stał się możliwy na skutek niedochowania należytej staranności przez Spółkę i stanowi o nieumyślnym charakterze naruszenia. Niemniej jednak Spółka jako administrator ponosi odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych. Na negatywną ocenę zasługuje fakt, że Spółka choć zakładała, że system będzie weryfikował zgodność Id wniosku z Id POS, nie przeprowadziła testu pod kątem poprawności działania systemu zgodnie z założonymi wymaganiami. W tym stanie rzeczy, zaniedbanie Spółki należy uznać za rażące.

Prezes UODO wyjaśnił, że ustalając wysokość administracyjnej kary pieniężnej uwzględnił jako okoliczność łagodzącą, mającą wpływ na obniżenie wysokości kary, dobrą współpracą Spółki z organem nadzorczym podjętą i prowadzoną w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO). Poza prawidłowym wywiązywaniem się z ciążących na Spółce obowiązków procesowych, zarówno w postępowaniu kontrolnym jak i w administracyjnym, zakończonym wydaniem ww. decyzji, Spółka w pełnym zakresie zrealizowała zalecenia organu, dotyczące uzupełnienia powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu. Spółka podjęła również konkretne i szybkie działania, których efektem było usunięcie naruszania. W szczególności usunęła z systemu informatycznego wykorzystaną przez osobę lub osoby nieuprawnione jego podatność na naruszenie ochrony przetwarzanych w systemie danych osobowych. Spółka wdrożyła również normy ISO, gwarantujące na przyszłość wysoki poziom procedur regulujących m.in. przetwarzanie danych osobowych w Spółce, w tym przewidujące regularne przeglądy i audyty zabezpieczeń i funkcjonowania systemów zarządzania danymi osobowymi i bezpieczeństwa informacji.

Prezes UODO stwierdził, że żadnego wpływu na zastosowania ww. sankcji w postaci administracyjnej kary pieniężnej, jak i na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 RODO, okoliczności:

a) działania podjęte przez Spółkę w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c RODO);

b) stopień odpowiedzialności Spółki z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nią na mocy art. 25 i 32 RODO (art. 83 ust. 2 lit. d RODO);

c) stosowne wcześniejsze naruszenia przepisów RODO dokonane przez Spółkę (art. 83 ust. 2 lit. e RODO);

d) kategoria danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit g RODO);

e) sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit h RODO);

f) przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 RODO (art. 83 ust. 2 lit. i RODO);

g) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO (art. 83 ust 2 lit. j RODO);

h) osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k RODO).

Prezes UODO w związku z tym uznał, że nałożenie administracyjnej kary pieniężnej na Spółkę było konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Spółce naruszeń. Zastosowanie innego środka naprawczego przewidzianego w art. 58 ust. 2 RODO, w szczególności poprzestanie na upomnieniu (art. 58 ust. 2 lit. b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych i nie gwarantowałoby, że Spółka w przyszłości nie dopuści się kolejnych zaniedbań.

Prezes UODO, odnosząc się do wysokości administracyjnej kary pieniężnej, uznał, że w ustalonych okolicznościach - wobec stwierdzenia naruszenia kilku przepisów RODO (zasady poufności danych - art. 5 ust. 1 lit. f) - odzwierciedlonej w postaci obowiązków określonych w art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2, co w konsekwencji oznacza naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO) - zastosowanie znajdzie zarówno art. 83 ust. 4 lit. a RODO, przewidujący m.in. za naruszenie obowiązków administratora, o których mowa w art. 25 i 32 RODO, możliwość nałożenia administracyjnej kary pieniężnej w wysokości do 10.000.000 EUR (w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego), jak i art. 83 ust. 5 lit. a RODO, zgodnie z którym naruszenia m.in. podstawowych zasad przetwarzania, o których mowa m.in. w art. 5 RODO, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR (w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa).

Prezes UODO, wobec tego, stosownie do art. 83 ust. 3 RODO, określił całkowitą wysokość administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze naruszenie. Za najpoważniejsze uznał naruszenie przez Spółkę zasady poufności określonej w art. 5 ust 1 lit. f RODO, a w konsekwencji zasady rozliczalności określonej art. 5 ust. 2 RODO. Przemawia za tym poważny charakter naruszenia i krąg osób nim dotkniętych ([...] abonentów usług przedpłaconych, których administratorem jest Spółka). W stosunku do ww. liczby osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, bo nieznany jest cel, dla którego osoba bądź osoby nieuprawnione podjęły działania zmierzające do pozyskania tych danych przez generowanie w sposób ciągły kolejnych następujących po sobie numerycznie potwierdzeń dokonania rejestracji usług przedpłaconych zawierających dane osobowe.

Prezes UODO wyjaśnił, że stosownie do art. 103 u.o.d.o. równowartość wyrażonych w euro kwot, o których mowa w art. 83 RODO, oblicza się w złotych według średniego kursu euro ogłaszanego przez NBP w tabeli kursów na 28 stycznia każdego roku, a w przypadku gdy w danym roku NBP nie ogłasza średniego kursu euro 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów NBP.

Prezes UODO, mając to na uwadze, na podstawie art. 83 ust. 4 lit. a i ust. 5 lit. a) i ust. 3 RODO w związku z art. 103 u.o.d.o, za naruszenia opisane w sentencji decyzji, nałożył na Spółkę administracyjną karę pieniężną - stosując średni kurs euro z [...] stycznia 2020r. (1 EUR = 4,2794 PLN) – [...] PLN (co stanowi równowartość [...] EUR).

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. będzie w indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Nałożona kara będzie skuteczna, bo doprowadzi do stanu, w którym Spółka będzie stosowała takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa, odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Skuteczność kary równoważna jest zatem gwarancji tego, że Spółka od momentu zakończenia postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych. Zastosowana kara jest też proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza do jego wagi, kręgu dotkniętych nim osób fizycznych i ryzyka, jakie w związku z naruszeniem ponoszą. Kara pieniężna jest również proporcjonalna do przychodów netto Spółki, określonych za 2019r., na poziomie [...] mln zł i nie będzie stanowiła nadmiernego obciążenia. Spółka podjęła kroki mające na celu zapewnienie możliwości kontynuacji działalności przez zoptymalizowanie kosztów usług reklamowych i marketingowych, oraz utrzymanie oferty na obecnym poziomie cenowym, co ma służyć utrzymaniu bazy klientów lub też jej wzrostu. Spółka zakończyła też negocjacje z [...] Sp. z o.o., dotyczące sprzedaży udziałów Spółki podpisaniem umowy [...] kwietnia 2020 r.

Prezes UODO wskazał, że wysokość ww. kary określono na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, a z drugiej nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej Spółki. Spółka powinna i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie kary w ww. wysokości jest w pełni uzasadnione. Administracyjna kara pieniężna spełni w konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów RODO, ale i prewencyjną, bo przyczyni się do zapobiegania w przyszłości naruszania obowiązków wynikających z przepisów o ochronie danych osobowych, przy przetwarzaniu danych przez samą Spółkę, jak i w stosunku do podmiotów działających na jej zlecenie. Zastosowana kara spełnia więc przesłanki, o których mowa w art. 83 ust. 1 RODO, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad RODO - zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f RODO. Celem nałożonej kary jest doprowadzenie do przestrzegania przez Spółkę w przyszłości przepisów RODO.

6. W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie Spółka, reprezentowana przez pełnomocnika, wniosła o uchylenie ww. decyzji Prezesa UODO i zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych, z uwagi na naruszenie:

a) art. 83 ust. 2 lit. a) w związku z art. 99 ust. 2 RODO, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że rzekome naruszenie art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 RODO rozpoczęło się i trwało przed 25 maja 2018r. i zakończyło się 22 lipca 2020r., gdy Spółka obowiązana była stosować przepisy RODO od 25 maja 2018r., a zakończenie stanu naruszenia nastąpiło najpóźniej w lutym 2020r., co doprowadziło do nałożenia administracyjnej kary pieniężnej z naruszeniem art. 83 ust. 2 lit. a) RODO;

b) art. 83 ust. 1 w związku z art. 83 ust. 2 lit. a) RODO, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że osoby, których dotyczyło naruszenie, poniosły szkodę, o której mowa w art. 83 ust. 2 lit. a), gdy za poniesienie szkody nie może być uznawana obawa jej poniesienia przez osoby, których dane dotyczą, co doprowadziło do nałożenia ww. kary pieniężnej w wysokości naruszającej zasadę proporcjonalności;

c) art. 83 ust. 1 i ust. 2 lit. b) RODO - polegające na ich niewłaściwym zastosowaniu i przyjęciu, że nieumyślne naruszenie przepisów RODO jest okolicznością mającą wpływ na zwiększenie kary pieniężnej, gdy nieumyślne naruszenie powinno zmniejszać wymiar kary pieniężnej, co spowodowało nałożenie na Spółkę kary nieadekwatnej (nieproporcjonalnej) do zarzucanego jej naruszenia;

d) art. 83 ust. 1 i ust. 2 lit. e), g) i k) RODO, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że okoliczności braku wcześniejszego naruszenia ze strony Skarżącej, kategorie danych osobowych, których dotyczyło naruszenie, jak też nieosiągnięcie przez Spółkę bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowych lub uniknięcie straty, nie miały wpływu na wymiar kary pieniężnej, gdy stanowią one okoliczności łagodzące mające zastosowanie w każdym indywidualnym przypadku naruszenia, w tym odnoszące się do Skarżącej, co spowodowało nałożenie kary nieadekwatnej (nieproporcjonalnej) do zarzucanego naruszenia;

e) art. 83 ust. 1 i ust. 2 lit. a) RODO, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że okoliczność przetwarzania danych osobowych w sposób profesjonalny ma znaczący wpływ na dużą wagę naruszenia przepisów RODO, zarzucanego Skarżącej, a w konsekwencji stanowi czynnik obciążający, gdy okoliczność ta nie powinna być uwzględniania przy nakładaniu administracyjnej kary pieniężnej oraz określaniu jej wymiaru;

f) art. 32 ust. 1 lit. d) i ust. 2 RODO, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że niewdrożenie środka bezpieczeństwa organizacyjnego, polegającego na regularnym testowaniu, mierzeniu i ocenianiu skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania wdrożonych przez Skarżącą, doprowadziło do niewykrycia podatności będącej przyczyną naruszenia ochrony danych oraz stanowiło naruszenie obowiązków wynikających z RODO, za które organ nałożył na Spółkę karę finansową;

g) art. 83 ust. 1 RODO w związku z art. 5 ust. 1 lit. f), art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 RODO, polegające na naruszeniu zasady proporcjonalności wymiaru kary w wyniku niewłaściwego łącznego zastosowania art. 5 ust. 1 lit. f) wraz z art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) i ust. 2 RODO, które dotyczą tego samego czynu, co skutkowało automatycznym przyjęciem wyższej wysokości kary;

h) art. 25 ust. 1 RODO - przez jego nieprawidłowe zastosowanie i uznanie, że do naruszenia może dojść pomimo braku wyrządzenia szkody;

i) art. 7, art. 77 i art. 80 k.p.a. - polegające na niepodjęciu z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego i błędnym przyjęciu, że rzekome naruszenie ochrony danych osobowych obejmowało [...] osób, gdy w rzeczywistości naruszenie dotyczyło [...] osób, co skutkowało niesłusznym nałożeniem na Skarżącą sankcji w wysokości nieodpowiadającej liczbie osób, których dotyczyło naruszenie;

j) art. 7 i art. 77 i art. 80 k.p.a. - polegające na niepodjęciu z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego i błędnym przyjęciu, że dane osobowe wszystkich osób dotkniętych rzekomym naruszeniem ochrony danych osobowych obejmowały zakres danych: imię, nazwisko, nr PESEL oraz serię i nr dowodu osobistego, nr telefonu, nr NIP, a także nazwę podmiotu - gdy zakres ten był różny przy poszczególnych grupach podmiotów, a w zakresie zarówno nr PESEL i nr oraz serii dowodu tożsamości naruszenie dotyczyło jedynie [...] abonentów, co skutkowało niesłusznym nałożeniem na Spółkę sankcji w wysokości nieodpowiadającej rzeczywistemu zakresowi danych osobowych osób, których dotyczyło rzekome naruszenie;

k) art. 7 i art. 77 i art. 80 k.p.a. - polegające na niepodjęciu z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego i błędnym przyjęciu przez organ, że naruszenie obowiązku regularnego testowania, mierzenia i oceniania środków zabezpieczenia danych trwało do [...] lipca 2020r. - do czasu otrzymania certyfikatów ISO, gdy audyt wewnętrzny odbył się w lutym 2020r., a audyt certyfikacyjny w kwietniu i maju 2020r., co oznacza, że Skarżąca miała wdrożone niezbędne zabezpieczenia najpóźniej w lutym 2020r.;

l) art. 7 i art. 77 i art. 80 k.p.a. - polegające na niepodjęciu z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego i niezebranie i nierozpatrzenie całego materiału dowodowego w sposób wyczerpujący, a także błędnym przyjęciu, że uprawnienia, którymi dysponował atakujący, pozostają bez znaczenia do stwierdzenia naruszenia przez Skarżącą przepisów RODO - gdy okoliczności ataku, którego ofiarą padła Spółka, stanowią istotny element stanu faktycznego, niezbędny w celu prawidłowego ustalenia skali naruszenia, co skutkowało niesłusznym nałożeniem sankcji;

m) art. 107 § 1 i 3 k.p.a. - przez niewskazanie w decyzji i uzasadnieniu wszystkich faktów, które organ uznał za udowodnione, jak i dowodów, na których się oparł oraz przyczyn, z powodu których odmówił wiarygodności i mocy dowodowej innym dowodom, co znacząco utrudnia rekonstrukcję sposobu rozumowania organu, a w konsekwencji kontrolę legalności zaskarżonej decyzji.

Skarżąca w uzasadnieniu podała, że czynnik obciążający Spółkę na podstawie art. 83 ust. 2 lit. a) RODO - czas trwania naruszenia ustalono w sposób błędny, a skoro - jak wskazuje organ - miał wpływ na wysokość kary, doszło do naruszenia art. 83 ust. 2 lit. a) i art. 99 ust. 2 RODO. Zgodnie z art. 99 ust. 2 RODO, jego przepisy mają zastosowanie od 25 maja 2018r. Skarżąca do tej daty nie miała obowiązku wdrożenia odpowiednich środków przewidzianych przepisami RODO, więc początkową datą naruszenia może być 25 maja 2018r., co oznacza, że wprowadzenie zmian mogło nastąpić w dowolnym momencie do tej daty. Skarżąca nie może zostać ukarana za ewentualne zaniechania wdrożenia zabezpieczeń przed 25 maja 2018r.

Zdaniem Spółki organ wykazał się też nieznajomością procesów certyfikacji. Otrzymanie certyfikatu jest efektem procesu, który trwał u Skarżącej od listopada 2019r., rozpoczynając się od audytu wewnętrznego, podczas którego badano potencjalne luki w zakresie m.in. bezpieczeństwa danych osobowych. Stanowił on przygotowanie do audytu certyfikującego z kwietnia 2020r., wykonanego przez zewnętrznych audytorów firmy certyfikującej. Spółka już podczas audytu certyfikującego powinna posiadać wdrożone odpowiednie rozwiązania, gwarantujące bezpieczeństwo danych osobowych. W tym celu, w lutym 2020r. odbył się kolejny audyt wewnętrzny potwierdzający poprawność zastosowanych środków. W przeciwnym przypadku, audyt certyfikacyjny zakończyłby się niepowodzeniem, a Spółk nie miałaby szans na otrzymanie certyfikatów. Za datę końcową domniemanego naruszenia należało zatem przyjąć nie później niż luty 2020r., a nie [...] lipca 2020r. Spółka zareagowała ponadto na wyciek danych natychmiast, bo tuż po jego wykryciu zablokowała usługę wykorzystaną przez atakującego i odpowiednią część ruchu sieciowego. Błędne było więc stanowisko Prezesa UODO, że naruszenie polegające na braku testowania, mierzenia i oceniania środków mogło trwać nawet [...] lata. Okres ten był o ponad połowę krótszy, czyli trwał nie dłużej niż [...] miesięcy. Ustalenie wysokości kary, uwzględniającej czas trwania naruszenia, określony niezgodnie z art. 99 ust. 2 RODO i niezgodnie ze stanem faktycznym sprawy, stanowi naruszenie art. 83 ust. 2 lit. a) RODO.

Spółka zwróciła uwagę, że jedną z istotnych zasad wymierzania administracyjnych kar pieniężnych, na podstawie RODO jest - zgodnie z art. 83 ust. 1 RODO - ich proporcjonalność do popełnionego czynu. Czynniki, które mogą przyczynić się do prawidłowego określenia proporcjonalności wymieniono w ust. 2 tego artykułu. Organ powinien je zbadać, mając na uwadze okoliczności każdego indywidualnego przypadku (art. 83 ust. 2 RODO). Każde naruszenie powinno być oceniane odrębnie. Organ, decydując o nałożeniu kary pieniężnej i ustalając jej wysokość, powinien w każdym indywidualnym przypadku zwrócić należytą uwagę m.in. na charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a) RODO). Rozmiar szkody jest istotnym elementem, który organ powinien wziąć pod uwagę. Skoro o tym, czy nałożyć karę (a nie tylko w jakiej wysokości), decyduje rozmiar szkody, to tym bardziej powinien decydować fakt, czy szkoda w ogóle wystąpiła. Pewne wskazówki, co do tego, w jaki sposób uwzględnić szkodę zawiera motyw 146 RODO. Wskazano w nim, że administrator powinien zostać zwolniony z odpowiedzialności prawnej, jeżeli udowodni, że szkoda w żadnym razie nie powstała z jego winy. Motyw ten odnosi się w większym stopniu do odpowiedzialności odszkodowawczej na podstawie RODO, ale powinien być również brany pod uwagę przy stosowaniu administracyjnych kar pieniężnych. Prezes UODO, nakładając karę, powinien ocenić, czy wystąpiła szkoda, w jakim rozmiarze oraz winę administratora. Zgodnie z motywem 146 RODO, pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele RODO. Celem tym nie jest jedynie ochrona danych osobowych, lecz ochrona praw i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych. Jakakolwiek podatność lub wyciek powinny być przez organ badane przez pryzmat ewentualnych naruszeń praw i wolności osób, których dane dotyczą.

Organ utożsamia "obawę" wyrządzenia szkody ze szkodą, ale z wywodu Prezesa UODO wynika, że szkoda nie wystąpiła, bądź nie ma dowodów, że wystąpiła którakolwiek z sytuacji: kradzież tożsamości, itp. "Szkoda" nie ma "rozmiaru", który RODO nakazuje wziąć pod uwagę. Organ uznał za czynnik obciążający "obawę", który zdaniem Spółki nie wystąpił, ale gdyby nawet uznać to za szkodę, organ przyznał, że nie można określić jej rozmiaru. Z tego powodu czynnik ten nie powinien być brany pod uwagę, jako okoliczność obciążająca Spółkę. Do dnia sporządzenia skargi nikt nie zgłosił szkód z tytułu zdarzenia, za które ukarano Skarżącą. Orzecznictwo TSUE nie przewiduje, tak daleko idącej interpretacji pojęcia szkody. Pewnym rozszerzeniem tego pojęcia jest szkoda pośrednia, która obejmuje inne osoby niż bezpośrednio poszkodowane. W sprawie taka sytuacja nie zachodzi, co więcej orzecznictwo TSUE potwierdza, że nawet szkoda "pośrednia" musi być konkretna. Również, że w sprawach dotyczących odpowiedzialności państwa, szkoda musi być istotna. Żaden z tych warunków nie jest spełniony w sprawie, a organ wręcz przyznał, że żadna z osób szkody nie poniosła. Orzecznictwo TSUE nie odnosi się do "obawy" jako ewentualnej szkody. Nie można zatem mówić o tym, że rozmiar szkody jest okolicznością obciążającą Skarżącą.

Prezes UODO, naruszając art. 83 ust. 2 lit. a) RODO, naruszył zasadę proporcjonalności, o której mowa w art. 83 ust. 1 RODO. Dodatkowo organ, stosownie do art. 83 ust. 2 lit. a-k RODO wziął pod uwagę i uznał za obciążające Spółkę m.in. nieumyślny charakter naruszenia i podwyższył wymiar kary. Organ, stosując art. 83 ust. 1 i ust. 2 lit. b) RODO powinien uznać, że działanie Spółki w ramach nieumyślności, jest okolicznością łagodzącą jej odpowiedzialność i skutkującą obniżeniem, lub niepodwyższaniem wysokości kary. Nie można bowiem uznać, że celem rozsądnego prawodawcy było zrównanie umyślności i nieumyślności, jeżeli chodzi o ich wpływ na wymiar kary pieniężnej, a tak stara się zrobić organ. Gdyby Spółka działała umyślnie, to byłaby to okoliczność ją obciążająca i niejako automatycznie zwiększająca karę. Skarżącej nie można jednak zarzucić działania umyślnego, a jedynie działanie nieumyślne (przyznaje to organ), co nie może być okolicznością obciążającą, a więc skutkującą podwyższeniem kary pieniężnej. Skoro organ nie kwestionuje nieumyślnego charakteru naruszenia, ale próbuje stworzyć "dodatkową okoliczność" - "rażące zaniedbanie", Skarżąca zwróciła uwagę, że w przepisach RODO nie ma takiej kategorii, ani w związku z wymiarem kar pieniężnych, ani w żadnym innym miejscu. Jedynymi okolicznościami, które organ miał wziąć pod uwagę przy wymiarze kary pieniężnej, powołując się na art. 83 ust. 2 lit. b) RODO są te wskazane w tym przepisie wprost, czyli umyślność lub nieumyślność. Wadliwe było więc przyjęcie przez organ, że nieumyślność jest okolicznością obciążającą. Wymierzona kara pieniężna jest więc niezgodna z dyrektywą wymiaru kary, wynikającą z art. 83 ust. 2 lit. b) RODO.

Skarżąca stwierdziła, że skoro wcześniej nie naruszała przepisów RODO, organ miał obowiązek wziąć to pod uwagę przy wymiarze kary, bo intencją unijnego prawodawcy było stosowanie tej przesłanki jako okoliczności zmniejszającej wymiar kary, co jest logiczne i oczekiwane od rozsądnego prawodawcy. W innym przypadku, art. 83 ust. 2 RODO miałby charakter wyłącznie represyjny w tym znaczeniu, że wystąpienie którejkolwiek z przesłanek tam wskazanych jedynie co najwyżej podnosiłoby wymiar nakładanej kary pieniężnej, natomiast nigdy nie obniżałoby tego wymiaru.

Skarżąca, odnosząc się do kategorii danych, których dotyczy naruszenie, wskazała, że Prezes UODO w ramach postępowania nie stwierdził, aby naruszenie dotyczyło szczególnych kategorii danych, o których mowa w art. 9 RODO, co mogłoby uzasadniać traktowanie naruszenia, jako szczególnie uciążliwego i dotkliwego dla osób, których dane dotyczą. Taka sytuacja nie miała miejsca, co potwierdza organ w zaskarżonej decyzji, stąd należało wziąć pod uwagę także tę przesłankę wymiaru kary, jako obniżającą jej wymiar. Organ natomiast w sposób sprzeczny z prawem uznał, że przesłanki obniżającej karę nie zastosuje. Organ w postępowaniu nie stwierdził, aby Spółka osiągnęła bezpośrednio lub pośrednio jakiekolwiek korzyści finansowe lub uniknęła straty. Okoliczność tę należało uwzględnić przy wymiarze kary i karę obniżyć, bo Spółka nie odniosła korzyści finansowej. Podobnie, jak w przypadku braku wcześniejszych naruszeń i kategorii danych objętych naruszeniem, nie jest jasne dlaczego organ uznał, że nie musi stosować tego przepisu, choć ma on zastosowanie.

Na tej podstawie Skarżąca uznała, że organ w sposób dowolny wybrał przesłanki wymiaru administracyjnej kary pieniężnej, odmawiając zastosowania innych. Ta dowolność jest nie tylko przekroczeniem swobody uznania organu, ale przede wszystkim naruszeniem art. 83 ust. 2 lit. e), g) i k) RODO. Prezes UODO decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zgodnie z art. 83 ust. 2 lit. a) RODO, powinien zwrócić należytą uwagę na charakter, wagę i czas trwania naruszenia przy uwzględnieniu m.in. charakteru, zakresu lub celu danego przetwarzania. Z decyzji nie wynika, w jaki sposób należy interpretować okoliczność obciążającą, o której mowa w art. 83 ust. 2 lit. a) RODO, polegającą na przetwarzaniu danych osobowych "w sposób profesjonalny". Czynnika tego nie uwzględniono również w wytycznych Grupy Roboczej w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (WP 253), przyjętych przez Europejską Radę Ochrony Danych 25 maja 2018r. Także oficjalne stanowiska organu nie zawierają wytycznych co do sposobu intepretowania tego czynnika, podobnie dotychczasowy dorobek organu i decyzje wydane na gruncie RODO, które ma zastosowanie wyłącznie do przetwarzania dokonywanego w związku z działalnością zawodową lub handlową. W związku z tym nie można zgodzić się ze stanowiskiem, że okoliczność ta powinna stanowić (dodatkową) okoliczność obciążającą. Przyjęcie takiej interpretacji związane byłoby także z koniecznością przyjęcia, że każdy podmiot prowadzący działalność gospodarczą przetwarza dane osobowe w sposób profesjonalny, a w przypadku jakiegokolwiek naruszenia przepisów RODO czynnik ten byłby zawsze okolicznością obciążającą.

Ww. nieprawidłowości uzasadniają zarzut naruszenia art. 83 ust. 1 i ust. 2 lit. a) RODO, polegającego na ich niewłaściwym zastosowaniu i przyjęciu, że okoliczność przetwarzania danych osobowych w sposób profesjonalny ma znaczący wpływ na dużą wagę naruszenia przepisów RODO, a w konsekwencji stanowi czynnik obciążający. Organ nie wskazał, dlaczego przyjął, że gdyby Skarżąca wprowadziła regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych, to nie doszłoby do naruszenia ochrony danych osobowych. Organ bez uzasadnienia przyjął, że wprowadzenie takiego regularnego testowania, mierzenia i oceniania miałoby zapobiec wykorzystaniu wskazanej podatności przez naruszyciela. Nie wyjaśnił przy tym, dlaczego uznał sprawdzanie zabezpieczeń wykonywane przez Spółkę za niewystarczające, ani jaki jest związek pomiędzy sprawdzaniem dokonywanym z częstotliwością przyjętą przez organ, a brakiem wykrycia podatności systemu informatycznego przez Skarżącą.

Prezes UODO nie ustalił, czy środki, które stosowała Skarżąca, były w danych okolicznościach wystarczające, a podatność prowadząca do naruszenia ochrony danych wystąpiłaby także, gdyby i Skarżąca zastosowała dodatkowe środki, w szczególności te wskazane przez organ. Organ bez uzasadnienia i wskazania, na jakich informacjach o charakterze technicznym przyjął, że środki stosowane przez Spółkę były niewystarczające. Powyższe doprowadziło do arbitralnego, niepopartego wiedzą techniczną, ani badaniem, karania Spółki za niewprowadzenie środków, które niekoniecznie są adekwatne do danej sytuacji. Określone podatności systemów informatycznych mogą pozostać niewykryte, mimo wprowadzenia regularnego testowania, mierzenia i oceniania skuteczności stosowanych środków, w związku z tym organ nie powinien wskazywać przyczyny naruszenia ochrony danych osobowych, jeśli nie przeprowadził rzetelnej analizy wszystkich potencjalnych czynników i związku przyczynowego.

Zgodnie z art. 32 ust. 2 RODO, oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Takiej oceny organ nie przeprowadził, przyjmując uproszczoną, ale niepopartą żadną analizą konstatację, że przyczyną naruszenia ochrony danych osobowych przez Skarżącą był brak regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków technicznych i organizacyjnych. Taki sposób podejmowania decyzji nie powinien się utrzymać, ponieważ będzie on prowadził do arbitralnego ustalania środków ochrony danych osobowych przez organ, bez uwzględnienia rzeczywistych warunków ochrony danych właściwych dla danego administratora i okoliczności przetwarzania danych osobowych.

Z zaskarżonej decyzji wynika, że organ stosuje do tego samego typu naruszenia dwie podstawy prawne. Potwierdza, że traktuje obowiązki określone w art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 RODO jako uszczegółowienie zasady poufności wyrażonej w art. 5 ust. 1 lit. f) RODO. Jednoczesne zastosowanie przepisów, które dotyczą tego samego typu naruszenia, gdy jedyna różnica polega na tym, że jeden jest uszczegółowieniem drugiego, niesie ze sobą niekorzystne skutki dla podmiotu ukaranego.

Organ zastosował art. 83 ust. 3 RODO w ten sposób, że kierując się wysokością górnej granicy zagrożenia, wynikającego z art. 83 ust. 4 i 5 RODO, zastosował wyższy pułap kary przewidziany za naruszenie art. 5 RODO. Art. 83 ust. 4 RODO określa naruszenia przepisów RODO, które podlegają administracyjnej karze pieniężnej do 10.000.000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Z kolei art. 83 ust. 5 RODO określa naruszenia, które podlegają karze odpowiednio do 20.000.000 EUR i 4% obrotu. Naruszenie art. 25 i art. 32 RODO jest zagrożone sankcjami o niższej górnej granicy (10.000.000 EUR lub 2%), natomiast naruszenie art. 5 jest zagrożone karą o wyższej górnej granicy. W konsekwencji, ta sama postać czynu, polegająca na naruszeniu różnych przepisów, w tym art. 25 i 32 automatycznie zakwalifikowana jako naruszenie zasady ogólnej, podlega karze w wyższych granicach. W ten sposób narusza się zasadę proporcjonalności kary do czynu, wyrażoną w art. 83 ust. 1 RODO, bo ten sam czyn jest automatycznie kwalifikowany jako naruszenie dwóch przepisów określających te same obowiązki. Skarżąca zdaje sobie sprawę, że w RODO przewidziano administracyjną karę pieniężną za naruszenie zasad ogólnych określonych w art. 5 RODO, ale uważa za błędną automatyczną kwalifikację czynów określonych w art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz ust. 2 RODO, jako naruszających jednocześnie art. 5 ust. 1 lit. f) RODO, bo pociąga to zastosowanie wyższego pułapu kary i narusza zasadę proporcjonalności (art. 83 ust. 1 RODO).

Skarżąca, odnośnie do zarzutu naruszenia art. 25 ust. 1 RODO, stwierdziła, że organ niezgodnie z prawem wskazuje, że już na etapie wdrażania rozwiązań wymaganych przez u.d.a. Skarżąca powinna była zastosować zasadę projektowania ochrony danych wynikającą z RODO. U.d.a. ogłoszono w Dz.U. z 24 czerwca 2016r. i zgodnie z art. 65 weszła w życie po upływie 7 dni od ogłoszenia (2 lipca 2016r.). Zgodnie z art. 60 ust. 1 u.d.a., do 1 lutego 2017r. abonenci usług przedpłaconych, którzy zawarli umowę przed dniem wejścia w życie tej ustawy, byli obowiązani do podania dostawcy usług przedpłaconych danych, o których mowa w art. 60b ust. 1 u.P.t. i potwierdzenia ich w sposób, o którym mowa w art. 60b ust. 3 i 4 u.P.t. Dostawcy usług przedpłaconych w publicznej sieci telekomunikacyjnej, w tym Skarżąca, zostali zobowiązani do zaprzestania świadczenia tych usług, abonentom, którzy nie podali odpowiednich danych lub których dane nie zostały potwierdzone w odpowiedni sposób. Spółka w piśmie z [...] lipca 2020r. szczegółowo wyjaśniała, że na przygotowanie rozwiązań zgodnych z wymogami u.d.a. miała około miesiąca i tak krótki czas mógł spowodować błędy w systemie. Niemniej, organ w skarżonej decyzji uznaje, że już na tym etapie, pomimo, że zgodnie z art. 99 ust. 2 RODO, stosuje się je od 25 maja 2018r., Skarżąca powinna, projektując zmiany w systemie, uwzględnić przepisy RODO.

Skarżąca zgodziła się ze stanowiskiem organu, że pomimo nazwy, zasadę uwzględniania ochrony danych na etapie projektowania, powinno stosować się na etapie dalszego przetwarzania danych. Bezpieczeństwo danych jest bowiem procesem ciągłym. Jednakże, o naruszeniu w tym zakresie można mówić dopiero od 25 maja 2018r.

Zdaniem Skarżącej w sprawie nie można było zastosować zasady minimalizacji danych, bo zakres danych, które dostawcy usług telekomunikacyjnych mieli (obowiązkowo) zbierać od abonentów, określono ustawowo. Organ, zarzucając naruszenie art. 25 ust. 1 RODO, powinien wskazać jak Spółka powinna się zachować. Operowanie, jako przykładowymi pojęciami "minimalizacja danych", "pseudonimizacja" niewiele wyjaśnia, a tworzy jedynie wrażenie, że organ nie do końca zna przepisy dotyczące zakresu danych gromadzonych przez dostawców usług telekomunikacyjnych. Organ nie wskazał "wzorca" zachowania, jakie powinno wystąpić, tzn. jakie konkretne działania w ramach zasady uwzględniania ochrony danych, powinna podjąć Spółka. Organ przyznał, że nie stwierdzono szkód. Nawet jeśli przyjąć, że organ wskazuje jakąś (nieokreśloną) formę "krzywdy", to wynikała ona jedynie z faktu wycieku, a nie z braku przestrzegania art. 25 ust. 1 RODO. Brak szkody w związku z nieuwzględnieniem zasady ochrony danych w fazie projektowania powoduje, że zgodnie z dotychczasową praktyką organu, nie można mówić o naruszeniu art. 25 ust. 1 RODO.

Skarżąca stwierdziła również, że organ nie wyjaśnił w sposób dokładny stanu faktycznego sprawy i opierając się na nieprawidłowych przesłankach wymierzył karę administracyjną za naruszenie przepisów RODO. Organ nie ustalił w sposób prawidłowy liczby osób dotkniętych naruszeniem ochrony danych osobowych. Uzasadniając wysokość administracyjnej kary pieniężnej nałożonej na Skarżącą wskazał na poważny charakter naruszenia i fakt, że krąg osób nim dotkniętych obejmował 123.391 abonentów usług przedpłaconych. Liczba ta nie ma pokrycia w materiale dowodowym sprawy i pozostaje w sprzeczności nie tylko z informacjami przekazanymi przez Spółkę w zgłoszeniu naruszenia ochrony danych osobowych z [...] grudnia 2019r., ale również z liczbą podaną w innym miejscu uzasadnienia zaskarżonej decyzji, w której organ określił, że naruszenie dotyczyło [...] klientów. Wyższą liczbę osób – [...] - wskazano jako powód nałożenia kary.

Nie tylko liczba podmiotów danych dotkniętych rzekomym naruszeniem ochrony danych osobowych, ale i zakres danych nieprawidłowo ustalono w toku postępowania. Zakres tych danych nie był tożsamy dla wszystkich osób dotkniętych tym naruszeniem. Jedynie w przypadku [...] osób zakres ten, oprócz imienia, nazwiska oraz numeru telefonu, obejmował zarówno nr PESEL, jak i nr i serię dokumentu tożsamości. W pozostałym zakresie, naruszenie obejmowało nr PESEL – [...] abonentów, lub nr i serię dokumentu tożsamości – [...] osób. Organ nieprawidłowo i bezzasadnie przyjął, że dane osobowe wszystkich osób dotkniętych naruszeniem obejmowały następujący zakres: imię, nazwisko, nr PESEL oraz serię i nr dowodu osobistego, nr telefonu, nr NIP, a także nazwę podmiotu, gdy zakres ten był różny u poszczególnych grup podmiotów, a w zakresie nr PESEL, jak i nr i serii dowodu tożsamości, naruszenie dotyczyło [...] abonentów. Organ nie rozróżnił także abonentów, którzy dokonywali rejestracji i których dane Skarżąca przetwarzała w związku z prowadzoną przez te podmioty działalnością gospodarczą. Również wobec tych przypadków zakres danych objęty naruszeniem różnił się w stosunku do zakresu wskazanego przez organ w decyzji.

Powyższe ma niezwykle istotny wpływ nie tylko na wynik analizy, jakie naruszenie ochrony danych osobowych miało wpływ na prawa lub wolności osób fizycznych, ale również na wynik sprawy, skutkując nałożeniem na Skarżącą administracyjnej kary pieniężnej. Na podstawie nieprawidłowo ustalonego stanu faktycznego organ przyjął bowiem, że rzekome naruszenie ochrony danych osobowych dotyczyło danych osobowych [...] abonentów w zakresie ich imienia, nazwiska, nr PESEL oraz serii i nr dowodu osobistego, nr telefonu, nr NIP i nazwy podmiotu, gdy w zgłoszeniu do organu, jak i w czasie postępowania Spółka zwracała uwagę, jaki jest prawidłowy zakres naruszenia, co nie było kwestionowane. Organ nie uzasadnił ponadto, na jakiej podstawie dokonał owych błędnych ustaleń. Nie podał również, czy i dlaczego uznał dane przekazane przez Skarżącą za niewiarygodne.

Zdaniem Spółki nieprawidłowe było ustalenie co do czasu trwania naruszenia. W uzasadnieniu decyzji jako okoliczność obciążającą organ uznał długotrwały stan naruszenia związanego z wyciekiem danych i stwierdził, że okres, w którym osoba lub osoby nieuprawnione miały dostęp do danych osobowych przetwarzanych przez Skarżącą był co prawda stosunkowo krótki, "choć i tak wystarczający do skopiowania wszystkich dostępnych danych". Pozostaje to w sprzeczności nie tylko z wyjaśnieniami składanymi przez Skarżącą, ale również ustaleniami poczynionymi przez organ w toku postępowania.

Niezależnie od nieprawidłowości, których dopuścił się organ przy ustalaniu liczby osób dotkniętych rzekomym naruszeniem, Skarżąca podkreśla, że naruszenie to dotyczyło [...] potwierdzeń wniosków rejestracyjnych (rekordów) i obejmowało dane [...] osób, co stanowi nieznaczną część całej bazy danych. W bazie danych na moment zablokowania usługi wykorzystanej przez atakującego do przeprowadzenia ataku ([...] grudnia 2019r.) znajdowało się [...] rekordów. Prowadzi to zatem do wniosku, że ze względu na niezwłoczne podjęcie działań przez Skarżącą, atakującemu udało się pobrać jedynie ok. 13,62% wszystkich rekordów znajdujących się w bazie, nie zaś wszystkich dostępnych danych. Nieprawidłowe było więc przyjęcie, że naruszenie umożliwiło i doprowadziło do skopiowania przez atakującego wszystkich dostępnych danych. Skarżąca podjęła zdecydowane działania niezwłocznie po wykryciu naruszenia danych osobowych, co skutecznie uniemożliwiło dalsze wykorzystywanie przez atakującego ujawnionej podatności, a w konsekwencji uzyskanie dostępu i skopiowanie całej bazy danych.

Odnośnie stwierdzonego przez organ czasu trwania naruszenia polegającego na braku regularnego testowania, mierzenia i oceniania, Skarżąca stwierdziła, że data zakończenia tego naruszenia została ustalona błędnie. Organ stwierdził, że naruszenie trwało do [...] lipca 2020r., z uwagi na to, że w tej dacie Skarżąca otrzymała certyfikaty ISO. Otrzymanie certyfikatu jest efektem całego procesu, który trwał u Skarżącej od listopada 2019r., o czym mowa wyżej. Zatem jako końcową datę naruszenia należało przyjąć datę nie późniejszą niż luty 2020r., a nie [...] lipca 2020r.

Spółka stwierdziła, że zaskarżoną decyzję wydano z naruszeniem obowiązku podjęcia wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego i do załatwienia sprawy, o którym mowa w art. 7 k.p.a., jak również obowiązku, by w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy, o którym mowa w art. 77 § 1 k.p.a, co doprowadziło do niesłusznego wymierzenia Skarżącej kary administracyjnej za naruszenie przepisów RODO.

Skarżąca wskazywała, że nie ustalono kim był atakujący, jakimi uprawnieniami dysponował i jakiego okresu owo uprawnienie mogło dotyczyć. Sposób wykorzystania podatności wskazywał, że miał on wcześniej dostęp do systemu, którego dotyczyło naruszenie ochrony danych osobowych i wiedział, jak skonstruować odpowiednie zapytanie. Okoliczności te mają ogromne znaczenie, przede wszystkim w zakresie prawidłowości oceny ryzyka i skuteczności podjętych przez Skarżącą środków technicznych i organizacyjnych, w tym testowania, mierzenia i oceniania, które są objęte zarzutem organu. Skarżąca nie kwestionuje, że Prezes UODO nie jest podmiotem odpowiedzialnym za prowadzenie postępowania zmierzającego do wykrycia sprawcy przestępstwa. Nie zmienia to jednak faktu, że jako organ nadzorczy właściwy z zakresu ochrony danych osobowych, a także organ administracji publicznej, ma on obowiązek podejmować wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego, jakim w sprawie było ustalenie, jaka była faktyczna przyczyna wycieku danych. Spółka stwierdziła, że podejmowała wszelkie niezbędne działania w tym zakresie, włączając w to zażalenie na postanowienie prokuratury o umorzeniu postępowania z powodu niewykrycia sprawcy.

W ocenie Spółki, brak ustalenia przez organ rodzaju ryzyka, jakie zmaterializowało się w sprawie, stanowi naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy. Brak poczynienia przez odpowiednich ustaleń w tym zakresie uniemożliwił bowiem prawidłowe ustalenie skali i charakteru naruszenia. Organ poprzestał na stwierdzeniu, że po stronie Skarżącej leży obowiązek wykazania przed organem nadzorczym, że wdrożyła odpowiednie środki bezpieczeństwa danych i zabezpieczyła je przed dostępem osób nieupoważnionych, a także "podjęła wszelkie możliwe działania, aby nie doszło do naruszenia poufności danych ", czego w ocenie organu skarżąca nie dokonała.

7. Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie i podtrzymał stanowisko przedstawione w zaskarżonej decyzji.

8. Skarżąca w piśmie z [...] czerwca 2021r., a organ w piśmie z [...] lipca 2021r. podtrzymali dotychczasowe stanowisko w sprawie.

II. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

1. Skarga okazała się zasadna, choć nie wszystkie podniesione w niej zarzuty mogły być uznane za zasadne.

2. Sąd w rozpoznawanej sprawie, mając na względzie zasadę legalności – rozumianą jako potrzeba wydania decyzji w zgodzie z obowiązującym porządkiem prawnym, uznał, że zaskarżona decyzja Prezesa UODO naruszała zarówno przepisy prawa procesowego w zakresie sporządzenia uzasadnienia oraz rozważenia i oceny okoliczności faktycznych sprawy (art. 107 § 3 k.p.a. w związku z art. 77 § 1, art. 80, art. 8 § 1, art. 11 k.p.a.), jak również przepisy prawa materialnego wskazane w art. 83 ust. 2 RODO w zakresie wyjaśnienia Skarżącej, z jakich powodów nałożono na Spółkę karę pieniężną, o której mowa w art. 83 RODO, w wysokości określonej w decyzji.

Po pierwsze, w ocenie Sądu, Prezes UODO nie wyjaśnił w uzasadnieniu zaskarżonej decyzji, dlaczego przy zastosowaniu kary pieniężnej na jej wysokość wskazaną w zaskarżonej decyzji nie miały wpływu okoliczności wskazane w art. 83 ust. 2 lit. c), lit. e) i lit. h) RODO.

Przepis art. 83 ust. 2 RODO stanowi, że administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b) umyślny lub nieumyślny charakter naruszenia;

c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g) kategorie danych osobowych, których dotyczyło naruszenie;

h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków;

j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz

k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Zdaniem Sądu organ w sposób dostateczny nie rozważył przy określaniu wysokości kary pieniężnej okoliczności w postaci podejmowanych przez administratora – Spółkę - działań w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, w tym przede wszystkim w zakresie ich wpływu na zastosowanie ww. sankcji i nie wskazał w uzasadnieniu zaskarżonej decyzji, jaki był tego powód, jak również nie powiązał tej okoliczności z rozmiarem szkody. W związku z tym zasadne były podniesione w skardze zarzuty Spółki w zakresie naruszenia zasady proporcjonalności (art. 83 ust. 1 RODO), jak również zarzuty naruszenia art. 83 ust. 2 lit. c) RODO.

Przepis art. 83 ust. 2 lit. c) RODO wskazuje wyraźnie, że decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

Sąd stwierdza, że jakkolwiek organ w sposób prawidłowy ustalił, jakie działania podjęła Spółka i kiedy miało to miejsce w sposób dostateczny przy wymiarze kary pieniężnej nie wziął pod rozwagę, że osobie bądź osobom nieuprawnionym udało się pobrać jedynie ok. 13,62% wszystkich rekordów znajdujących się w bazie i było to spowodowane działaniami Spółki. Dodatkowo Prezes UODO w zakresie ww. okoliczności faktycznej - na którą Skarżąca konsekwentnie zwracała uwagę w toku postępowania - uzasadniając w zaskarżonej decyzji zastosowanie kary pieniężnej wskazał, że jakkolwiek osoba lub osoby nieuprawnione miały dostęp do danych osobowych przetwarzanych przez Spółkę przez stosunkowo krótki okres, tym niemniej wystarczało to do skopiowania wszystkich dostępnych danych (s. 22 zaskarżonej decyzji). Zdaniem Sądu była to ocena, w świetle okoliczności faktycznych sprawy, nieuprawniona i naruszająca art. 77 § 1 i art. 80 k.p.a. w związku z art. 8 § 1 k.p.a. Ocena organu z tego zakresu wskazywała także na naruszenie art. art. 83 ust. 2 lit. c) RODO. Z materiałów dowodowych sprawy, zebranych w związku z prawidłowym działaniem Prezesa UODO w zakresie prawidłowo dokonanych ustaleń faktycznych, wynikło bowiem, że osobie nieuprawnionej udało się pobrać tylko ok. 13,62% wszystkich rekordów znajdujących się w bazie Spółki. Nieuprawnione było więc podnoszenie przez organ ww. okoliczność, przy wymiarze kary oraz przyjęcie w zaskarżonej decyzji, że w krótkim okresie dostępu do danych osobowych przetwarzanych przez Spółkę przez osobę lub osoby nieuprawnione doszło do skopiowania wszystkich dostępnych danych. Ten rodzaj oceny Prezesa UODO nie ma bowiem uzasadnienia w ustalonych przez organ faktach, a przede wszystkim w przyjętym przez organ administracyjny stanie faktycznym sprawy, że w wyniku działań Spółki ww. osoba lub osoby pobrały jedynie ok. 13,62% wszystkich rekordów znajdujących się w bazie.

W tym kontekście ocen Prezesa UODO nie można uznać za spójne i odpowiadające faktom wynikającym z akt administracyjnych.

Sąd, mając na względzie art. 83 ust. 2 lit. a) RODO wskazuje ponadto, że Prezes UODO w sposób prawidłowy wyjaśnił kwestię charakteru naruszenia, mając na względzie okoliczności wynikające z ustaleń organu, jak również z okoliczności przedstawiane przez Spółkę w toku kontroli i w toku postępowania administracyjnego. W tym zakresie Sąd uznaje, że nie doszło do naruszenia art. 83 ust. 2 lit. a) RODO. Tym niemniej Sąd wskazuje, że organ naruszył ww. przepis w związku z tym, że w sposób należyty, zgodny z art. 77 § 1 k.p.a. w związku z art. 107 § 3 k.p.a. i art. 80 k.p.a., nie ustalił przy wymiarze administracyjnej kary pieniężnej czasu trwania naruszenia, w kontekście wejścia w życie przepisów RODO, jak również w sposób bliżej niewyjaśniony odwołał się do profesjonalnego przetwarzania danych osobowych przez Spółkę przy określaniu wagi naruszenia.

Zdaniem Sądu, rację ma w związku z tym Spółka skarżąca, że o naruszeniu przepisów RODO można mówić dopiero wówczas, gdy w życie weszły przepisy, które mogły być naruszone przez Spółkę. Za wcześniejszy okres, czyli za okres przed wejściem w życie przepisów RODO, co do zasady, nie można stosować sankcji w postaci administracyjnej kary pieniężnej, o której mowa w art. 83 RODO. W opisie stanu faktycznego sprawy organ administracyjny, może jednak przedstawić okoliczności faktyczne, które wskazywały, że działania Spółki (polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych, zapewniające stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych osobowych za pomocą systemów informatycznych, służących do rejestracji przetwarzania danych za pomocą systemów informatycznych) miały również miejsce przed wejściem w życie przepisów RODO (25 maja 2018r.). Przepis art. 83 ust. 2 lit. e) RODO stanowi bowiem, że decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego. Warto ponadto zwrócić uwagę, że Prezes UODO na s. 24 zaskarżonej decyzji uznał, że przepis ten nie ma wpływu na zastosowanie przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, a mimo to uznał na s. 22 zaskarżonej decyzji, że stan naruszenia był długotrwały i powstał przed dniem rozpoczęcia stosowania RODO. W tym kontekście stanowisko Prezesa UODO jest niekonsekwentne i wskazuje na naruszenie przede wszystkim zasady zaufania do organu administracyjnego, o której mowa w art. 8 § 1 k.p.a., w kontekście braku należytego rozważenia okoliczności faktycznych sprawy (art. 77 § 1 k.p.a.) i należytego zastosowania art. 83 ust. 2 lit. a) i e) RODO.

Sąd zauważa ponadto, że Prezes UODO w uzasadnieniu zaskarżonej decyzji, odnosząc się do wagi naruszenia, o której mowa w art. 83 ust. 2 lit. a) RODO podniósł, że okoliczność przetwarzania danych osobowych w sposób profesjonalny ma znaczący wpływ na dużą wagę naruszenia przepisów RODO, a w konsekwencji stanowi czynnik obciążający. Sąd podziela stanowisko Spółki, że w tym zakresie organ w uzasadnieniu zaskarżonej decyzji nie zawarł szerszej argumentacji odnoszącej się do stanu faktycznego sprawy i już z tego powodu można mówić o niepełnym wyjaśnieniu przesłanek, którymi kierował się organ wymierzając karę w wysokości wskazanej w uzasadnieniu zaskarżonej decyzji. Co stanowiło mankament proceduralny w rozumieniu art. 107 § 3 k.p.a. w związku z art. 11 i art. 77 § 1 k.p.a. w związku z art. 83 ust. 2 lit. a) RODO. Zdaniem Sądu oczywistym ponadto jest to, że każdy podmiot nawet ten, który przetwarza dane osobowe w prowadzonej działalności gospodarczej, nawet, jeśli prowadzi działalność na niewielką skalę, czy w ramach działalność ubocznej, czy dokonuje przetworzenia danych osobowych incydentalnie ma obowiązek przestrzegania przepisów prawa, w tym przepisów RODO. Tym samym odwołanie się przez organ do działalności gospodarczej na niewielką skalę, ubocznej, czy incydentalnej nie mogło mieć decydującego znaczenia przy określaniu wagi naruszenia danych osobowych przez Skarżącą. Organ w tym zakresie powinien rozszerzyć argumentację w zakresie liczby realnie poszkodowanych osób i zakresu naruszenia ich danych osobowych. Dopiero wówczas możliwe będzie przyjęcie, że w sposób należyty doszło do rozważenia wszystkich przesłanek istotnych w kontekście art. 83 ust. 2 lit. a) RODO, istotnych przy wymierzaniu wysokości kary pieniężnej.

Zdaniem Sądu niezrozumiałe jest także stanowisko Prezesa UODO zawarte w zaskarżonej decyzji, że żadnego wpływu na zastosowanie ww. sankcji nie miał sposób, w jaki organ dowiedział się o naruszeniu. Warto bowiem zauważyć, że art. 83 ust. 2 lit. h) RODO stanowi, że decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.

Tym samym - zdaniem Sądu - okoliczność ta powinna być rozważona przez Prezesa UODO w uzasadnieniu zaskarżonej decyzji w kontekście okoliczności mających wpływ na wysokość administracyjnej kary pieniężnej, tym bardziej, że organ ustalił na wstępie zaskarżonej decyzji, że to sama Spółka zgłosiła do Urzędu Ochrony Danych Osobowych [...] grudnia 2019r. fakt naruszenia ochrony danych osobowych abonentów usług przedpłaconych, które polegało na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu przez nią [...] rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe [...] klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu. Dodatkowo warto wskazać, że z ustaleń zawartych we wstępnej części zaskarżonej decyzji wynika, że Spółka w piśmie z [...] sierpnia 2020r. wyjaśniła, że wskazany w piśmie z [...] lipca br. zakres danych, których dotyczyło naruszenie, był węższy, niż wskazany w treści zgłoszenia naruszenia danych osobowych z [...] grudnia 2019r., pkt 5. Z wyjaśnień Spółki skarżącej wynikało, że naruszenie pełnego zakresu danych osobowych wystąpiło wyłącznie w [...] przypadkach (odnosiło się do imion i nazwisk, numeru PESEL i numeru dokumentu abonenta). W pozostałym zakresie, naruszenie odnosiło się do: imion, nazwisk oraz numeru PESEL ([...] przypadków) lub numeru dokumentu abonenta ([...] przypadków).

Warto też zauważyć, w kontekście ww. informacji - które organ w sposób prawidłowy opisał w stanie faktycznym sprawy na s. 8 zaskarżonej decyzji - Prezes UODO powinien rozważyć przy wymierzaniu pieniężnej kary administracyjnej - wbrew stanowisku prezentowanemu na s. 24 zaskarżonej decyzji - jaki wpływ na zastosowanie sankcji miały okoliczności w postaci kategorii danych osobowych. Tymczasem organ wskazał, że żadnego wpływu na zastosowanie sankcji w postaci administracyjnej kary pieniężnej nie miała kategoria danych osobowych, z jaką mieliśmy do czynienia w związku z incydentem stanowiącym przedmiot zgłoszenia Spółki, który istniał od [...] do [...] grudnia 2019r. Było to tym bardziej istotne, że Spółka podkreślała, że naruszenie pełnego zakresu danych osobowych wystąpiło wyłącznie w [...] przypadkach (odnosiło się do imion i nazwisk, numeru PESEL i numeru dokumentu abonenta). Konieczne przy wymiarze kary było też uwzględnienie innych przypadków, w których naruszenie odnosiło się do mniejszej ilości danych. Przepis art. 83 ust. 2 lit. g) RODO w sposób wyraźny wskazuje bowiem, że decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na kategorie danych osobowych, których dotyczyło naruszenie. Stwierdzić też należy, że rozważań w tym zakresie brak w uzasadnieniu zaskarżonej decyzji, a organ, rozpatrując przesłankę, o której mowa w art. 83 ust. 2 lit. a) RODO, przyjął, że pozyskanie danych osobowych abonentów usług przedpłaconych miało znaczną wagę i poważny charakter. W tym kontekście nie sposób pominąć kategorii danych osobowych, których dotyczyło naruszenie w świetle dowodów znajdujących się w aktach.

Sąd w związku z tym uznaje, że w tym zakresie również doszło do naruszenia art. 77 § 1 i art. 80 k.p.a. w związku z art. 8 § 1 i art. 11 k.p.a. i w związku z art. 83 ust. 2 lit. g) RODO, w kontekście także argumentów przywołanych przez Prezesa UODO przy analizie art. 83 ust. 2 lit. a) RODO.

W ocenie składu orzekającego Prezes UODO w sposób nieuzasadniony przyjął w uzasadnieniu zaskarżonej decyzji, na s. 24, że na zastosowanie ww. sankcji administracyjnej wpływu nie miała okoliczność wskazana w art. 83 ust. 2 lit. k) RODO. Warto jednakowoż stwierdzić, że z ww. przepisu wynika, że decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty. Konieczne było zatem odniesienie się przez Prezesa UODO w uzasadnieniu zaskarżonej decyzji do okoliczności wynikających w tym zakresie z akt sprawy i wskazanie przy określaniu wysokości kary, czy Spółka osiągnęła czy nie jakiekolwiek korzyści finansowe lub uniknęła straty. Jest to niezbędne z punktu widzenia norm art. 11, art. 77 § 1, art. 107 § 3 k.p.a., jak również art. 83 ust. 2 lit. k) RODO. Brak odniesienia się do tej kwestii stanowi więc naruszenie ww. przepisów.

Zdaniem Sądu Prezes UODO, jakkolwiek prawidłowo przyjął, odnosząc się do treści art. 83 ust. 2 lit. b) RODO, że Spółka w sposób nieumyślny naruszyła przepisy RODO, na skutek niedochowania należytej staranności, tym niemniej nie wyjaśnił przy wymiarze kary, dlaczego stanowiło to okoliczność obciążającą, tym bardziej, że z uzasadnienia zaskarżonej decyzji nie wynika, że dostęp do danych osobowych klientów Spółki uzyskały np. osoby, których upoważnienie wygasło i nie powiązał tej okoliczności z działaniami Spółki lub ich brakiem. Sąd nie kwestionuje prawidłowego, w okolicznościach faktycznych sprawy, stanowiska organu, że to na Spółce spoczywa obowiązek wykazania, że we właściwym czasie wdrożyła odpowiednie środki bezpieczeństwa i zabezpieczyła dane osobowe swoich klientów przed dostępem osób nieupoważnionych, tym niemniej Sąd wyjaśnia, że należało wziąć w sprawie pod uwagę okoliczność, że nie ustalono osoby czy osób odpowiedzialnych za atak, także poza postępowaniem administracyjnym, a Skarżąca nie może ponosić odpowiedzialności za bezprawne działania osób trzecich, choć obciąża ją brak należytej staranności przy braku procedur zapewniających regularne testowanie, mierzenie, ocenianie skuteczności podjętych środków w dokumentacji opisującej proces przetwarzania danych osobowych oraz ponosi odpowiedzialność za zastosowane środki organizacyjne i techniczne. W tym kontekście za zasadny należało uznać zarzut skargi o naruszeniu art. 83 ust. 2 lit. b) RODO, ale jedynie w zakresie niepełnego i nieprzekonywującego uzasadnienia.

Sąd podziela natomiast stanowisko organu, że Prezes UODO nie ma w swoich kompetencjach uprawnień do prowadzenia postępowania zmierzającego do wykrycia sprawcy przestępstwa i oceny, czy doszło do jego popełnienia, te przysługują bowiem organom ścigania. Sąd wskazuje jednak, że wbrew argumentacji organu o popełnieniu przestępstwie można mówić, gdy dojdzie do wydania prawomocnego orzeczenia przez Sąd, a nieostateczne stanowisko wyrażone przez Prokuratora Okręgowego w [...] w postanowieniu z [...] lipca 2020r. sygn. akt [...], o umorzeniu dochodzenia wobec niewykrycia sprawcy przestępstwa nie powinno mieć decydującego znaczenia w sprawie, choć należało je uwzględnić w sprawie, co organ uczynił. Prezes UODO prawidłowo bowiem ocenił, że twierdzenie Spółki, że nie wie, czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć, potwierdzało, że wdrożone przez Spółkę środki techniczne i organizacyjne, mające zapewnić bezpieczeństwo danych osobowych abonentów usług przedpłaconych były niewystarczające. Brak wiedzy na temat tych informacji stanowi również dowód na to, że Spółka nie panowała nad procesem przetwarzania danych, co stanowi o naruszeniu zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO. Wprawdzie Prezes UODO, wyrażając powyższą ocenę posłużył się nieprawidłowo, czasem teraźniejszym "nie panuje na procesem", ale zdaniem Sądu, w świetle całokształtu okoliczności faktycznych sprawy była to oczywista omyłka pisarska. Przy ponownym rozpatrywaniu sprawy wadliwość tą należy jednak usunąć, szczególnie w kontekście przyjęcia w uzasadnieniu zaskarżonej decyzji, w zakresie wymierzania kary, że dopiero uzyskanie przez Spółkę trzech ww. certyfikatów, [...] lipca 2020r., doprowadziło do ostatecznego usunięcia naruszenia przetwarzania danych osobowych.

Sąd za zasadne nie uznał natomiast zarzutu skargi o naruszeniu art. 7 k.p.a., gdyż z akt administracyjnych sprawy, jak również z uzasadnienia zaskarżonej decyzji wynika, że Prezes UODO w toku postępowania wypełnił przesłanki zmierzające do należytego ustalenia stanu faktycznego sprawy, przy czynnym udziale Spółki skarżącej. Warto zauważyć, że powoływany przez Skarżącą jako naruszony, przepis art. 5 ust. 1 lit. f) RODO stanowi, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Z art. 5 ust. 2 RODO wynika, że administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). W rozpoznawanej sprawie organ wykazał na podstawie zgromadzonych dowodów, w tym przedłożonych przez Spółkę, że w związku z wystąpieniem opisanego w stanie faktycznym incydentu naruszenia przez nieznaną i nieuprawnioną osobę danych osobowych abonentów usług przedpłaconych w okresie od [...] do [...] grudnia 2019r., niemożliwe było przyjęcie, że Spółka przetwarzała dane osobowych swoich klientów w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W tym kontekście podnoszone w skardze zarzuty naruszenia ww. przepisu przez organ Sąd uznaje za niezasadne.

Zdaniem Sądu organ poczynił też niezbędne ustalenia faktyczne do zastosowania art. 25 ust. 1 RODO i art. 32 ust. 1 lit. b i d RODO.

Przepis art. 25 ust. 1 RODO stanowi, że "Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą."

Przepis art. 32 ust. 1 RODO stanowi, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: (lit. b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; (lit. d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Zdaniem Sądu w kontekście ww. przepisów prawidłowe było stanowisko organu, że przyjęty przez Spółkę środek bezpieczeństwa, mający zapewnić odporność systemów informatycznych, polegający na weryfikacji tylko według numeru Id wniosku, zamiast także Id POS, wskutek czego doszło do naruszenia poufności danych, nie może być uznany za środek bezpieczeństwa, o którym mowa w przywołanych wyżej przepisach RODO. Do naruszenia ochrony danych osobowych abonentów usług przedpłaconych doszło bowiem w wyniku wykorzystania podatności systemu informatycznego (usługi generującej potwierdzenia rejestracji), umożliwiającej nieuprawniony dostęp do danych. Stwierdzona podatność usługi generującej potwierdzenia rejestracji polegała właśnie na braku weryfikacji wszystkich wymaganych parametrów, tj. Id wniosku rejestracyjnego oraz id POS. Poprawna weryfikacja miała polegać na wygenerowaniu potwierdzenia rejestracji jedynie wtedy, gdy id wniosku zgadzały się z Id POS. System [...] nie weryfikował id POS ani tego, czy dany wniosek pochodzi z tego POS.

Za trafne, spójne, logiczne i wynikające ze stanu faktycznego należało także uznać oceny Prezesa UODO, że przyjęte przez Spółkę środki ochrony danych osobowych (w postaci procedur określających metodykę analizy ryzyka, procedury klasyfikacji poziomów bezpieczeństwa informacji, polityki bezpieczeństwa informacji, procedury zarządzenia systemem informatycznym wraz z załącznikami: [...] Procedura zarządzania kopiami zapasowymi, [...] Procedura zarządzania kontami użytkowników, [...] Polityka haseł do systemów informatycznych, [...] Procedura przeglądu stacji roboczych, [...] Procedura zarządzania zmianami w systemach informatycznych, [...] Procedura monitorowania kluczowych elementów systemów informatycznych oraz procedura zatrudniania, zmiany i zakończenia zatrudnienia oraz nadawania, zmiany i odbierania uprawnień, a także elementy Planu ciągłości działania: [...] Plan na wypadek naruszenia ochrony danych osobowych, [...] Plan na wypadek awarii sieciowego systemu informatycznego, [...] Plan na wypadek awarii krytycznej stacji roboczych) mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez Spółkę przestrzegane. Tymczasem, w prowadzonej przez Spółkę ww. dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne, pozyskanej w toku dokonywania czynności kontrolnych, kwestie te nie zostały uregulowane.

Rację miał również Prezes UODO, wskazując w uzasadnieniu zaskarżonej decyzji, że brak w przyjętych przez Spółkę procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych przyczynił się do wystąpienia naruszenia ochrony danych osobowych. Trafnie także wskazuje organ, że w postępowaniu wykazano, że Spółka nie przeprowadzała testów nastawionych na weryfikację zabezpieczeń aplikacji Partner Portal oraz WebAPI systemu [...], dotyczących podatności systemu informatycznego związanej z zaistniałym naruszeniem danych osobowych. Działania takie podjęto dopiero po zajściu incydentu [...] grudnia 2019r. Środki techniczne i organizacyjne stosowane w Spółce od 25 maja 2018r. (dzień rozpoczęcia stosowania RODO) do czasu wystąpienia naruszenia były poddawane przeglądom oraz uaktualniane jedynie w sytuacji wystąpienia zmian organizacyjnych lub prawnych (kopia wiadomości e-mail informująca o konieczności dokonania przeglądu stosowanego monitoringu wraz z ankietą).

W ocenie Sądu w okolicznościach faktycznych sprawy zastrzeżeń nie budzi także stanowisko Prezesa UODO, że do wykrycia wykorzystanej podatności systemu, która doprowadziła do naruszenia ochrony danych osobowych wystarczyłoby zweryfikowanie podstawowej zasady działania systemu [...] (sprawdzenie, czy następuje walidacja numeru POS z numerem wniosku, natomiast brak podjęcia tego działania świadczy o nieskutecznym bądź niewłaściwym przeprowadzaniu wskazanych przez Spółkę przeglądów). Sprawdzenie poprawności walidacji dwóch ww. danych nie wymaga wiedzy specjalistycznej bądź dużych nakładów finansowych, a jedynie dostępu do systemu. Racjonalne i słuszne jest stanowisko Prezesa UODO, że zidentyfikowana w wyniku naruszenia ochrony danych osobowych ww. "podatność" systemu (słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych) jest związana z zastosowanymi środkami technicznymi służącymi do identyfikacji użytkowników, a co za tym idzie ich uprawnień w systemie. Sama Spółka w zgłoszeniu naruszenia ochrony danych osobowych z [...] grudnia 2019r. wskazała, że "naruszenie polegało na wykorzystaniu endpointu API służącego do generowania wydruku potwierdzenia rejestracji w stacjonarnych punktach partnerskich (POS). [...] ze względu na swój cel jest dostępny z sieci zewnętrznej, ze względu na błąd w konstrukcji pozwalał na odpytanie o potwierdzenie danych rejestracyjnych przy wykorzystaniu jedynie Id wniosku rejestracyjnego. Argument identyfikujący punkt partnerski - posId, który powinien być walidowany tak, by jedynie znając parę id punktu + Id wniosku dało się pobrać potwierdzenie, nie był w rzeczywistości brany pod uwagę. W związku z tym wywołanie http GET [...] było możliwe przy podaniu dowolnego posId. Atakujący używał posld = 1 i kolejnych requestld generowanych w pętli". Sprawdzenie poprawności działania założonej walidacji numeru POS z nr wniosku jest tak oczywiste i podstawowe, że jedynym słusznym wnioskiem, który można wysnuć, jest stwierdzenie, iż wdrożenie systemu służącego do przetwarzania danych osobowych do użytku bez poprawnie działającej ww. walidacji świadczy o rażącym zaniedbaniu podstawowych obowiązków administratora danych osobowych, w kontekście art. 32 RODO.

Sąd zgadza się ze stanowiskiem Prezesa UODO wyrażonym na s. 14 zaskarżonej decyzji, odnoszącym się do konkretnych argumentów podnoszonych w postępowaniu przez Spółkę, że dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające. Spółka bowiem, jak wynika ze zgromadzonego materiału, mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów wdrożonego przez Spółkę systemu [...], który z założenia, jak wynika z wyjaśnień Spółki pozyskanych w toku kontroli, miał weryfikować Id POS i zgodność Id wniosku o rejestrację z Id POS rejestrującego wniosek. Nie sposób w tym kontekście zakwestionować więc ocen Prezesa UODO, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d) RODO. Rację ma również organ wskazując, że stanie faktycznym sprawy Spółka wywiązywała się z tego obowiązku częściowo, weryfikując i modyfikując poziom skuteczności wdrożonych zabezpieczeń w sytuacjach, gdy pojawiało się podejrzenie zaistnienia podatności - wówczas podejmowane były prace mające na celu zabezpieczenie przed daną podatnością. Dopiero po wystąpieniu zgłoszone przez Spółkę incydentu podjęto środki zaradcze, dotyczące weryfikacji zabezpieczeń aplikacji Partner Portal oraz WebAPI systemu [...] mających związek z naruszeniem ochrony danych osobowych.

W kontekście powyższych rozważań za zasadne nie można uznać zarzutów skargi o naruszeniu przez Prezesa UODO przepisów art. 5 ust. 1 lit f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 RODO. Zdaniem Sądu Prezes UODO wziął pod rozwagę, czy Spółka, jako administrator danych osobowych, przeanalizowała ryzyko związane z ochroną danych osobowych, czy udokumentowała i uzasadniła je należycie w stanie faktycznym sprawy, czy badała od dnia wejścia w życie przepisów RODO, czyli od maja 2018r. procesy przetwarzania danych osobowych, na poszczególnych etapach i czy zastosowane przez Spółkę procedury były adekwatne do oszacowanego ryzyka. Prezes UODO wysnuł też prawidłowe wnioski, że na ten dzień przeprowadzony przez Spółkę przegląd środków technicznych i organizacyjnych nie był wystarczający, gdyż nie doprowadził do ujawnienia "podatności" (słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych) w funkcjonowaniu systemu.

Zdaniem Sądu rację miał więc organ, że przyjęta przez Spółkę ocena ryzyka, o której mowa w RODO była nieadekwatna i nie odzwierciedlała realnej sytuacji, co potwierdził opisany w stanie faktycznym ww. incydent dotyczący naruszenia danych osobowych abonentów usług przedpłaconych. Stanowisko Prezesa UODO, że Spółka od maja 2018r. do grudnia 2019r, czyli przez okres ponad półtoraroczny nie podejmowała działań zgodnych z przepisami RODO był prawidłowy. Sąd podziela stanowisko prezentowane w dotychczasowym orzecznictwie, że czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych (por. wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 26 sierpnia 2020r. sygn. akt II SA/Wa 2826/19, dostępny na www.nsa.gov.pl).

Sąd zgadza się ponadto ze stanowiskiem Prezesa UODO, które ma potwierdzenie w stanie faktycznym sprawy, że przedłożone przez Spółkę certyfikaty, uzyskane [...] lipca 2020r. ([...] - poświadczający wdrożenie i utrzymywanie przez Spółkę systemu zarządzania bezpieczeństwem informacji w zakresie usług świadczonych przez operatora telekomunikacyjnego; [...] - poświadczający wdrożenie i utrzymywanie przez Spółkę systemu zarządzania danymi osobowymi jako rozszerzenie [...]; [...] - o zarządzanie prywatnością w zakresie usług świadczonych przez operatora telekomunikacyjnego) oraz złożone przez Skarżącą wyjaśnienia wskazują, że Spółka w toku postępowania prowadzonego przed Prezesem UODO usunęła uchybienie w zakresie braku procedur zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków w prowadzonej przez Spółkę dokumentacji, opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne.

Zdaniem Sądu powyższe prawidłowe oceny Prezesa UODO nie uchroniły organu od wadliwości przy ocenie, w jakim czasie Spółka miała obowiązek wdrażać obowiązki nałożone w przepisie art. 25 RODO. Zdaniem Sądu nie jest w pełni zasadna argumentacja organu, że skoro systemy [...] i [...] funkcjonują u Skarżącej od 2014r., to Spółka, dostosowując wykorzystywane systemy do wymogów nałożonych przepisami u.d.a., zmieniających ustawę z dnia 16 lipca 2014r. Prawo telekomunikacyjne (Dz.U. z 2019r. poz. 2460), już na tym etapie powinna uwzględnić obowiązki nałożone przez art. 25 RODO. W tym zakresie należało bowiem stwierdzić, że skoro, zgodnie z art. 99 ust. 1 RODO, ww. rozporządzenie wchodziło w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej i miało zastosowanie od 25 maja 2018r. (art. 99 ust. 2), Spółka nie mogła ponosić negatywnych konsekwencji niedostosowania systemów technicznych i organizacyjnych do wymogów z art. 25 RODO przed tą datą – czyli przed 25 maja 2018r. Wejście w życie RODO z dniem 24 maja 2016r. oddzielono bowiem od obowiązku bezpośredniego stosowania przepisów RODO od - 25 maja 2018r.

Zdaniem Sądu błędne oceny Prezesa UODO z tego zakresu przełożyły się również na błędne stanowisko organu w kwestii wysokości sankcji zastosowanej wobec Spółki – ww. kary pieniężnej i w tym zakresie należało podzielić zarzuty skargi o naruszeniu art. 83 ust. 1 i 2 RODO w związku z art. 77 § 1, art. 8 i art. 11 k.p.a.

Zdaniem Sądu przy wymiarze kary Prezes UODO powinien wziąć też pod rozwagę okoliczność, że Spółka w okresie poprzedzającym uzyskanie ww. certyfikatów również podejmowała działania zmierzające do wyeliminowania nieprawidłowości, które miały miejsce w chwili incydentu, oraz rozważyć, w jakim zakresie podejmowane przez Spółkę działania wpłynęły na prawidłowość stosowania przepisów RODO. Organ powinien również w sposób przekonywujący wyjaśnić powody wymierzenia ww. kary pieniężnej w wysokości wskazanej w sentencji decyzji, eliminując tym samym mankamenty uzasadnienia, o których mowa w powyższych rozważaniach Sądu.

3. Prezes UODO przy ponownym rozpatrywaniu sprawy zobowiązany będzie, na mocy art. 153 P.p.s.a., zastosować się do ocen prawnych i wskazań Sądu co do dalszego postępowania, zawartych w tym orzeczeniu.

4. Sąd, mając powyższe na względzie na mocy art. 145 § 1 pkt 1 lit. c) P.p.s.a. uznał, że zasadne było uchylenie zaskarżonej decyzji (punkt pierwszy sentencji).

Orzeczenie z punktu drugiego sentencji - o kosztach postępowania sądowego - ma uzasadnienie w treści art. 200, art. 205 § 2 i art. 209 P.p.s.a. w związku z § 14 ust. 1 pkt 1 lit. a) i § 2 pkt 7 rozporządzenia Ministra Sprawiedliwości z 22 października 2015r. w sprawie opłat za czynności radców prawnych (Dz.U. z 2015r., poz. 1804), strona skarżąca była reprezentowana przez radcę prawnego, a wpis był stosunkowy.