Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Łukasz Krzycki, Sędzia WSA Ewa Radziszewska-Krupa (spr.), Asesor WSA Mateusz Rogala, Protokolant starszy specjalista Bogumiła Kobierska po rozpoznaniu na rozprawie w dniu 24 października 2024 r. sprawy ze skargi Szkoły Głównej Handlowej w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] listopada 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.

I. Stan sprawy przedstawia się następująco:

1. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej "Prezesem UODO") decyzją z [...] listopada 2023r. nr [...], po przeprowadzeniu postępowania administracyjnego, w sprawie naruszenia przepisów o ochronie danych osobowych przez Szkołę [...] w [...] z siedzibą w [...] (zwana dalej "Uczelnią") stwierdził naruszenie przez Uczelnię przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z 4.05.2016, str. 1, Dz.Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz.Urz. UE L 74 z 4.03.2021, str. 35; zwane dalej "RODO") polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych:

1) zapewniających bezpieczeństwo danych osobowych przetwarzanych w aplikacji [...] (zwana dalej "Aplikacją"), będącej modułem systemu informatycznego Rejestrator, oraz ochronę praw osób, których dane dotyczą;

2) w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w Aplikacji, będącej modułem systemu informatycznego Rejestrator, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia,

skutkującym naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f RODO) oraz zasady rozliczalności (art. 5 ust. 2 RODO)

oraz nałożył na Uczelnię, za naruszenie przepisów art. 5 ust 1 lit. f) i ust. 2, art. 25 ust. 1, art. 32 ust. 1 i 2 RODO, administracyjną karę pieniężną - 35.000 zł.

W podstawie prawnej decyzji wskazano m.in. art. 104 § 1 ustawy z 14 czerwca 1960r. Kodeks postępowania administracyjnego (Dz.U. z 2023r., poz. 775, zwana dalej "k.p.a."), art. 7 ust. 1, art. 60 art. 102 ust. 1 pkt 1 i ust. 3 ustawy z 10 maja 2018r. o ochronie danych osobowych (Dz.U. z 2019r. poz. 1781, zwana dalej "u.o.d.o.") i art. 57 ust. 1 lit. a i h, art. 58 ust. 2 lit. i), art. 83 ust. 1-3, ust. 4 lit. a, art. 5 ust. 1 lit. f i art. 5 ust. 2 RODO.

Prezes UUDO w uzasadnieniu ww. decyzji wskazał, że Uczelnia jest publiczną uczelnią akademicką w rozumieniu ustawy z 20 lipca 2018r. - Prawo o szkolnictwie wyższym i nauce (Dz.U. z 2022r., poz. 574), działającą na podstawie Statutu, którego tekst jednolity stanowi załącznik do obwieszczenia nr 1 Rektora Uczelni z 21 kwietnia 2022r.

Uczelnia, jako administrator w rozumieniu art. 4 pkt 7 RODO, dokonała 18 września 2022r. wstępnego zgłoszenie naruszenia ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO, w trybie art. 33 RODO, które uzupełniła 23 września 2022r. przez uszczegółowienie i wskazanie, że naruszenie ochrony danych osobowych polegało na niezamierzonym ujawnieniu w sieci Internet informacji zgromadzonych w zasobach zarządzanej przez Uczelnię Aplikacji, która jest modułem systemu informatycznego Rejestrator, skutkującym naruszeniem ich poufności oraz - w konsekwencji - uzyskaniem przez osoby trzecie nieuprawnionego dostępu do przetwarzanych w ten sposób danych osobowych dotyczących 1461 studentów, absolwentów i byłych studentów (osób skreślonych z listy studentów) Uczelni. Do naruszenia ochrony danych osobowych doszło w następstwie błędu popełnionego w ramach prac programistycznych, mających na celu przeniesienie systemu Rejestrator na nowy serwer produkcyjny, podczas których kontrola dostępu do przetwarzanych w systemie danych osobowych została wyłączona. W momencie rozpoczęcia prac programistycznych usługa LDAP nie była jeszcze odpowiednio skonfigurowana. Aby prace mogły być prowadzone dopuszczono na serwerze deweloperskim możliwość nieautoryzowanego wywoływania podstron panelu administratora w module Aplikacji, ale zmiana ta "została przeoczona i wprowadzona na serwer produkcyjny, a wykonane testy nie wykazały błędnego działania systemu". Incydent doprowadził do zaindeksowania niezabezpieczonych danych przez wyszukiwarkę internetową [...], stwarzając możliwość niezgodnego z prawem przetwarzania ich przez osoby trzecie. Naruszenie objęło dane osobowe: imię, nazwisko, imiona rodziców, data urodzenia, płeć, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwisko rodowe matki, numer telefonu, login, numer albumu, informacje o dowodzie osobistym lub paszporcie (seria i numer dokumentu, kraj wydania, organ wydający, data wydania, data ważności), obywatelstwo, narodowość, fakt posiadania Karty Polaka, tryb, poziom i kierunek studiów, poziom znajomości języka obcego, średnia ocen, liczba uzyskanych punktów.

Prezes UODO 5 października 2022r., działając na podstawie art. 58 ust. 1 lit. a) i e) RODO, wezwał Uczelnię do złożenia dodatkowych wyjaśnień w sprawie, m.in. wskazania, na czym polegały testy zmian wprowadzonych na serwer produkcyjny oraz kto - i w oparciu o jakie procedury - je realizował, czy przed wystąpieniem naruszenia ochrony danych osobowych, jak i po jego wystąpieniu, Uczelnia przeprowadzała analizę ryzyka dla operacji przetwarzania danych, w ramach których doszło do naruszenia ochrony danych osobowych, a także w jaki sposób wyszukiwarka [...] zaindeksowała dane zgromadzone w zasobach Aplikacji.

Uczelnia pismem z 3 listopada 2022r. wskazała m.in., że ww. zmiany testował sam programista, zaś druga osoba z zespołu sprawdziła, czy aplikacja działa poprawnie, a także deklarując, iż przygotowywana jest w tej chwili procedura wykonywania testów oraz wprowadzane jest code review wykonywane przez innego programistę przed przekazaniem na produkcję nowych wersji systemów. Uczelnia poinformowała także, że "przed wystąpieniem naruszenia analiza ryzyka nie była prowadzona w sposób sformalizowany" oraz przedłożyła przygotowany po wystąpieniu naruszenia ochrony danych osobowych "Raport z analizy ryzyka dla bezpieczeństwa aplikacji "[...]" z [...] listopada 2022r. i wyjaśnienia otrzymane od operatora wyszukiwarki [...].

Prezes UODO w celu dodatkowych ustaleń 14-18 listopada 2022r. przeprowadził na Uczelni kontrolę zgodności przetwarzania danych osobowych z przepisami RODO i u.o.d.o., na podstawie art. 78 ust. 1, art. 79 ust. 1 oraz art. 84 ust. 1 pkt 1 u.o.d.o. w związku z art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 1 lit. b), e) i f) RODO. W toku kontroli odebrano od pracowników Uczelni ustne wyjaśnienia i dokonano oględzin systemu informatycznego Rejestrator oraz Aplikacji, a ustalenia opisano w protokole kontroli. Prezes UODO w związku z tym [...] sierpnia 2023r.:

- wszczął z urzędu postępowanie administracyjne w przedmiocie możliwości naruszenia przez Uczelnię, jako administratora danych: art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1 i art. 32 ust. 1 i 2 RODO.

- zwrócił się do Uczelni o przedłożenie wyników "zewnętrznego audytu bezpieczeństwa kodu aplikacji" przeprowadzonego w 2020r., o którym Uczelnia poinformowała w ww. zgłoszeniu naruszenia ochrony danych osobowych, a także wskazanie, czy dane dotyczące zdrowia (niepełnosprawności), zbierane na etapie przedwyjazdowym w związku z rejestracją studentów na wyjazdy organizowane w ramach międzynarodowej wymiany studenckiej, w celu realizacji przysługujących im świadczeń, przetwarzane były za pośrednictwem Aplikacji, a jeśli tak - czy zostały objęte naruszeniem ochrony danych osobowych.

Uczelnia wyjaśniła 31 sierpnia 2023r., że "moduł ten nigdy nie był wykorzystywany przez nią na etapie przedwyjazdowym (który jest etapem chronologicznie późniejszym niż etap rekrutacji) w celu zbierania danych o stanie zdrowia. (...) Uczelnia nigdy nie przetwarzała, w tym nie zbierała w przeszłości i nie przetwarza obecnie danych osobowych o niepełnosprawności na etapie rekrutacji na wyjazd na studia za granicą za pomocą modułu [...]", w związku z tym dane osobowe o niepełnosprawności nie były objęte naruszeniem. Przekazała też kopię raportu z zewnętrznego audytu bezpieczeństwa kodu aplikacji w zakresie odnoszącym się do modułu Aplikacji.

Prezes UODO ponownie wezwał Uczelnię pismem z 28 września 2023r. do złożenia dodatkowych wyjaśnień w sprawie - ponownego przedstawienia liczby osób objętych naruszeniem ochrony danych osobowych i wskazania, w jaki sposób i na jakiej podstawie dokonała ustaleń w tym zakresie.

Uczelnia w odpowiedzi z 9 października 2023r. podtrzymała stanowisko ze zgłoszenia uzupełniającego o liczbie osób objętych naruszeniem ochrony danych osobowych, wskazując, że liczbę ustalono na podstawie "analizy logów będących zapisem ruchu sieciowego oraz aplikacyjnego", którą "prowadziły dwa niezależne zespoły, na podstawie numerów rekrutacji, których adresy URL były otwierane, co świadczyło o potencjalnym dostępie do wszystkich danych znajdujących się w danej rekrutacji". Dostęp do danych był bezpośrednio na stronie systemu lub w eksportowanym pliku z danej rekrutacji, jeżeli w logach nie było informacji o dostępie do rekrutacji, dane w niej zawarte nie zostały odczytane. Nie było bezpośredniego dostępu do bazy danych czy jej kopii zapasowej. Analiza trwała od momentu wystąpienia zdarzenia do przekazania zgłoszenia uzupełniającego, analizowano zapisy w systemie [...] firmy S. oraz lokalne logi Aplikacji i urządzeń sieciowych. Uczelnia przedstawiła też stanowisko wobec otrzymanego zawiadomienia o wszczęciu postępowania administracyjnego z [...] sierpnia 2023 .

Prezes UODO uznał całość przedłożonych przez Uczelnię dowodów za wiarygodne, z uwagi na ich spójność, logiczność i korelowanie z całością materiału dowodowego oraz wskazał, że na tej podstawie w toku postępowania ustalił:

1. Charakter, zakres, kontekst i cele przetwarzania.

- Uczelnia oferuje swoim studentom możliwość wzięcia udziału w programach międzynarodowej wymiany studenckiej, takich jak CEMS Master’s in International Management (CEMS MIM), Erasmus+, The Partnership in International Management (PIM) i innych, opartych na umowach bilateralnych. Zgodnie z Regulaminem organizacyjnym Uczelni (zał. do Zarządzenia Rektora z 30 grudnia 2020r. nr 117) jednostką administracyjną Uczelni odpowiedzialną za organizację i rozwój międzynarodowej wymiany studentów, doktorantów i pracowników jest Centrum Współpracy Międzynarodowej.

- Uczelnia opracowała Aplikację, będącą modułem systemu informatycznego Rejestrator, w celu wsparcia procesu rejestracji swoich studentów na wyjazdy organizowane w ramach wymiany międzynarodowej. System ten opracowali i wdrożyli pracownicy Uczelni. Działał on od 2014r. w oparciu o serwer produkcyjny M.. Aplikacja funkcjonowała od 2015r., ale 15 września 2022 . - na skutek stwierdzenia naruszenia ochrony danych osobowych - została na stałe wyłączona z użytkowania.

- baza danych przetwarzanych w ramach Aplikacji pracowała pod kontrolą systemu bazodanowego PostgreSQL, a dostęp do niej uzyskiwany był zdalnie przy pomocy komputera, pracującego pod kontrolą systemu operacyjnego Windows 10. Dostęp do zasobów był autoryzowany. W procesie logowania zarówno do komputera, jak i bazy danych, wymagane było wprowadzenie nazwy użytkownika oraz hasła.

- kandydaci wprowadzali do systemu dane osobowe: imię, nazwisko, imiona rodziców, data urodzenia, płeć, adres zamieszkania lub pobytu, adres e-mail, nazwisko rodowe matki, numer telefonu, numer albumu, informacje o dowodzie osobistym lub paszporcie (seria i numer dokumentu, kraj wydania, organ wydający, data wydania, data ważności), obywatelstwo, narodowość, posiadanie Karty Polaka, tryb, poziom i kierunek studiów, poziom znajomości języka obcego, średnia ocen oraz liczba uzyskanych punktów. Dane osobowe obejmujące login oraz numer ewidencyjny PESEL pobierane były przez aplikację automatycznie z Uniwersyteckiego Systemu Obsługi Studiów (USOS).

- zakres danych wprowadzanych do Aplikacji określono na podstawie wymogów wewnętrznych przewidzianych w regulaminach Uczelni i uczelni partnerskich (np. nazwisko rodowe matki wymagane jest przez uczelnie [...], a informacje dotyczące dokumentów tożsamości mają znaczenie przy wyjazdach wewnątrz strefy Schengen, jak i poza nią).

2. Środki techniczne i organizacyjne stosowane dotychczas, w celu nadania przetwarzaniu niezbędnych zabezpieczeń.

- na Uczelni wprowadzono "Politykę bezpieczeństwa danych osobowych (...)" - zarządzeniem Rektora z 25 maja 2018r. nr 31 – której celem jest ochrona danych osobowych przetwarzanych na Uczelni - przez zapewnienie ich poufności, integralności oraz dostępności. "Polityka bezpieczeństwa danych osobowych" określa zasady ochrony danych osobowych i obejmuje swoim zakresem wszystkie osoby biorące udział w procesie przetwarzania danych osobowych na Uczelni, jak również zawiera wewnętrzne regulacje dotyczące przetwarzania danych osobowych, w skład których wchodzą:

- załącznik nr 1: "Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych", obejmująca postanowienia ogólne, definicje, procedury nadawania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w systemach informatycznych, metody i środki uwierzytelnienia oraz zarządzania nimi, procedury rozpoczęcia, zawieszenia i zakończenia pracy przez użytkowników systemów informatycznych, procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz programów i narzędzi służących do ich przetwarzania, sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych, sposób zabezpieczenia systemu informatycznego przed działalnością wirusów komputerowych, nieuprawnionym dostępem oraz awarią zasilania, procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych oraz sposoby realizacji w systemie wymogów dotyczących przetwarzania danych;

- załącznik nr 2: "Obowiązki i odpowiedzialność za zadania związane z ochroną danych osobowych w Szkole [...] w [...]";

- załącznik nr 3: "Instrukcja prowadzenia, aktualizacji i usuwania czynności przetwarzania w rejestrze czynności przetwarzania danych osobowych";

- załącznik nr 4: "Instrukcja wnioskowania o wydanie albo odwołanie upoważnienia do przetwarzania danych osobowych";

- załącznik nr 5: "Zasady zabezpieczenia danych przetwarzanych w formie papierowej".

- na Uczelni - wprowadzono "Procedurę określająca sposób zabezpieczenia danych osobowych przetwarzanych do celów badań naukowych i prac rozwojowych (...)" - zarządzeniem Rektora z 16 września 2020r. nr 83,

- na Uczelni - wprowadzono . "Instrukcję postępowania w przypadku naruszenia ochrony danych osobowych" - zarządzeniem Rektora z 21 maja 2021r. nr 36. Załącznik nr 2 do ww. dokumentu stanowi Metodyka oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Uczelnia prowadzi także rejestr naruszeń ochrony danych osobowych.

- wszystkie osoby, w przypadku których rodzaj wykonywanej pracy wiąże się z dostępem do danych osobowych, przed przystąpieniem do pracy mają obowiązek zapoznać się z przepisami prawa dotyczącymi ochrony danych osobowych i wewnętrznymi przepisami w tym zakresie, w tym w szczególności z przepisami "Polityki bezpieczeństwa danych osobowych" oraz "Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych". Pracownicy Uczelni zobowiązują się do zachowania w tajemnicy danych osobowych, do których mają dostęp oraz sposobów ich zabezpieczania.

- pracownicy Uczelni odbywają szkolenia z zakresu ochrony danych osobowych. Na Uczelni uruchomiono - zarządzeniem Rektora z 24 maja 2018r. nr 30 obowiązkowe szkolenie "RODO - ochrona danych osobowych", w formie samokształcenia kierowanego (e-learning).

- Kanclerz Uczelni podejmuje także dodatkowe działania, mające na celu zwiększenie świadomości pracowników w obszarze bezpieczeństwa przetwarzania danych osobowych.

- Uczelnia wśród dotychczas stosowanych technicznych i organizacyjnych środków bezpieczeństwa, wskazała na:

"Środki bezpieczeństwa opisane w Polityce bezpieczeństwa danych wprowadzonej zarządzeniem Rektora nr 31 z 2018 r. (...).

Środki bezpieczeństwa systemu - Next Generation Firewall; - Web Application Firewall; - segmentacja sieci LAN (VLAN);

- utwardzanie systemów operacyjnych i usług (Linux);

- w 2020r. przeprowadzono zewnętrzny audyt bezpieczeństwa kodu aplikacji;

- centralny mechanizm uwierzytelniania (Active Directory).

Inne środki bezpieczeństwa w organizacji, pośrednio związane z systemem: Anti Virus/EDR/ATP; analizator bezpieczeństwa ruchu sieciowego IDS; mechanizm logowania zdarzeń".

3. Charakter i przebieg naruszenia ochrony danych osobowych.

Uczelnia w związku z planowanym wyłączeniem serwera [...], stanęła przed koniecznością przeniesienia systemu Rejestrator na nowy serwer produkcyjny ("koniecznie było dostosowanie aplikacji »Rejestrator« do działania na najnowszej stabilnej wersji PHP dostępnej na tamten czas (koniec kwietnia 2022)". Podczas przygotowań do przeniesienia systemu - na potrzeby prac programistycznych - "dopuszczono na serwerze developerskim możliwość nieautoryzowanego wywoływania podstron panelu administratora w module [...]". W wyniku błędu popełnionego przez pracowników Uczelni zmiana ta została przypadkowo włączona do repozytorium kodu SVN (tj. systemu kontroli wersji, który umożliwia zarządzanie i śledzenie zmian w plikach i kodzie źródłowym projektu) i finalnie wdrożona na serwerze produkcyjnym. Uczelnia wskazała, że została ona "przeoczona" oraz podkreśliła, że "przeprowadzone testy nie wykazały błędnego działania systemu".

Uczelnia w piśmie z 3 listopada 2022r. wyjaśniła, że zmiany wprowadzone na serwerze deweloperskim testował "sam programista", zaś po umieszczeniu ich w repozytorium "druga osoba z zespołu (...) sprawdziła, czy aplikacja działa poprawnie". Uczelnia - odpowiadając na pytanie Prezesa UODO - w oparciu o jakie procedury pracownik realizował ww. testy, nie odwołała się do obowiązujących wówczas metod postępowania, podkreślając jedynie, że "przygotowywana jest (...) procedura wykonywania testów wraz z przygotowaniem scenariuszy testowych, wprowadzane jest code review wykonywane przez innego programistę przed przekazaniem na produkcję nowych wersji systemów".

Uczelnia w ww. piśmie poinformowała, że analizę ryzyka dla operacji przetwarzania danych, w ramach których doszło do naruszenia ochrony danych osobowych, uwzględniająca m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych, przeprowadzono dopiero po wystąpieniu naruszenia, wcześniej "nie była prowadzona w sposób sformalizowany".

Z informacji uzyskanych przez Uczelnię wynika, że w przypadku domyślnie aktywowanej w systemie Windows funkcjonalności wysyłania opcjonalnych danych diagnostycznych do firmy Microsoft przeglądarka Microsoft Edge przekazuje odwiedzane przez użytkownika adresy URL do mechanizmów indeksujących wykorzystywanych przez wyszukiwarkę [...]. W związku z tym, że kontrola dostępu do zgromadzonych przez Uczelnię danych osobowych wyłączono na skutek ww. błędu, prowadzący do nich adres URL stał się ogólnodostępny ze względu na możliwość odnalezienia go w zasobach sieci Internet, udostępnianych przez wyszukiwarkę [...]. Po odwiedzeniu Aplikacji za pomocą przeglądarki Edge przez jednego z pracowników Uczelni, prowadzący do danych osobowych adres URL został przekazany do wyszukiwarki [...] i w efekcie - zaindeksowany. Dane objęte naruszeniem ochrony danych osobowych zaindeksowała wyłącznie wyszukiwarka [...] i nie zidentyfikowano możliwości uzyskania dostępu do nich za pośrednictwem innych wyszukiwarek, takich jak m.in. wyszukiwarka Google.

Uzyskanie dostępu do ujawnionych w ten sposób danych możliwe było przez wpisanie w wyszukiwarce [...] imienia i nazwiska lub numeru albumu studenta. Wyszukiwarka proponowała wówczas wyniki w postaci hiperłączy (linków) prowadzących do szerszego zakresu danych. Na podstawie wyświetlonych propozycji możliwe było zapoznanie się z danymi obejmującymi imię, nazwisko oraz numer albumu. Po wyszukaniu danych studenta i kliknięciu w hiperłącze możliwe było zapoznanie się z danymi obejmującymi imię, drugie imię, nazwisko, imiona rodziców, datę urodzenia, płeć, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwisko rodowe matki, numer telefonu, login, numer albumu, informacje o dowodzie osobistym lub paszporcie (seria i numer dokumentu, kraj wydania, organ wydający, data wydania, data ważności), obywatelstwo, narodowość, fakt posiadania Karty Polaka, tryb, poziom i kierunek studiów, poziom znajomości języka, średnią ocen oraz liczbę punktów.

Uczelnia wskazała jako datę naruszenia ochrony danych osobowych [...] sierpnia 2022r. Incydent wykrył student Uczelni i zgłosił Samorządowi Studentów Uczelni, a następnie władzom Uczelni – [...] września 2022r., ok. godz. 13:00. Uczelnia o godz. 13:30 tego samego dnia stwierdziła naruszenie ochrony danych osobowych i podjęła działania w celu zaradzenia naruszeniu, w wyniku których system niezwłocznie odłączono od sieci Internet. Naruszenie ochrony danych osobowych utrzymywało się przez 27 dni (wliczając dzień jego zakończenia).

Uczelnia [...] września 2022r. zgłosiła Prezesowi UODO ww. naruszenie, uzupełniając je [...] września 2022r. o dodatkowe informacje wyżej wskazane.

Uczelnia w toku czynności wyjaśniających przeprowadziła analizę logowań do systemu Rejestrator, która pozwoliła na stwierdzenie, że w okresie trwania naruszenia dostęp do danych uzyskało 5 osób: 4 studentów Uczelni, którzy odnaleźli informacje przez wyszukiwarkę [...], wpisując w niej słowa kluczowe w postaci imienia i nazwiska; 1 - przewodniczącą Samorządu Studentów Uczelni - dokonała wyszukania w celu potwierdzenia zaistnienia incydentu. Liczbę odczytów danych opracowano na podstawie analizy logów zebranych przez Web Application Firewall.

4. Środki zastosowane w celu zaradzenia naruszeniu ochrony danych osobowych, zminimalizowania jego ewentualnych negatywnych skutków oraz zminimalizowania ryzyka jego ponownego wystąpienia.

Uczelnia wskazała jako środki zastosowane w celu zaradzenia naruszeniu ochrony danych osobowych i zminimalizowania jego negatywnych skutków dla osób, których dane dotyczą:

- "Zablokowanie dostępu do aplikacji z sieci publicznej";

- "Wysłanie do operatora przeglądarki [...] żądania usunięcia informacji z wyników wyszukiwania";

- "Poinformowanie o naruszeniu osób, których dane dotyczą, zalecenie ostrożności oraz zaoferowanie rocznego abonamentu na usługę Alerty BIK oraz umożliwienie osobom dotkniętym naruszeniem skorzystanie z abonamentu na alerty BIK, oraz zapewniła pokrycie kosztów wymiany dokumentów i wykonania aktualnej fotografii do dokumentu. Z możliwości alertów BIK skorzystało ponad 700 studentów. Ponadto 57 osób wymieniło dokumenty na koszt Uczelni (6726 zł);

- "Polecenie studentom usunięcia danych";

Uczelnia, jako środki bezpieczeństwa zastosowane w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia ochrony danych osobowych, wskazała:

- "Izolacja serwisu od sieci publicznej";

- "Izolacja modułów";

- " Wprowadzenie poprawek w kodzie aplikacji w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia";

- "Ponowne przeprowadzenie audytu bezpieczeństwa kodu aplikacji";

- "Izolacja serwisu od sieci publicznych lub udostępnienie za pomocą dodatkowego mechanizmu uwierzytelniania np.: VPN";

-"Zastosowanie blokad robots. txt żeby przeciwdziałać indeksacji przez roboty";

- " Wprowadzenie dodatkowej warstwy weryfikującej jakość kodu podczas prac programistycznych (codereview)".

Zdaniem Prezesa UODO, który przytoczył treść art. 34 ust. 1 i 2, art. 5, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 RODO oraz poglądy prezentowane w literaturze i w wytycznych nr 4/2019, fundamentalną koncepcję stojącą u podstaw RODO stanowi podejście oparte na zarządzaniu ochroną danych osobowych od strony ryzyka (tzw. risk-based approach). Administrator, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, wdraża więc odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Oznacza to, że administrator przy dokonywaniu oceny adekwatności zastosowanych rozwiązań powinien wziąć pod uwagę szereg czynników i okoliczności dotyczących przetwarzania, a także ryzyko, jakie się z nim wiąże. Administrator ma obowiązek wykazania przed organem nadzorczym, że wdrożył odpowiednie środki techniczne i organizacyjne, aby przetwarzanie nie wykraczało poza ustanowione ramy prawne, co należy utożsamiać z urzeczywistnieniem zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO. Środki te powinny być w razie potrzeby poddawane przeglądom i uaktualniane. Wdrażanie odpowiednich środków technicznych i organizacyjnych powinno polegać zatem nie tylko na doraźnym zaimplementowaniu przez administratora należytych zasad, procedur i praktyk dotyczących przetwarzania, ale także na dokonywaniu regularnych rewizji zastosowanych rozwiązań i w stosownych przypadkach - ich udoskonalaniu. Zapewnienie przez administratora bezpieczeństwa przetwarzanych danych ma bowiem charakter dynamicznego, ciągłego procesu.

Administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – (zgodnie z art. 25 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikającej z przetwarzania) wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.

Europejska Rada Ochrony Danych (EROD) w Wytycznych nr 4/2019 dotyczących art. 25 (Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych, Wersja 2.0, str. 4) wskazała, że ochronę danych w fazie projektowania oraz domyślną ochronę danych stosuje się również do istniejących systemów, które przetwarzają dane osobowe. Oznacza to, że dotychczasowe systemy zaprojektowane przed wejściem w życie RODO należy poddawać przeglądom i konserwacji, aby zapewnić wdrożenie środków i zabezpieczeń, które w skuteczny sposób wdrażają zasady i prawa osób, których dane dotyczą, jak określono w ww. wytycznych. W myśl art. 32 ust. 1 RODO administrator, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Art. 32 ust. 2 RODO wskazuje zaś, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Prezes UODO podniósł w związku z tym, że przed organem nadzorczym należy udowodnić, że zastosowane rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka oraz uwzględniają charakter danej organizacji i wykorzystywanych mechanizmów przetwarzania danych. Konsekwencją jest rezygnacja z narzucanych przez prawodawcę list wymagań, dotyczących bezpieczeństwa, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa, a ich ustalenie powinno dokonać się w procesie dwuetapowym. Administrator po pierwsze określa poziomu ryzyka naruszenia praw lub wolności osób fizycznych, jakie wiąże się z przetwarzaniem ich danych osobowych, następnie ustala, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku i osiągnąć stan zgodności z przepisami RODO.

Zgodnie z motywem 75 preambuły do RODO ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i czynów zabronionych lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osób wymagających szczególnej opieki, w szczególności dzieci oraz jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

Prawodawca sygnalizuje poprzez motyw 76 preambuły do RODO, że prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić przez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

Motyw 83 preambuły do RODO wskazuje, że administrator w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z RODO powinien oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki - takie jak szyfrowanie - minimalizujące to ryzyko. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych - takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Zdaniem Prezesa UODO, mając na uwadze szeroki zakres danych osobowych przetwarzanych przez Uczelnię za pośrednictwem ww. Aplikacji, a także m.in. liczbę osób, których dane dotyczą, Uczelnia - w celu prawidłowego wywiązania się z obowiązków wynikających z przepisów RODO - zobowiązana była do podjęcia działań gwarantujących właściwy poziom ochrony danych osobowych przez wdrożenie odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo ich przetwarzania, a także do regularnego testowania, mierzenia i oceniania skuteczności ww. środków. Decyzje o charakterze, rodzajach czy intensywności takich działań powinny zaś znaleźć oparcie we wnioskach wynikających z analizy ryzyka przeprowadzonej dla dokonywanych operacji przetwarzania, uwzględniającej m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych.

Ze zgromadzonego materiału dowodowego wynika, że Uczelnia zarządzała systemem informatycznym, za pośrednictwem którego przetwarzała dane osobowe swoich studentów, byłych studentów i absolwentów, nie dokonując uprzedniej analizy wiążącego się z tym ryzyka. Uczelnia w piśmie z 3 listopada 2022r. wskazała wprost, że przed wystąpieniem naruszenia analiza ryzyka nie była prowadzona w sposób sformalizowany. Taki sposób działania Uczelni nie zapewniał należytej kontroli nad ww. procesem w kontekście zagwarantowania bezpieczeństwa uczestniczących w nim danych osobowych, jak również możliwości wykazania jego zgodności z przepisami RODO, stosownie do zasady rozliczalności, wynikającej z art. 5 ust. 2 RODO. Wobec nieprzeprowadzenia analizy ryzyka, wiążącego się z przetwarzaniem w sposób sformalizowany, a więc udokumentowany lub w inny sposób utrwalony oraz ujęty w postaci ściśle określonych, precyzyjnych formuł wyjaśniających i porządkujących przebieg tego procesu, Uczelnia nie była zdolna wykazać, że wdrażając środki techniczne i organizacyjne - mające zapewnić zgodność przetwarzania z RODO, a także oceniając, czy stopień bezpieczeństwa danych osobowych jest odpowiedni - rzeczywiście uwzględniła kryteria opisane w art. 32 ust. 1 RODO, w tym ryzyko naruszenia praw lub wolności osób fizycznych, oraz ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, zgodnie z obowiązkiem wynikającym z art. 32 ust. 2 RODO.

Z poczynionych ustaleń wynika, że Uczelnia nie przeprowadziła takiej analizy przez okres funkcjonowania systemu, począwszy od 2014r. (od 2015 r. w przypadku Aplikacji), przez 25 maja 2018r. (dzień rozpoczęcia stosowania RODO), aż do 2 listopada 2022r. (opracowanie "Raportu z analizy ryzyka dla bezpieczeństwa aplikacji »[...]«", bazującego na dokumencie "Arkusz analizy ryzyka dla bezpieczeństwa informacji w systemie IT. Wyciąg z analizy ryzyka według ISO 27005 dla systemu Rejestrator i jego modułów. Wyciąg dotyczy [...] - procesu rekrutacji na wyjazdy zagraniczne"), przygotowanym przez Uczelnię dopiero po wystąpieniu naruszenia ochrony danych osobowych.

Przeprowadzone przez Uczelnię w sierpniu 2022r. prace programistyczne, mające na celu przeniesienie systemu Rejestrator na nowy serwer produkcyjny również nie zostały poprzedzone odpowiednią analizą wiążącego się z tym ryzyka. Stoi to w sprzeczności z normami sformułowanymi w treści RODO, które na każdym etapie implementowania systemu informatycznego służącego przetwarzaniu - zarówno w fazie projektowania, wdrażania, utrzymywania czy modyfikacji - przewidują uwzględnianie związanego z tymi operacjami ryzyka naruszenia praw lub wolności osób fizycznych. EROD w wytycznych nr 4/2019 dotyczące artykułu 25 (Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych, Wersja 2.0, str. 29) wskazuje, że ocena zagrożeń dla bezpieczeństwa danych polega na analizie wpływu na prawa osób fizycznych i przeciwdziałaniu zidentyfikowanym zagrożeniom; "uwzględnianie wymogów bezpieczeństwa na jak najwcześniejszym etapie projektowania i rozwoju systemu oraz ciągła integracja i wykonywanie odpowiednich testów" czy "regularny przegląd i testowanie oprogramowania, sprzętu, systemów i usług itp. w celu wykrycia słabych punktów systemów wspomagających przetwarzanie" to jedne z kluczowych elementów uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych w stosunku do zasady integralności i poufności danych.

Prezes UODO zaznaczył, że Uczelnia w treści sekcji 9A formularza zgłoszenia naruszenia ochrony danych osobowych przedstawiła opis technicznych środków bezpieczeństwa dotychczas stosowanych, deklarując, że jako "środki bezpieczeństwa systemu" wykorzystywała środki bezpieczeństwa opisane w "Polityce bezpieczeństwa danych osobowych" oraz inne rozwiązania, takie jak Next Generation Firewall, Web Application Firewall, segmentacja sieci LAN, utwardzanie systemów operacyjnych i usług, centralny mechanizm uwierzytelniania oraz przeprowadzenie datowanego na 2020r. zewnętrznego audytu bezpieczeństwa kodu aplikacji. Uczelnia, jako pozostałe środki bezpieczeństwa, jedynie pośrednio związane z systemem Rejestrator, wskazała oprogramowanie antywirusowe, narzędzie Endpoint Detection and Response (EDR), usługę Azure Advanced Threat Protection, analizator bezpieczeństwa ruchu sieciowego IDS oraz mechanizm logowania zdarzeń.

Środki te - zdaniem Prezesa UODO - nie mogą zostać uznane za odpowiednie wobec ryzyk związanych z przetwarzaniem danych osobowych dokonywanym w ramach Aplikacji, w tym w szczególności przetwarzaniem mającym miejsce w trakcie - i w następstwie - przeniesienia tego systemu na nowy serwer produkcyjny. To właśnie podczas tej operacji pracownik Uczelni popełnił błąd, w wyniku którego doszło do uzyskania przez osoby trzecie nieuprawnionego dostępu do danych osobowych zgromadzonych w zasobach Aplikacji. Uczelnia nie zapewniła bowiem pracownikom odpowiednich procedur regulujących ww. działania, uwzględniających m.in. zasady postępowania ze zgromadzonymi w systemie danymi osobowymi oraz metodykę testowania wprowadzonych zmian w kontekście zagwarantowania bezpieczeństwa przetwarzania. Programista sam testował zmiany, gdy inny pracownik sprawdzał jedynie, czy aplikacja działa poprawnie. Uczelnia w tym zakresie zadeklarowała wdrożenie odpowiednich środków organizacyjnych dopiero w piśmie z 3 listopada 2022r. - kilka miesięcy po wystąpieniu naruszenia ochrony danych osobowych.

Uczelnia w piśmie z 9 października 2023r. zwróciła uwagę, że "niemożliwym jest (...) zapewnienie zabezpieczeń systemów, które nigdy nie mogą zostać przełamane, czy jak w niniejszej sprawie, niemożliwym jest zabezpieczenie się przed wszelkimi błędami ludzkimi". Prezes UODO w związku z tym przytoczył wyrok WSA w Warszawie z 19 stycznia 2021r. sygn. II SA/Wa 702/20, w którym podkreślono, że "administrator danych powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 RODO). (...) administrator danych jest odpowiedzialny nie tylko za działania swoich pracowników, ale także za przetwarzanie danych w systemie informatycznym, z którego korzysta".

Zdaniem Prezesa UODO naruszenie przez Uczelnię przepisów RODO nie wynikało zatem z braku zapewnienia przez nią środków niezawodnych, ale z niewdrożenia środków odpowiednich.

W ramach ww. pisma Uczelnia wskazała także, że "uwzględniając stan wiedzy technicznej, którą Uczelnia dysponowała w czasie, w którym doszło do niniejszego zdarzenia przyjęte i stosowane przez nią rozwiązania techniczne były na poziomie odpowiadającym ryzyku związanym z dokonywanymi operacjami na danych osobowych". Zdaniem Prezesa UODO wdrożenie przez Uczelnię ww. środków technicznych z pominięciem analizy ryzyka wiążącego się z dokonywanym przetwarzaniem na żadnym etapie nie dawało odpowiedniej gwarancji, że środki te będą odpowiednie, adekwatne i że w sposób skuteczny zminimalizują ryzyko naruszenia praw lub wolności osób, których dane dotyczą. (por. wyrok WSA w Warszawie z 26 sierpnia 2020r. sygn. II SA/Wa 2826/19, w którym stwierdzono, że art. 32 ust 1 RODO "nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością". Jednocześnie Sąd podkreślił, że "przyjęte środki powinny mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym ryzyko niskie, inne - muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka". Z kolei w wyroku z dnia 13 maja 2021 r., sygn. II SA/Wa 2129/20, Wojewódzki Sąd Administracyjny w Warszawie wskazał, że "Administrator danych powinien (...) przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia").

W ocenie Prezesa UODO Uczelnia miała pełną świadomość obowiązków spoczywających na niej w tym zakresie. Świadczą o tym m.in. postanowienia zawarte w "Polityce bezpieczeństwa danych osobowych", że celem Polityki bezpieczeństwa danych osobowych (...) jest ochrona danych osobowych przetwarzanych w Uczelnię poprzez zapewnienie danym osobowym właściwości: 1) poufności - właściwości zapewniającej dostęp wyłącznie dla osób uprawnionych; "dane osobowe są przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo, w tym ochronę, za pomocą odpowiednich środków technicznych lub organizacyjnych, przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem" oraz iż "środki ochrony technicznej obejmują: 1) mechanizmy kontroli dostępu do systemów informatycznych i ich zasobów; 2) zastosowanie odpowiednich i regularnie aktualizowanych informatycznych narzędzi ochronnych (programy antywirusowe, ściany ogniowe, itp.);".

Ponadto w "Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych" zdefiniowano "zabezpieczenie danych w systemie informatycznym" jako "wdrożenie i eksploatacja odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych przed ich nieuprawnionym przetwarzaniem na terenie S[...]" oraz wskazano m.in., że system informatyczny, w którym przetwarza się dane osobowe, jest wyposażony w mechanizmy uwierzytelnienia użytkownika oraz kontroli dostępu do zasobów (autoryzacji). Z treści § 5 ust. 1 "Obowiązków i odpowiedzialności za zadania związane z ochroną danych osobowych w Szkole [...] w [...]" wynika, że "za realizację przestrzegania przepisów prawnych oraz zapewnienie odpowiednich środków technicznych i organizacyjnych dotyczących przetwarzania danych osobowych w poszczególnych obszarach funkcjonowania Uczelni odpowiedzialne są osoby kierujące jednostkami organizacyjnymi, zgodnie ze strukturą organizacyjną Uczelni". Zapis sformułowany w § 5 ust. 2 pkt 7 ww. dokumentu wskazuje, że osoby, o których mowa w ust. 1 są odpowiedzialne za 7) przeprowadzanie, na żądanie Administratora, analiz ryzyka ochrony danych osobowych oraz przedstawianie na ich podstawie propozycji w zakresie stosowania środków technicznych i przedsięwzięć organizacyjnych w celu zapewnienia skutecznej ochrony przetwarzania danych.

W ocenie Prezesa UODO analiza ww. dokumentów pozwala stwierdzić, iż brak przeprowadzenia przez Uczelnię formalnej oceny ryzyka stanowił nie tylko naruszenie przepisów RODO, ale również wewnętrznych regulacji służących zapewnieniu prawidłowego i bezpiecznego przetwarzania danych osobowych w organizacji.

Uczelnia nie wykazała też, aby którykolwiek z wdrożonych przez nią środków bezpieczeństwa zabezpieczał dane przetwarzane za pośrednictwem Aplikacji przed ryzykiem, jakie ostatecznie zmaterializowało się w postaci zaistniałego incydentu skutkującego naruszeniem ochrony danych osobowych. Uczelnia w dokumencie "Arkusz analizy ryzyka dla bezpieczeństwa informacji w systemie IT. Wyciąg z analizy ryzyka według ISO 27005 dla systemu Rejestrator i jego modułów. Wyciąg dotyczy [...] - procesu rekrutacji na wyjazdy zagraniczne" - opracowano dopiero po wystąpieniu naruszenia ochrony danych osobowych. Autorzy analizy wyróżnili w nim szereg podatności związanych z obsługą Aplikacji, wskazując m.in. podatność opisaną jako "Zaindeksowanie zasobów przez roboty wyszukiwarek internetowych, błąd w aplikacji". Podatność ta, czyli - jak określili autorzy - potencjalny czynnik sprzyjający wystąpieniu zagrożenia, scharakteryzowana została w następujący sposób:

- "Zidentyfikowane aktywo (na jakie aktywo oddziałuje analizowany system IT): Aplikacja; Kategoria aktywa: Oprogramowanie; Kategorie przetwarzanych informacji przez aktywo: Dane związane z rejestracją i obsługą studentów; Oddziaływanie na procesy (na ciągłość funkcjonowania których procesów; krótki opis na czym polega): Proces rekrutacji na wyjazdy zagraniczne; -Zidentyfikowane zagrożenia: Nieuprawniony dostęp do danych; Kategoria zagrożenia (obszar): Naruszenie bezpieczeństwa informacji; Kategoria zagrożenia (źródło zagrożenia): Działalność człowieka (przypadkowe); Wpływ zagrożenia na dostępność informacji: NIE; Wpływ zagrożenia na integralność informacji: NIE; Wpływ zagrożenia na poufność informacji: TAK; Poziom wagi zagrożenia bazowego: 5; Poziom prawdopodobieństwa wystąpienia zagrożenia bazowego: 5; Poziom ryzyka bazowego: 25; Poziom ryzyka bazowego (słownie): Krytyczne; Istniejące zabezpieczenia (czynniki zmniejszające prawdopodobieństwo wystąpienia zagrożenia): 1) Plik"robots.txt, 2) wpis ; Poziom wagi zagrożenia: 5; Poziom prawdopodobieństwa wystąpienia zagrożenia: 2; Poziom ryzyka rezydualnego: 10; Poziom ryzyka rezydualnego (słownie): Średnie; Wymagane postępowanie z ryzykiem?: NIE"

Zdaniem Prezesa UODO z przytoczonego fragmentu, ww. podatność, będąca czynnikiem mającym istotny wpływ na wystąpienie ww. incydentu, stanowiła realne zagrożenie, wobec którego Uczelnia mogła - i powinna była - podjąć adekwatne działania w celu jego zneutralizowania bądź zminimalizowania. Przeprowadzona analiza ryzyka (po naruszeniu ochrony danych osobowych) skłoniła Uczelnię do określenia bazowego ryzyka wiążącego się z istnieniem tej podatności jako "krytyczne" (czyli najwyższe w przyjętej pięciostopniowej skali, przewidującej ryzyka pomijalne, niskie, średnie, wysokie i krytyczne) i mające wpływ na poufność danych osobowych, natomiast po wprowadzeniu przez Uczelnię zabezpieczeń zmniejszających prawdopodobieństwo wystąpienia zagrożenia, takich jak m.in. wdrożenie do systemów Uczelni mechanizmów ograniczających potencjalne indeksowanie zgromadzonych w nich zasobów przez wyszukiwarki internetowe (plik "robots.txt", znaczniki meta "nofollow"i "noindex"), ryzyko to zostało zaklasyfikowane jako "średnie". Należy zauważyć, że to właśnie te działania Uczelnia uznała - po przeprowadzeniu analizy ryzyka - za odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, jednakże podjęła je dopiero po zaistnieniu naruszenia ochrony danych osobowych, a zatem zbyt późno, by móc mu zapobiec.

Prezes UODO podkreśli, że kontrola dostępu jest podstawowym elementem bezpieczeństwa informacji, wspierającym ochronę aktywów organizacji wchodzących w skład administrowanych systemów informatycznych. Przy odpowiedniej konfiguracji pomaga ona m.in. zapewnić poufność danych, gwarantując, że te będą dostępne wyłącznie dla uprawnionych osób, a także umożliwiając monitorowanie oraz rejestrowanie działań poszczególnych użytkowników. Brak odpowiedniej kontroli dostępu często wskazuje się jako jedno z głównych zagrożeń dla aplikacji i systemów, czego dowodzą liczne publikacje na ten temat. W popularnym raporcie OWASP Top 10 z 2021r. klasa podatności Broken Access Control wymieniona została jako pierwsze z dziesięciu najważniejszych ryzyk dla bezpieczeństwa aplikacji internetowych, natomiast autorzy listy HackerOne Top 10 z 2020r., wyróżniającej najczęściej zgłaszane i najbardziej krytyczne luki w zabezpieczeniach, zidentyfikowane przez globalną społeczność badaczy bezpieczeństwa, na piątym miejscu zestawienia umieścili związaną z niekontrolowanym dostępem do danych podatność IDOR (ang. Insecure Direct Object Reference).

Ustalenia w sprawie nie dają dostatecznej podstawy do stwierdzenia, że środki stosowane przez Uczelnię, w celu zapewnienia bezpieczeństwa przetwarzanych danych osobowych, były adekwatne do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania, a także ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, co w rezultacie nie gwarantowało skutecznej realizacji zasad ochrony danych, w tym zapewnienia poufności danych osobowych przetwarzanych za pośrednictwem Aplikacji. Uczelnia w Raporcie z analizy ryzyka dla bezpieczeństwa Aplikacji z 2 listopada 2022r., stwierdziła że z przeprowadzonej analizy ryzyka dla Aplikacji, która była elementem systemu Rejestrator, wynika, że istnieje wiele zagrożeń, na które Uczelnia aktualnie posiada środki pozwalające ograniczyć prawdopodobieństwo ich wystąpienia - zabezpieczenia informatyczne, techniczne i organizacyjne. Dla części zidentyfikowanych zagrożeń i podatności istniejące zabezpieczenia nie są jeszcze wystarczające lub wymagają zabezpieczeń w celu ograniczenia prawdopodobieństwa ich materializacji. Z ww. Raportu wynika, że w ramach przeprowadzonej analizy ryzyka zidentyfikowano łącznie 201 zagrożeń, zaś 78 spośród nich uznano za nieakceptowalne i wymagające postępowania z ryzykiem. Najwięcej zagrożeń stwierdzono w obszarze: nieuprawnionego dostępu do aplikacji, naruszenia zasad przetwarzania danych, nieuprawnionego dostępu do danych, utraty danych. Uczelnia - jak wskazano w raporcie - w następstwie przeprowadzonej analizy podjęła decyzję o całkowitym wyłączeniu Aplikacji.

Zdaniem Prezesa UODO wprowadzenie przez Uczelnię - po wystąpieniu naruszenia ochrony danych osobowych - zmian w obszarze zabezpieczeń systemów informatycznych nie zmienia negatywnej oceny, ale stanowi jedynie przesłankę odstąpienia od nakazania Uczelni dokonania zmian w tym obszarze, w celu dostosowania operacji przetwarzania danych do wymogów RODO. Administratorzy zobligowani są nie tylko do osiągnięcia zgodności z wytycznymi RODO przez jednorazowe wdrożenie technicznych i organizacyjnych środków bezpieczeństwa, ale także do zapewnienia ciągłości monitorowania skali zagrożeń oraz rozliczalności w zakresie poziomu i adekwatności wprowadzonych zabezpieczeń. Testowanie, mierzenie i ocenianie środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) RODO, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także udokumentowanie tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO). Przedłożona przez Uczelnię w załączniku do pisma z 31 sierpnia 2023r. "kopia raportu z zewnętrznego audytu bezpieczeństwa kodu aplikacji w zakresie odnoszącym się do modułu [...]" (wykonanego w kwietniu 2020r.) nie przesądza o spełnieniu ww. wymogów. Świadczy wyłącznie o jednorazowym charakterze działań podjętych przez Uczelnię w tym zakresie.

Uczelnia w odpowiedzi na prośbę organu z 4 października 2022r. o wyjaśnienie, "na czym polegały i kto wykonywał testy zmian wprowadzonych na serwer produkcyjny, o których mowa w pkt 4a wstępnego zgłoszenia naruszenia ochrony danych osobowych z dnia 18 września 2022r.", a także "w oparciu o jakie procedury administratora ww. testy były realizowane" - pismem z 3 listopada 2022r. poinformowała, że po wprowadzeniu zmian na serwerze developerskim testował je sam programista. Następnie umieścił zmiany w repozytorium, które pobrała druga osoba z zespołu i sprawdziła, czy aplikacja działa poprawnie. Następnie Uczelnia wskazała, że przygotowywana jest w tej chwili procedura wykonywania testów, wraz z przygotowaniem scenariuszy testowych, wprowadzana jest code review wykonywane przez innego programistę przed przekazaniem na produkcję nowych wersji systemów.

Z ww. wyjaśnień wynika, że Uczelnia działania zmierzające do zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania podjęła dopiero po wystąpieniu naruszenia ochrony danych osobowych. Administrator zobowiązany jest zaś do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych rozwiązań na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk i proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Uczelnia nie wywiązywała się z ww. obowiązku.

Prezes UODO, mając powyższe na uwadze zaznaczył, że funkcjonowanie organizacji, zwłaszcza w sferze ochrony danych osobowych, nie może opierać się na nierzetelnych bądź nierealnych podstawach, zaś lekceważenie wartości podstawowych informacji wywołać może fałszywe poczucie bezpieczeństwa, prowadzące do niepodjęcia przez administratora działań, do których jest zobligowany, co z kolei skutkować może, jak w przedmiotowym przypadku, naruszeniem ochrony danych osobowych, powodującym - ze względu na zakres danych osobowych podlegających naruszeniu - wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Prezes UODO dodał, że brak analizy ryzyka, skutkujący doborem nieskutecznych środków bezpieczeństwa oraz brak regularnego testowania, mierzenia i oceniania przez Uczelnię skuteczności wdrożonych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania nie tylko doprowadził do naruszenia ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO, ale przesądził o naruszeniu przez Uczelnię obowiązków spoczywających na administratorze danych, wynikających z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 oraz art. 32 ust. 2 RODO, a w konsekwencji również zasady poufności wyrażonej w art. 5 ust. 1 lit. f) RODO. Efektem zaś zasady poufności jest naruszenie art. 5 ust. 2 RODO. WSA w Warszawie w wyroku z 10 lutego 2021r. sygn. II SA/Wa 2378/20 wskazał, że administrator danych jest odpowiedzialny za przestrzeganie wszystkich zasad przy przetwarzaniu danych osobowych (wymienionych w art. 5 ust. 1) i musi być w stanie wykazać ich przestrzeganie. Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych". Podobnie kwestię tę zinterpretował WSA w Warszawie w wyroku z 26 sierpnia 2020r. sygn. II SA/Wa 2826/19, stwierdzając, że biorąc pod uwagę całość norm RODO, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 RODO".

Skoro Uczelnia nie zastosowała adekwatnych rozwiązań mających zapewnić poufność danych osobowych przetwarzanych za pośrednictwem Aplikacji, w szczególności w ramach operacji przetwarzania polegającej na przeniesieniu systemu Rejestrator na nowy serwer produkcyjny, to należało stwierdzić, że przed wystąpieniem naruszenia ochrony danych osobowych Uczelnia nie zapewniła odpowiedniego poziomu zabezpieczenia przetwarzanych w ten sposób danych. Przesądza to o niewdrożeniu przez Uczelnię odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie to odbywało się zgodnie z RODO oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, do czego była zobowiązana na podstawie art. 24 ust. 1 i art. 25 ust. 1 RODO, jak również o niewdrożeniu środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, w tym m.in. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, do czego zobowiązuje art. 32 ust. 1 lit. b) RODO, a także nieuwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych, o którym mowa w art. 32 ust. 2 RODO, a w konsekwencji o naruszeniu zasady integralności i poufności wyrażonej w art. 5 ust. 1 lit. f) RODO, którego następstwem jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO.

Prezes UODO wskazał, że zgodnie z art. 58 ust. 2 lit. i) RODO każdemu organowi przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 RODO, administracyjnej kary pieniężnej na mocy art. 83 RODO, zależnie od okoliczności konkretnej sprawy. W rozpatrywanej sprawie zaszły przesłanki uzasadniające nałożenie na Uczelnię administracyjnej kary pieniężnej za naruszenie art. 25 ust. 1 i art. 32 ust. 1 i 2 RODO na podstawie art. 83 ust. 4 lit. a) RODO, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 RODO na podstawie art. 83 ust. 5 lit. a) RODO. Kara nałożona na Uczelnię łącznie za naruszenie wszystkich ww. przepisów, stosownie do art. 83 ust. 3 RODO, nie przekracza wysokości kary za najpoważniejsze stwierdzone w toku postępowania naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 RODO, które zgodnie z art. 83 ust. 5 lit. a) RODO podlega administracyjnej karze pieniężnej w wysokości do 20000000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego światowego obrotu z poprzedniego roku obrotowego.

Prezes UODO, decydując o nałożeniu administracyjnej kary pieniężnej - w myśl art. 83 ust. 2 lit. a)-k) RODO - wziął pod uwagę okoliczności stanowiące o konieczności zastosowania ww. sankcji i wpływające obciążająco na wymiar kary pieniężnej: charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a) RODO). Stwierdzone naruszenie przepisów o ochronie danych osobowych, którego skutkiem była możliwość uzyskania przez osoby trzecie nieuprawnionego dostępu do przetwarzanych przez Uczelnię danych osobowych zgromadzonych w bazie danych Aplikacji, ma poważny charakter i znaczną wagę, stwarza bowiem wysokie ryzyko wystąpienia negatywnych skutków prawnych dla 1461 osób. Niewywiązanie się przez Uczelnię z obowiązku zastosowania odpowiednich środków zabezpieczających przetwarzane dane przed nieuprawnionym ujawnieniem pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania ich przed podmioty trzecie niezgodnie z przepisami RODO, bez wiedzy i wbrew woli osób, których dane dotyczą, np. w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w ich imieniu. Brak jest dowodów wskazujących na to, że studenci, absolwenci i byli studenci Uczelni, do których danych uzyskały dostęp osoby trzecie, doznali szkody majątkowej, niemniej samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę). Osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją czy wreszcie - stratą finansową.

Prezes UODO zwrócił też uwagę na długie trwanie naruszenia przepisów RODO: stan rozpoczął się 25 maja 2018r. (rozpoczęcie stosowania przepisów RODO, a zakończył się 15 września 2022r. z chwilą odłączenia Aplikacji od sieci Internet. Choć do przypadkowego ujawnienia danych, w konsekwencji którego doszło do nieuprawnionego przetwarzania ich przez osoby trzecie, doszło 20 sierpnia 2022r. (w wyniku niezastosowania przez Uczelnię odpowiednich środków bezpieczeństwa), Uczelnia zobowiązana była dostosować procesy przetwarzania danych do wymogów RODO od momentu rozpoczęcia jego stosowania.

Prezes UODO zwrócił uwagę na art. 83 ust. 2 lit. b) RODO i zaznaczył, że nieuprawniony dostęp do zgromadzonych w zasobach Aplikacji danych osobowych studentów, absolwentów i byłych studentów Uczelni stał się możliwy na skutek niedochowania należytej staranności, co świadczy o umyślnym charakterze naruszenia. Uczelnia była świadoma, że w przypadku dopuszczenia przetwarzania danych osobowych o tak szerokim zakresie powinna im zapewnić odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, za pomocą odpowiednich środków technicznych i organizacyjnych, a więc w taki sposób, aby przetwarzanie to odbywało się zgodnie z zasadą integralności i poufności wyrażonej w art. 5 ust. 1 lit. f) RODO.

Uczelnia nie powinna wykluczać możliwości ewentualnego wystąpienia naruszenia ochrony danych osobowych, ze względu na specyfikę działania systemów informatycznych, w których błąd ludzki należy zawsze brać pod uwagę. Mimo przyjętej praktyki wykorzystywania takich systemów do przetwarzania danych osobowych Uczelnia nie przeprowadziła analizy ryzyka w obszarze objętym naruszeniem ochrony danych osobowych aż do momentu jego wystąpienia, kiedy to podjęła ww. czynności o charakterze techniczno-organizacyjnym, mające zagwarantować bezpieczeństwo przetwarzania. W działaniach Uczelni uwidoczniono świadomość co do braku zapewnienia odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych za pośrednictwem Aplikacji. Uczelnia powinna mieć na względzie, że przyjęte rozwiązania nie zapewnią adekwatnego poziomu bezpieczeństwa danych osobowych, co prowadzić może do naruszenia przepisów o ochronie danych osobowych. Uczelnia - mimo świadomości - dopuściła się rażącego zaniedbania, skutkującego wystąpieniem naruszenia poufności przetwarzanych danych, co stanowi istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej.

Zdaniem Prezesa UODO kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO) zgromadzone w zasobach Aplikacji nie należały do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, ale ich zakres (imię, nazwisko, imiona rodziców, data urodzenia, płeć, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwisko rodowe matki, numer telefonu, login, numer albumu, informacje o dowodzie osobistym lub paszporcie (seria i numer dokumentu, kraj wydania, organ wydający, data wydania, data ważności), obywatelstwo, narodowość, fakt posiadania Karty Polaka, tryb, poziom i kierunek studiów, poziom znajomości języka obcego, średnia ocen, liczba uzyskanych punktów) wiązała się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych naruszeniem ochrony ich danych osobowych. W szczególności nieuprawnione ujawnienie nr PESEL z imieniem i nazwiskiem, które jednoznacznie identyfikują osobę fizyczną, może realnie i negatywnie wpływać na ochronę praw lub wolności tej osoby. Z wyroku WSA w Warszawie z 1 lipca 2022r. sygn. II SA/Wa 4143/21 wynika, że w przypadku naruszenia takich danych, jak imię, nazwisko oraz nr PESEL, możliwa jest kradzież lub sfałszowanie tożsamości przez uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, pożyczek w instytucjach poza bankowych bądź wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje związane z próbą przypisania osobom, których dane dotyczą, odpowiedzialności za dokonanie takiego oszustwa. Numer ewidencyjny PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający m.in. datę urodzenia oraz oznaczenie płci, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, ochronie na gruncie art. 87 RODO, jest daną o szczególnym charakterze i jako taka - wymaga równie szczególnej ochrony. Szczególnej ochrony danych osobowych, w tym przede wszystkim nr ewidencyjnego PESEL, wymaga się także od instytucji publicznych, do których bez wątpienia zaliczyć można stronę przedmiotowego postępowania.

Prezes UODO, decydując o nałożeniu administracyjnej kary pieniężnej, wziął pod uwagę okoliczności stanowiące o konieczności zastosowania ww. sankcji oraz wpływające łagodząco na wymiar nałożonej administracyjnej kary pieniężnej:

- działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c) RODO. Uczelnia podjęła działania w celu m.in. ograniczenia potencjalnych szkód poniesionych przez osoby, których dane dotyczą. Uczelnia poinformowała w piśmie z 9 listopada 2023r., że umożliwiła osobom dotkniętym naruszeniem skorzystanie z abonamentu na alerty BIK, oraz zapewniła pokrycie kosztów wymiany dokumentów i wykonania aktualnej fotografii do dokumentu. Z możliwości skorzystania z alertów BIK skorzystało ponad 700 studentów. Ponadto 57 osób dokonało wymiany dokumentów na koszt Uczelni, który wyniósł PLN 6726";

- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust 2 lit. f) RODO). Poza prawidłowym wywiązywaniem się z ciążących na Uczelni obowiązków procesowych w trakcie postępowania administracyjnego, Uczelnia w pełnym zakresie zrealizowała zalecenia Prezesa UODO dotyczące uzupełnienia zawiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu ochrony ich danych osobowych. Po stwierdzeniu naruszenia ochrony danych osobowych podjęła konkretne i szybkie działania, których efektem było zminimalizowanie skutków naruszenia oraz wyeliminowanie możliwości jego ponownego wystąpienia: - odłączenie Aplikacji od sieci publicznej i wycofanie jej z eksploatacji, - doprowadzenie do usunięcia przez pomoc techniczną firmy Microsoft ujawnionych informacji z zasobów wyszukiwarki [...] oraz uzyskanie pisemnych potwierdzeń trwałego usunięcia pobranych danych (lub wykasowania pamięci podręcznej przeglądarki w przypadku jedynie ich przeglądania) przez wszystkie osoby, które w wyniku incydentu uzyskały do nich nieuprawniony dostęp.

Prezes UODO za neutralne uznał inne, niż ww. okoliczności, o których mowa w art. 83 ust. 2 RODO, po dokonaniu oceny ich wpływu na stwierdzone naruszenie.

Prezes UODO, odnosząc się do stopnia odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d) RODO), podniósł, że Grupa Robocza Art. 29 (Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 przyjęte w 3 października 2017 r., 17/PL, WP 253, zwane dalej "Wytycznymi WP 253"), wskazała, że rozpatrując ww. przesłankę "organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator »zrobił wszystko, czego można by było oczekiwać«, zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie". Na Uczelni w wysokim stopniu ciąży odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które mogłyby zapobiec naruszeniu ochrony danych osobowych. Oczywistym jest, że w kontekście charakteru, celu i zakresu przetwarzania danych osobowych Uczelnia nie zrobiła wszystkiego, czego można by było oczekiwać, nie wywiązując się tym samym z obowiązków nałożonych na nią mocy art. 25 i art. 32 RODO. Okoliczność ta stanowi jednak o istocie samego naruszenia - nie jest zaś jedynie czynnikiem wpływającym – obciążająco lub łagodząco - na jego ocenę. Z tego też powodu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i 32 RODO, nie może zostać uznany za okoliczność mogącą dodatkowo wpłynąć na ocenę naruszenia i wymiar administracyjnej kary pieniężnej nałożonej na Uczelnię.

Prezes UODO wziął też pod uwagę wszelkie stosowne wcześniejsze naruszenia administratora (art. 83 ust. 2 lit. e) RODO) i nie stwierdził po stronie Uczelni naruszeń przepisów o ochronie danych osobowych, więc nie potraktował tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być okolicznością łagodzącą przy wymierzaniu sankcji.

Prezes UODO rozważył też sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator zgłosił naruszenie (art. 83 ust. 2 lit. h) RODO) i stwierdził, że skoro Uczelnia dokonała zgłoszenia naruszenia ochrony danych osobowych, to zrealizowała ciążący na niej obowiązek prawny i brak jest podstaw do uznania, że stanowi to okoliczność łagodzącą. Grupa Robocza Art. 29 w Wytycznych WP 253 wskazuje, że administrator ma obowiązek zawiadomić organ o naruszeniu ochrony danych. Zwykłe dopełnienie tego obowiązku nie może być interpretowane jako czynnik osłabiający/łagodzący.

Prezes UODO wskazał, że analizował czy wcześniej stosowano wobec Uczelni w tej samej sprawie środki, o których mowa w art. 58 ust. 2 - przestrzeganie tych środków (art. 83 ust. 2 lit. i) RODO) i wskazał, że przed wydaniem decyzji nie stosował środków z art. 58 ust. 2 RODO, w związku z czym Uczelnia nie miała obowiązku podejmowania żadnych działań związanych z ich stosowaniem, które poddane ocenie organu, mogłyby mieć obciążający lub łagodzący wpływ na ocenę naruszenia.

Prezes UODO podkreślił też, że nie stosuje zatwierdzonych kodeksów postępowania, na mocy art. 40 ani zatwierdzonych mechanizmów certyfikacji, na mocy art. 42 (art. 83 ust. 2 lit. j RODO), gdyż ich przyjęcie, wdrożenie i stosowanie nie jest – w świetle RODO - obowiązkowe dla administratorów. Okoliczność ich niestosowania nie może być poczytana na niekorzyść Uczelni. Na jej korzyść mogłaby być uwzględniona okoliczność przyjęcia i stosowania ww. instrumentów, jako środków gwarantujących wyższy niż standardowy poziom ochrony danych osobowych.

Prezes UODO nie stwierdził ponadto innych obciążających lub łagodzących czynników mających zastosowanie w sprawie, m.in. osiągniętych bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowych lub uniknięcia straty (art. 83 ust 2 lit. k RODO). Przyjął więć, że brak było podstaw do traktowania tej okoliczności za obciążającej Uczelnię. Stwierdzenie wymiernych korzyści finansowych wynikających z naruszenia przepisów RODO należałoby ocenić negatywnie, a ich nieosiągnięcie przez Uczelnię, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która nie może być łagodząca. Interpretację tę potwierdza art. 83 ust. 2 lit. k RODO, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści "osiągnięte" - zaistniałe po stronie podmiotu naruszającego.

Prezes UODO nie odnotował też okoliczności innych, niż ww., mogących wpłynąć na ocenę naruszenia i wysokość administracyjnej kary pieniężnej. Podniósł też, że nałożenie tej kary jest konieczne i uzasadnione wagą, charakterem i zakresem naruszeń zarzucanych Uczelni. Zastosowanie wobec Uczelni innego środka naprawczego z art. 58 ust 2 RODO, w szczególności upomnienia (art. 58 ust. 2 lit. b RODO) nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych i nie gwarantowałoby tego, że Uczelnia w przyszłości nie dopuści się kolejnych zaniedbań.

Prezes UODO, odnosząc się do wysokości ww. kary wskazał, że w ustalonych okolicznościach, wobec stwierdzenia naruszenia kilku przepisów RODO: zasady integralności i poufności danych (art. 5 ust. 1 lit. f) RODO), odzwierciedlonej w postaci obowiązków określonych w art. 25 ust. 1, art. 32 ust. 1 i 2 RODO, a w konsekwencji również art. 5 ust. 2 RODO (stanowiącego emanację zasady rozliczalności), a także faktu, że Uczelnia jest organem jednostki sektora finansów publicznych, zastosowanie znajdzie art. 102 u.o.d.o, z którego wynika ograniczenie wysokości administracyjnej kary pieniężnej nałożonej na jednostkę sektora finansów publicznych, do 100000 zł. Zastosowana administracyjna kara pieniężna spełnia w okolicznościach sprawy funkcje, o których mowa w art. 83 ust. 1 RODO: będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Kara będzie skuteczna, ponieważ doprowadzi do stanu, w którym Uczelnia będzie stosowała takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą, oraz wadze zagrożeń towarzyszących procesom przetwarzania tych danych osobowych. Skuteczność kary równoważna jest zatem gwarancji tego, że Uczelnia od momentu zakończenia postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych. Ww. kara jest też proporcjonalna do stwierdzonego naruszenia, w tym w szczególności jego wagi, skutku, kręgu dotkniętych nim osób fizycznych i wysokiego ryzyka negatywnych konsekwencji, jakie w związku z naruszeniem mogą ponieść. Kara ta spełni także funkcję represyjną, bo stanowi odpowiedź na naruszenie przepisów RODO, ale i prewencyjną, przyczyniając się do zapobiegania w przyszłości naruszeniom obowiązków Uczelni wynikających z przepisów o ochronie danych osobowych. Ww. kara nie będzie stanowiła też nadmiernego obciążenia Uczelni, gdyż jej wysokość określono na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu na stopień naruszenia obowiązków Uczelni, nie powodując pociągnięcia za sobą negatywnych następstwa w postaci istotnego pogorszenia sytuacji finansowej. Uczelnia powinna - i jest w stanie - ponieść konsekwencje zaniedbań w sferze ochrony danych, więc nałożenie kary w wysokości 35000 zł jest w pełni uzasadnione. Celem kary jest doprowadzenie do przestrzegania przez Uczelnię w przyszłości przepisów RODO.

Zdaniem Prezesa UODO zastosowana administracyjna kara pieniężna spełnia przesłanki, o których mowa w art. 83 RODO, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad RODO, w tym w szczególności zasady integralności i poufności wyrażonej w art. 5 ust. 1 lit. f) RODO.

2. Uczelnia, reprezentowana przez radcę prawnego, w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie wniosła o uchylenie ww. decyzji Prezesa UODO i zasądzenie na Jej rzecz od organu kosztów postępowania według norm prawem przepisanych oraz zwrotu uiszczonej tytułem opłaty skarbowej od pełnomocnictwa (51 zł), zarzucając naruszenie:

- art. 32 ust. 1 w zw. z art. 24 ust. 1 i art. 25 ust. 1 RODO - przez ich błędną wykładnię i uznanie, że Uczelnia powinna była sporządzić analizę ryzyka przetwarzania danych w module [...] systemu Rejestrator, gdy ani art. 24 ust. 1 ani art. 25 ust. 1 ani art. 32 ust. 1 RODO ani żaden inny przepis prawa nie wymagają od administratora sporządzenia dokumentu o nazwie "analiza ryzyka", a wymagają jedynie dostosowania środków technicznych i organizacyjnych do stwierdzonego poziomu ryzyka, w związku z czym Uczelnia dokonała analizy właściwych środków technicznych i organizacyjnych w Polityce bezpieczeństwa i załączonych do niej instrukcjach i zastosowała środki techniczne i organizacyjne dostosowane do stwierdzonego poziomu ryzyka;

- art. 32 ust. 1 w zw. z art. 32 ust. 2 RODO - przez ich niewłaściwe zastosowanie i uznanie, że Uczelnia nie wdrożyła wystarczających środków technicznych i organizacyjnych, z uwagi na brak regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków technicznych i organizacyjnych, w tym brak polityki testowania, gdy art. 32 ust. 1 i 2 RODO nie wymaga od administratora doboru konkretnych środków bezpieczeństwa i nie wymaga zapewnienia ich całkowitej niezawodności, ale wdrożenia odpowiednich środków dostosowanych do stwierdzonego poziomu ryzyka, co nie wyklucza wystąpienia błędu ludzkiego, który umożliwił zaindeksowanie danych objętych naruszeniem przez [...], skutkujące możliwością nieuprawnionego dostępu do danych, która pojawiła się dopiero 20 sierpnia 2022r., nie 25 maja 2018r., jak stwierdza Prezes UODO w zaskarżonej decyzji, pomimo prawidłowego wdrożenia i stosowania środków bezpieczeństwa;

- art. 83 ust. 1 RODO - przez jego niewłaściwe zastosowanie i wymierzenie Uczelni nieproporcjonalnej administracyjnej kary pieniężnej (35000 zł), gdy z okoliczności sprawy, w szczególności nieumyślność i zastosowanie po naruszeniu dodatkowych środków technicznych i organizacyjnych niwelujących ryzyko podobnych naruszeń w przyszłości oraz stanowisko Prezesa UODO w analogicznych sprawach dowodzą, że wystarczającym środkiem naprawczym było upomnienie, o którym mowa w art. 58 ust. 2 lit. b) RODO;

- art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. e) RODO - przez ich niewłaściwe zastosowanie i pominięcie jako okoliczności łagodzącej wymiar administracyjnej kary pieniężnej braku dotychczasowych naruszeń ochrony danych, co skutkowało nałożeniem nieproporcjonalnej administracyjnej kary pieniężnej zamiast zastosowania innego środka, w tym upomnienia, o którym mowa w art. 58 ust. 2 lit. b RODO;

- art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a) RODO - przez ich niewłaściwe zastosowanie i uznanie, że rzekome naruszenie polegające na niewdrożeniu środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych w Aplikacji, będącej modułem systemu informatycznego Rejestrator (pkt 1 sentencji zaskarżonej decyzji), trwało od rozpoczęcia stosowania RODO (od 25 maja 2018r.) do momentu odłączenia Aplikacji od sieci Internet (do 15 września 2022r.), gdy środki techniczne i organizacyjne były stosowane przez Uczelnię w ww. okresie, a możliwość nieuprawnionego dostępu do danych powstała 20 sierpnia 2022r., a faktyczny nieuprawniony dostęp do danych miał miejsce od 13-15 września 2022r., co skutkowało nałożeniem na Uczelnię nieproporcjonalnej administracyjnej kary pieniężnej, zamiast zastosowania innego środka, w tym upomnienia, o którym mowa w art. 58 ust. 2 lit. b) RODO;

- art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a) RODO - przez ich niewłaściwe zastosowanie i uznanie, że naruszenie polegające na braku zastosowania odpowiednich środków technicznych i organizacyjnych, w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych, skutkujące nieuprawnionym dostępem do danych (pkt 2 sentencji zaskarżonej decyzji) trwało od 25 maja 2018r., gdy Uczelnia wdrożyła ww. środki już 25 maja 2018r., w szczególności oceniała, testowała i badała ich skuteczność przed wystąpieniem naruszenia, a możliwość nieuprawnionego dostępu powstała dopiero 20 sierpnia 2022r. i spowodowana była błędem ludzkim, który wystąpił pomimo wdrożenia ww. środków przez Uczelnię, co skutkowało nałożeniem na Uczelnię nieproporcjonalnej administracyjnej kary pieniężnej zamiast zastosowania innego środka, w tym upomnienia, o którym mowa w art. 58 ust. 2 lit. b) RODO;

- art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. b) RODO - przez ich niewłaściwe zastosowanie i uznanie, że naruszenie miało charakter umyślny, gdy było ono skutkiem błędu ludzkiego, powszechnie kwalifikowanego jako naruszenie o charakterze nieumyślnym, co skutkowało nałożeniem na Uczelnię nieproporcjonalnej administracyjnej kary pieniężnej zamiast zastosowania innego środka, w tym upomnienia, o którym mowa w art. 58 ust. 2 lit. b) RODO;

- art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a) RODO - przez ich niewłaściwe zastosowanie i uznanie hipotetycznej obawy przed utratą kontroli osób objętych naruszeniem nad swoimi danymi osobowymi za szkodę niemajątkową, a tym samym czynnik obciążający, wpływający na wysokość administracyjnej kary pieniężnej, pomimo złożenia oświadczeń przez 5 studentów, którzy mieli nieuprawniony dostęp do danych objętych naruszeniem o ich usunięciu oraz braku jakichkolwiek dowodów przemawiających za istnieniem obawy studentów o swoje dane, co skutkowało nałożeniem na Uczelnię administracyjnej kary pieniężnej, zamiast zastosowania innego środka, w tym upomnienia, o którym mowa w art. 58 ust. 2 lit. b) RODO;

- art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a) RODO - przez ich niewłaściwe zastosowanie i uznanie objęcia naruszeniem numerów PESEL za czynnik obciążający, wpływający na wysokość administracyjnej kary pieniężnej, gdy numer PESEL nie stanowi danych szczególnej kategorii, a jego nieuprawnione ujawnienie nie kreuje wysokiego ryzyka naruszenia praw i wolności, co skutkowało nałożeniem na Uczelnię nieproporcjonalnej administracyjnej kary pieniężnej zamiast zastosowania innego środka, w tym upomnienia, o którym mowa w art. 58 ust. 2 lit. b) RODO;

- art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. k) RODO - przez ich niewłaściwe zastosowanie i pominięcie jako okoliczności łagodzącej wymiar administracyjnej kary pieniężnej brak osiągnięcia przez Uczelnię jakichkolwiek korzyści finansowych lub uniknięcia strat finansowych w związku z wystąpieniem naruszenia, co skutkowało nałożeniem na Uczelnię nieproporcjonalnej administracyjnej kary pieniężnej zamiast zastosowania innego środka, w tym upomnienia, o którym mowa w art. 58 ust. 2 lit. b) RODO.

Uczelnia w uzasadnieniu skargi wskazała m. in., że sprawa dotyczy błędu ludzkiego, który wystąpił pomimo testowania oprogramowania i stosowania innych środków technicznych i organizacyjnych. W bezpodstawnej ocenie Prezesa UODO błąd ludzki urósł do rangi umyślnego naruszenia o wysokiej wadze i poważnym charakterze, za które nałożono na Uczelnię nieproporcjonalną administracyjną karę pieniężną z tytułu rzekomego braku zapewnienia odpowiednich środków technicznych i organizacyjnych. Uczelnia nie zgodziła się ze stanowiskiem Prezesa UODO o nałożeniu administracyjnej kary pieniężnej. Podniosła, że decyzja nie może się ostać, bo nawet zastosowanie innych środków technicznych i organizacyjnych nie zapobiegłoby błędowi ludzkiemu, skutkującemu możliwością zaindeksowania danych przez [...], które powodowało potencjalną możliwość nieuprawnionego dostępu do danych, co stało się przedmiotem postępowania przed Prezesem UODO. Wbrew twierdzeniom Prezesa UODO, żaden przepis prawa nie wymaga od administratora sporządzenia dokumentu o nazwie "analiza ryzyka" (uzasadnienie zarzutu nr 1) oraz zastosowania konkretnych środków technicznych i organizacyjnych, takich jak regularne mierzenie i ocenianie środków technicznych i organizacyjnych, w tym udokumentowania stosowania tych środków w polityce testowania. To od administratora zależy bowiem dobór środków technicznych i organizacyjnych. Zmiany wprowadzane w systemach informatycznych były testowane nie tylko przez osobę wprowadzającą zmiany, ale przez drugiego programistę, co Prezes UODO zbagatelizował (uzasadnienie zarzutu nr 2). Samo nałożenie administracyjnej kary pieniężnej było nieproporcjonalne, bo w podobnych sytuacjach, gdy administrator po naruszeniu wprowadził odpowiednie środki techniczne i organizacyjne, Prezes UODO korzystał z uprawnień naprawczych i odstępował od wymierzenia administracyjnej kary pieniężnej (uzasadnienie zarzutu nr 3).

Prezes UODO niezależnie od niezasadności nałożenia administracyjnej kary pieniężnej, błędnie ocenił czynniki wpływające na jej wysokość. Organ, nawet jeśli uznał za zasadne nałożenie ww. kary, powinien uwzględnić, podobnie jak w przypadku zarzutu nr 3, brak dotychczasowych naruszeń ochrony danych przez Uczelnię, które skutkowałyby zastosowaniem uprawnień naprawczych, jednak tego zaniechał, wbrew art. 83 ust. 2 lit. e) RODO.

Prezes UODO błędnie wskazał też czas trwania naruszenia, bo Uczelnia stosowała środki techniczne i organizacyjne od [...] maja 2018r., a możliwość nieuprawnionego dostępu do danych pojawiła się [...] sierpnia 2022r., zaś nieuprawniony dostęp do danych miał miejsce [...] września 2022r., nie [...] maja 2018r. Powyższe skutkowało przyjęciem istotnie dłuższego czasu trwania naruszenia, który stał się czynnikiem obciążającym, wpływającym na wysokość administracyjnej kary pieniężnej.

Prezes UODO niewłaściwie ustalił charakter umyślny naruszenia, gdy było ono następstwem błędu ludzkiego, który w doktrynie i orzecznictwie jest kwalifikowany jako naruszenie nieumyślne, podobnie jak ewentualny brak regularnego testowania i mierzenia środków technicznych i organizacyjnych. Niewłaściwie też uznano, że osoby objęte naruszeniem poniosły hipotetyczną szkodę w związku z naruszeniem. Stanowisko to jest nie do zaakceptowania, ponieważ dostęp do danych mieli jedynie tzw. zaufani odbiorcy tj. studenci, będący członkami społeczności akademickiej Uczelni i złożyli oni oświadczenia o usunięciu danych (o czym zostały poinformowane osoby dotknięte naruszeniem). Ponadto osoby dotknięte naruszeniem, pomimo ich skutecznego poinformowania, nie skierowały roszczeń cywilnoprawnych przeciwko Uczelni. Żadna z tych osób nie tylko nie wykazała poniesienia szkody, ale nawet tego nie zasygnalizowała. Prezes UODO również nie wykazał poniesienia szkody przez ww. osoby, przyjmując, że szkoda ta po prostu występuje.

Prezes UODO niewłaściwe uznał, że charakter danych objętych naruszeniem stanowi czynnik obciążający, wpływający na wysokość administracyjnej kary pieniężnej. Uczelnia nie zgadza się ze stanowiskiem Organu, ponieważ naruszenie nie dotyczyło danych szczególnej kategorii, o których mowa w art. 9 RODO. Z kolei objęcie naruszeniem numerów PESEL nie może świadczyć o wyższym ryzyku naruszenia praw i wolności, ponieważ numery PESEL znajdują się nawet w rejestrach publicznie dostępnych takich jak KRS, a ponadto podając sam numer PESEL nie jest możliwe wzięcie kredytu lub pożyczki.

Prezes UODO nie uwzględnił również, że Uczelnia nie odniosła korzyści finansowej lub nie uniknęła straty finansowej w związku z naruszeniem, co podobnie jak w podobnych sprawach, powinno zostać wzięte pod uwagę jako okoliczność łagodząca.

Uczelnia rozwinęła ww. argumentację w uzasadnieniu skargi.

3. Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji i odniósł się do zawartych w niej zarzutów.

4. Uczelnia, reprezentowana przez radcę prawnego, pismem z 10 lipca 2024r. wskazała, że argumentacja przedstawiona w odpowiedzi na skargę nie jest zasadna i nie zasługuje na uwzględnienie. Uczelnia podtrzymuje zarzuty podniesione w skardze oraz swoją dotychczasową argumentację przedstawioną w skardze. Podstawowym błędem Prezesa UODO było uznanie, że doszło do "naruszenia przepisów RODO", gdy pomimo wystąpienia naruszenia ochrony danych osobowych nie zostały one naruszone. W odpowiedzi na skargę wprowadzono rozróżnienie na naruszenie ochrony danych i przepisów RODO, ale w rzeczywistości uznano, że pojęcia te są tożsame w sprawie. Naruszenie ochrony danych nie musi oznaczać naruszenia tych przepisów. Wynika to z faktu, że do naruszenia ochrony danych może dojść pomimo zastosowania środków bezpieczeństwa, o których mowa w art. 32 RODO - niezależnie od najwyższych starań administratora Uczelni. Unijny ustawodawca w żadnym przepisie nie przesądził, że administrator ma zabezpieczyć w 100% przypadków danych, postanowił jednak zobowiązać administratorów do zachowania należytej staranności. Prezes UODO w 2023 r. przyjął ponad 14 000 zgłoszeń naruszeń ochrony danych i jednocześnie wydał tylko kilka decyzji, na mocy których stwierdził naruszenie przepisów RODO w ww. przypadkach. Potwierdza to tylko stanowisko Uczelni, że Prezes UODO nie uznaje każdego naruszenia ochrony danych za naruszenie przepisów RODO. W innym przypadku należałoby uznać, że Prezes UODO mając świadomość "naruszenia przepisów RODO" nie funkcjonuje poprawnie jako organ władzy publicznej, ponieważ w żaden sposób nie reaguje na stwierdzone choć rzekome "naruszenia".

Uczelnia zaznaczyła, że z odpowiedzi na skargę Prezesa UODO wyłania się nieprawdziwy i krzywdzący obraz Uczelni, jako podmiotu, który w żadnym aspekcie nie wdrożył przepisów Rozporządzenia od 2018r. Powyższe podkreślił organ przez użycie w odpowiedzi na skargę licznych zwrotów, wskazujących na rzekomą umyślność naruszenia: "świadomie lekceważyła", "świadome niezastosowanie się do znanych jej przepisów", "trwający stan niezgodności przetwarzania danych osobowych" przez Uczelnię z RODO.

Zdaniem Strony skarżącej stanowisko Organu przeczy jednak faktom. Uczelnia w toku postępowania przed Organem i Sądem przedstawiła bowiem twierdzenia i dowody, z których wynika, że: a) przeanalizowała ryzyka związane z korzystaniem z modułu [...]; b) dostosowała środki techniczne i organizacyjne do poziomu ryzyka; c) jednym z przyjętych środków technicznych i organizacyjnych było testowanie zmian wprowadzanych do modułu [...] przez minimum dwie osoby, a także dokonywanie audytów oprogramowania, z którego korzystała Uczelnia, w tym zlecenie kompleksowego audytu modułu [...] w 2020 r.

Z powyższego wynika jednoznacznie, że Prezes UODO nałożył na Uczelnię administracyjną karę pieniężną z tytułu wystąpienia błędu ludzkiego, którego wykluczenie, jak powszechnie wiadomo, nie jest możliwe. Dlatego też bezzasadne było nałożenie przez Organ administracyjnej kary pieniężnej, a w szczególności jej podwyższenie poprzez przyjęcie czynników obciążających, w szczególności takich jak: rzekoma umyślność naruszenia, rozmiar szkody oraz czas trwania naruszenia.

II. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

1. Skarga nie ma uzasadnionych podstaw.

2. Sąd na wstępie zauważa, że Sądy administracyjne, zgodnie z art. 1 § 1 i 2 ustawy z 25 lipca 2002r. Prawo o ustroju sądów administracyjnych (Dz.U. z 2023r., poz. 2492 ze zm.) oraz stosownie do art. 3 § 1 ustawy z 30 sierpnia 2002r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024r., poz. 935, ze zm., zwana dalej "P.p.s.a.") sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Sąd administracyjny kontroluje w związku z tym zaskarżoną decyzję w aspekcie jej zgodności z prawem i może ją usunąć z obrotu pranego, jeśli zachodzi jedna z wad wskazanych w art. 145 § 1 pkt 1 lub pkt 2 P.p.s.a. Oznacza to, że w postępowaniu sądowym badaniu podlega prawidłowość zastosowania przez organ administracji publicznej przepisów prawa w odniesieniu do istniejącego w sprawie stanu faktycznego oraz trafność zastosowania wykładni tych przepisów.

Sąd w razie nieuwzględnienia skargi w całości albo w części, na mocy art. 151 P.p.s.a., oddala skargę odpowiednio w całości albo w części.

3. Sąd, badając zatem legalność zaskarżonej decyzji według powyższych kryteriów, uznał, że nie naruszała ona prawa w stopniu mającym istotny wpływ na wynik sprawy.

Istota sprawy sprowadzała się do oceny tego, czy Prezes UODO:

- działał w granicach prawa, wydając zaskarżoną decyzję i przyjmując, że Uczelnia naruszyła zasady integralności i poufności (art. 5 ust. 1 lit. f RODO) i zasadę rozliczalności (art. 5 ust. 2 RODO) przez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych przetwarzanych w ww. Aplikacji oraz przez brak zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w Aplikacji, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia oraz

- zastosował adekwatną administracyjną karę pieniężną do okoliczności faktycznych i zgodną z dyrektywami wymiaru kary określonymi w RODO.

Sąd uznał, że w sporze rację należało przyznać Prezesowi UODO, a nie Uczelni.

W pierwszej kolejności wyjaśnienia wymagało to, że postępowanie administracyjne prowadzone w sprawie przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej, przywracającej stan zgodny z prawem, na podstawie art. 58 ust. 2 RODO. Ocena dokonywana przez Prezesa UODO w każdym przypadku służy zbadaniu, które z uprawnień naprawczych wskazanych w art. 58 ust. 2 RODO należy zastosować do okoliczności faktycznych ustalonych w przeprowadzonym postępowaniu. Ocena ta jest uzasadniona i potrzebna tylko o tyle, o ile doszło do stwierdzenia nieprawidłowości w procesie przetwarzania danych osobowych, wskazano jaki był ich rozmiar i rozważono, który z uprawnień naprawczych należy zastosować.

W ocenie Sądu ustalone w postępowaniu przez Prezesa UODO okoliczności i wiążąca się z nimi argumentacja, pozwalały na zastosowanie, stosownie do art. 58 ust. 2 lit. i) RODO administracyjnej kary pieniężnej, na mocy art. 83 RODO.

Sąd nie znalazł zatem podstaw do zakwestionowania zaskarżonej decyzji, uznając, że jej wydanie było nie tylko uzasadnione, ale i potrzebne. W świetle akt sprawy należało bowiem przyjąć, że Prezes UODO podjął - co nie było sporne w sprawie - niezbędne i wystarczające działania, konieczne do wyjaśnienia stanu faktycznego sprawy. Również zgromadzony w sprawie materiał dowodowy został rozpatrzony stosownie do art. 77 § 1 k.p.a., a oceny wyrażone przez Prezesa UODO uwzględniały reguły wynikającej z art. 80 k.p.a. Organ nadzoru przy formułowaniu ocen w zaskarżonej decyzji nie naruszył bowiem ww. zasady swobodnej oceny dowodów, gdyż wnioski zawarte w zaskarżonej decyzji należy uznać logiczne i spójne oraz opierające się na okolicznościach wynikających ze zgromadzonych w sprawie dowodów. Prezes UODO, o czym świadczy uzasadnienie zaskarżonej decyzji, uwzględnił też podnoszone przez Uczelnię w toku prowadzonego postępowania i kontroli okoliczności.

Zdaniem Sądu, wbrew argumentom Uczelni podnoszonym w skardze oraz w uzupełniającym ją piśmie procesowym z 10 lipca 2024r. (stanowiącym replikę na odpowiedź na skargę), organ nadzorczy stwierdzając w zaskarżonej decyzji naruszenie przez Uczelnię ww. przepisów o ochronie danych osobowych (art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO), miał podstawy do takiego działania oraz zasadnie uznał, że możliwe i konieczne było wymierzenie Uczelni administracyjnej kary pieniężnej w wysokości 35.000 zł, a nie jedynie postulowanego przez Uczelnię upomnienia.

Sąd podziela stanowisko organu prezentowane w zaskarżonej decyzji, że Uczelnia w toku postępowania administracyjnego, poprzedzającego wydanie zaskarżonej decyzji, nie wykazała, że wdrożyła odpowiednie środki techniczne i organizacyjny, zapewniające bezpieczeństwo danych osobowych przetwarzanych w ww. Aplikacji oraz, że zapewniła regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w Aplikacji, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia. Rację miał także Prezes UODO, wskazując, że Uczelnia nie podjęła tychże działań zarówno po wprowadzeniu w życie ww. przepisów RODO (25 maja 2018r.), jak również przed wystąpieniem incydentu (20 sierpnia 2022r.) - spowodowanego błędem ludzkim - naruszenia poufności danych osobowych 1461 osób fizycznych (studentów, absolwentów i byłych studentów - skreślonych z listy studentów – Uczelni) w związku z możliwością uzyskania przez osoby trzecie nieuprawnionego dostępu do przetwarzanych w ten sposób danych osobowych zgromadzonych w bazie danych Aplikacji. W sprawie nie było kwestionowane, że incydent doprowadził do zaindeksowania niezabezpieczonych danych (1461 studentów, byłych studentów i absolwentów Uczelni) przez wyszukiwarkę internetową [...], stwarzając możliwość niezgodnego z prawem przetwarzania ich przez osoby trzecie. Nie było również kwestionowane, że naruszenie danych osobowych objęło: imię, nazwisko, imiona rodziców, data urodzenia, płeć, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwisko rodowe matki, numer telefonu, login, numer albumu, informacje o dowodzie osobistym lub paszporcie (seria i numer dokumentu, kraj wydania, organ wydający, data wydania, data ważności), obywatelstwo, narodowość, fakt posiadania Karty Polaka, tryb, poziom i kierunek studiów, poziom znajomości języka obcego, średnia ocen, liczba uzyskanych punktów. Tym samym Sąd podzielił zapatrywanie organu, że ww. incydent miał poważny charakter i znaczną wagę. Nie można bowiem bagatelizować ujawnienia ww. danych osobowych 1461 studentów, byłych studentów i absolwentów Uczelni, które trwało od 20 sierpnia 2022r. do 15 września 2022r., nawet, gdy wykrył nieprawidłowość jeden ze studentów Uczelni.

Zdaniem Sądu – wbrew argumentacji Uczelni – podnoszonej w skardze i w replice na odpowiedź na skargę, organ nie wskazywał, że to błąd ludzki, pomimo że skutkował naruszeniem ochrony danych osobowych, nie przesądzał sam w sobie o naruszeniu przepisów, za które organ nadzorczy nałożył na Uczelnię administracyjną karę pieniężną. W ocenie Prezesa UODO to właśnie trwający stan niezgodności przetwarzania danych osobowych przez Uczelnię z RODO doprowadził do powstania okoliczności, w których ryzyko wystąpienia błędu zmaterializowało się finalnie w postaci tego incydentu.

Zdaniem Sądu Prezes UODO prawidłowo podniósł w uzasadnieniu zaskarżonej decyzji, że naruszenie przez Uczelnię przepisów RODO nie wynikało - z braku zapewnienia przez nią środków niezawodnych, ale z niewdrożenia środków odpowiednich (s. 17 zaskarżonej decyzji). Innymi słowy, zgodnie ze stanowiskiem Prezesa UODO, Uczelnia w związku z niedopełnieniem obowiązków wynikających z RODO - przez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych 1461 osób. przetwarzanych w ww. Aplikacji oraz ochronę praw osób, których dane te dotyczą a także przez brak regularnego testowania, mierzenia i oceniania skuteczności stosowanych zabezpieczeń naruszyła wskazane w zaskarżonej decyzji przepisy RODO.

Prawidłowo też przyjął Prezes UODO w uzasadnieniu zaskarżonej decyzji, że to Uczelnia ma obowiązek wykazać, że przestrzegała zasad dotyczących przetwarzania danych osobowych określonych w art. 5 ust. 1 RODO. Rację miał również organ nadzoru, że z okoliczności podnoszonych przez samą Uczelnię wynikało, że przed wystąpieniem ww. incydentu Uczelnia nie przeanalizowała ryzyka związanego z przetwarzaniem danych osobowych za pośrednictwem ww. Aplikacji i nie dobrała odpowiednich środków, w celu zapewnienia stopnia bezpieczeństwa odpowiadającemu temu ryzyku osiągnięcia stanu zgodności z przepisami RODO, a następnie - zgodnie z zasadą rozliczalności – nie wykazała w postępowaniu przed Prezesem UODO realizacji ww. zadań. Nie przedstawiła bowiem dowodów, np. stosownej dokumentacji potwierdzającej podjęcie przez administratora należytych działań w tym zakresie. Na żadnym etapie postępowania prowadzonego przez organ nadzorczy Uczelnia nie była bowiem zdolna wykazać, że obowiązki te realizowała.

Rację miał także Prezes UODO, że szacowanie przez administratorów ryzyka wynikającego z przetwarzania danych osobowych oraz konieczność jego minimalizacji stanowi podstawę systemu ochrony danych, ukształtowanego w przepisach RODO, na co zwraca się uwagę m.in. w motywie 74 Preambuły do RODO, wskazując: "Należy nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych".

Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych takie, jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Prezes UODO w uzasadnieniu zaskarżonej decyzji – wbrew argumentacji prezentowanej przez Uczelnię - nie odwoływał się do konkretnego dokumentu tylko do braku przeprowadzenia analizy ryzyka, która zakładała możliwość przypadkowego ujawnienia danych zgromadzonych w bazie danych ww. Aplikacji, skutkującego naruszeniem poufności tychże danych. Warto też zauważyć, że jak podniesiono w zaskarżonej decyzji Uczelnia zapytana w postępowaniu, czy przed wystąpieniem naruszenia ochrony danych osobowych przeprowadzała analizę ryzyka dla operacji przetwarzania danych, w ramach których doszło do incydentu, poinformowała jedynie, że "przed wystąpieniem naruszenia analiza ryzyka nie była prowadzona w sposób sformalizowany". Należy w związku z tym zaznaczyć, że uprawnione było stanowisko Prezesa UODO, że ze względu na nieprzeprowadzenie analizy ryzyka w sposób sformalizowany, a więc udokumentowany lub w inny sposób utrwalony oraz ujęty w postaci ściśle określonych, precyzyjnych formuł wyjaśniających i porządkujących przebieg tego procesu, to Uczelnia nie była zdolna wykazać - przed organem nadzoru - że wdrażając środki techniczne i organizacyjne, mające zapewnić zgodność z RODO przetwarzania danych osobowych ww. 1461 osób oraz zabezpieczenie przetwarzanych danych osobowych, a także oceniając, czy zagwarantowany w ten sposób stopień bezpieczeństwa danych osobowych jest odpowiedni, rzeczywiście uwzględniła ryzyko wiążące się z tym przetwarzaniem. W tym kontekście uprawnione było przyjęcie przez Prezesa UODO, że samo zastosowanie przez administratora lub podmiot przetwarzający jakiegokolwiek dowolnego środka bezpieczeństwa danych osobowych nie dowodzi, że jego dobór i wdrożenie poprzedzone zostało analizą ryzyka oraz oceną adekwatności tego środka wobec stwierdzonego ryzyka.

Warto też wskazać, że Uczelnia obecnie posiada środki pozwalające ograniczyć prawdopodobieństwo wystąpienia naruszenia - zabezpieczenia informatyczne, techniczne i organizacyjne. Wynika to ze s. 10-11 zaskarżonej decyzji, m.in. w postaci wyizolowania serwisu od sieci publicznej lub udostępniania za pomocą dodatkowego mechanizmu uwierzytelnienia np.VPN, izolację modułów, ponownego przeprowadzenia audytu bezpieczeństwa kodu aplikacji, wprowadzenia dodatkowej warstwy weryfikującej jakości kodu podczas prac programistycznych (codereview), zastosowanie blokad robots.txt, żeby przeciwdziałać indeksowaniu przez roboty. Sąd nie podziela w związku z tym stanowiska Uczelni, że przeprowadzenie analizy ryzyka nie było konieczne, że była to czynność fakultatywna, a samo wdrożenia środka organizacyjnego, jakim jest "Polityka bezpieczeństwa danych osobowych" samo w sobie przesądzało o dokonaniu przez Uczelnię takiej analizy. Dokument te, jakkolwiek potwierdza, że Uczelnia rzeczywiście wdrożyła pewne środki w kierunku zapewnienia zgodności przetwarzania z RODO, tym niemniej były – co wykazał Prezes UODO w uzasadnieniu zaskarżonej decyzji niewystarczające, bo środki podjęte przez Uczelnię okazały się niewystarczające. Samo Uczelnia przyznała to w toku postępowania, że "aktualnie posiada środki pozwalające ograniczyć prawdopodobieństwo ich wystąpienia - zabezpieczenia informatyczne, techniczne i organizacyjne. Natomiast trzeba podkreślić fakt, że dla części zidentyfikowanych zagrożeń i podatności istniejące zabezpieczenia nie są jeszcze wystarczające lub wymagają zabezpieczeń w celu ograniczenia prawdopodobieństwa ich materializacji. (...) Stwierdzono 57 ryzyk, które wymagają przygotowania planów postępowania". Uczelnia przyznała więc, że przetwarzając dane osobowe 1461 osób w Aplikacji, nie dysponowała więc odpowiednimi zabezpieczeniami. W tym kontekście Sąd nie znalazł podstaw do zakwestionowania stanowiska Prezesa UODO, że w świetle obowiązujących przepisów RODO – wskazanych w uzasadnieniu zaskarżonej decyzji - to administratora obciążało szacowanie ryzyka wynikającego z przetwarzania danych osobowych. Administrator był też obowiązany do minimalizacji tegoż ryzyka, bo te wszystkie działania administratora – Uczelni - stanowią podstawę systemu ochrony danych osobowych przetwarzanych, ich poufności. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać w postępowaniu przed organem nadzoru, czy czynności przetwarzania danych osobowych dużej liczby osób są zgodne z RODO i czy są skuteczne chronione. Warto wskazać, że w wyniku incydentu opisanego przez Uczelnie w zgłoszeniu, które następnie uzupełniono, wskazano, że doszło do zaindeksowania w przeglądarce [...] danych osobowych 1461 osób fizycznych, a zakres ujawnionych danych był bardzo duży: imię, drugie imię, nazwisko, imiona rodziców, datę urodzenia, płeć, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwisko rodowe matki, numer telefonu, login, numer albumu, informacje o dowodzie osobistym lub paszporcie (seria i numer dokumentu, kraj wydania, organ wydający, data wydania, data ważności), obywatelstwo, narodowość, fakt posiadania Karty Polaka, tryb, poziom i kierunek studiów, poziom znajomości języka, średnią ocen oraz liczbę punktów.

Zdaniem Sądu nie sposób więc kwestionować stanowiska Prezesa UODO w kontekście tych okoliczności, że ww. środki ochrony ww. danych osobowych wielu osób powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. Wynika to zarówno z motywu 74, jak i 83 preambuły RODO. Administrator lub podmiot przetwarzający powinni w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z RODO danych osobowych oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki - minimalizujące to ryzyko, np. szyfrowanie. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność ww. danych, oraz uwzględnić stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych - takie jak przypadkowe (Uczelnia eksponuje, że ujawnienie ww. danych wielu osób było to wynikiem błędu ludzkiego) lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Trafnie też Prezes UODO przyjął, że w stanie faktycznym sprawy przeprowadzenie takiej analizy było szczególnie istotne, z uwagi na specyfikę działania systemów informatycznych, biorąc pod uwagę w szczególności niezwykle szeroki zakres danych osobowych przetwarzanych za pośrednictwem ww. Aplikacji, a także liczbę osób, których dane dotyczą. Okoliczności te, z uwagi na konieczność przyjęcia stosownych rozwiązań w zakresie przetwarzania danych osobowych, powinny spowodować podjęcie przez Uczelnię szeregu dodatkowych działań zapewniających bezpieczeństwo danych osobowych, a punktem wyjścia do ich określenia powinno być, co ponownie należy zaakcentować, przeprowadzenie analizy ryzyka, która zakłada możliwość przypadkowego ujawnienia danych zgromadzonych w bazie danych ww. Aplikacji, skutkującego naruszeniem ich poufności.

Sąd nie znalazł podstaw do zakwestionowania ww. stanowiska Prezesa UODO w kontekście powołanej przez organ nadzoru zasady rozliczalności, którą wyrażono w art. 5 ust. 2 RODO oraz zasady integralności i poufności danych osobowych przetwarzanych, która wynika z art. 5 ust. 1 lit. f) RODO. Skoro bowiem dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, to odpowiedzialność za naruszenie tych zasad ponosi administrator – Uczelnia. Zadaniem Prezesa UODO nie jest wskazywanie administratorom – w tym Uczelni - jakie konkretne środki techniczne i organizacyjne powinny być wdrożone, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze. Zadaniem organu nadzorczego jest natomiast weryfikacja w postępowaniu administracyjnym, przed wydaniem zaskarżonej decyzji - adekwatności tych środków, którą należy przeprowadzić w oparciu o przedłożone przez administratora wyjaśnienia oraz dokumenty, takie jak np. analiza ryzyka. Rolą Prezesa UODO nie jest zatem wykazywanie, że określone rozwiązania techniczne są odpowiednie, a co za tym idzie wprowadzenie tych środków daje gwarancję, że przetwarzanie danych odbywa się zgodnie z prawem. RODO nakłada ten obowiązek na administratorów, którzy po przeprowadzeniu analizy ryzyka - stosownie do art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO - wdrażają odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać.

Samo skonstruowanie "Polityki bezpieczeństwa danych osobowych", która wraz z instrukcjami stanowi załącznik nr 31 do zarządzenia Rektora Uczelni z 25 maja 2018r., a w szczególności instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, nie może być uznane za przeprowadzenie analizy ryzyka wiążącego się z przetwarzaniem danych osobowych w systemach informatycznych. W ww. przepisach RODO mówi się bowiem o potrzebie stosowania przez administratora takich środków, które będą mogły zminimalizować ryzyko wystąpienia naruszeń ochrony danych osobowych.

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 26 sierpnia 2020r. o sygn. akt II SA/Wa 2826/19 trafnie stwierdził, że czynności o charakterze techniczno-organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka czy charakteru chronionych danych osobowych (LEX nr 3067899). Warto podkreślić, że skoro Uczelnia przewidziała w załączniku nr 2 do ww. Polityki bezpieczeństwa danych osobowych, że za realizację przestrzegania przepisów prawnych oraz zapewnienie odpowiednich środków technicznych i organizacyjnych dotyczących przetwarzania danych osobowych w poszczególnych obszarach funkcjonowania Uczelni odpowiedzialne są osoby kierujące jednostkami organizacyjnymi, zgodnie ze strukturą organizacyjną Uczelni (§ 5 ust. 1), a ponadto osoby te są odpowiedzialne za przeprowadzenie, na żądanie Administratora, analiz ryzyka ochrony danych osobowych oraz przedstawianie na ich podstawie propozycji w zakresie stosowania środków technicznych i przedsięwzięć organizacyjnych w celu zapewnienia skutecznej ochrony przetwarzania danych (§ 5 ust. 2 pkt 7), to należało przyjąć, że Uczelnia zdawała sobie sprawę, że istnienie "Polityki bezpieczeństwa danych osobowych" nie świadczy samo w sobie o dokonaniu takiej analizy. Ww. zapisy wskazują, że Uczelnia miała świadomość spoczywających na niej obowiązków, polegających na wdrożeniu odpowiednich środków technicznych i organizacyjnych, w celu zapewnienia zgodności przetwarzania danych osobowych z RODO (w tym zapewnienia bezpieczeństwa przetwarzanych danych osobowych) oraz poprzedzeniu doboru ww. środków analizą ryzyka wiążącego się z przetwarzaniem. W toku postępowania przed organem nadzoru Uczelnia nie wykazała ponadto, aby przeprowadziła bądź zleciła podmiotom zewnętrznym wykonanie innych audytów niż ten, zakończony raportem z kwietnia 2020r., którego przedmiotem była "analiza kodu aplikacji webowej Rejestrator S[...]". W związku z tym brak przedstawienia przez Uczelnię Prezesowi UODO dowodu, że przegląd ww. Aplikacji był dokonywany regularnie, tj. powtarzający się w ściśle określonych lub jednakowych odstępach czasu i w sposób kompleksowy uwzględniał ocenę skuteczności środków mających zapewnić ochronę przetwarzanych za jej pośrednictwem danych osobowych, wskazuje na prawidłowość działania Prezesa UODO.

Sąd w związku z tym nie znalazł podstaw do uznania za zasadny zarzutu naruszenia art. 32 ust. 1 RODO w związku z art. 24 ust. 1 i art. 25 ust. 1 RODO. Sąd wskazuje, że jakkolwiek Uczelnia podnosiła w skardze, że nie zgadza się ze stanowiskiem Prezesa UODO, że konieczne było regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych, podkreślając, że w sprawie o incydencie zadecydował błąd ludzki, którego przewidzieć nie sposób, to należało podnieść, że Uczelnia dokonuje w ten sposób wybiórczej wykładni przepisów RODO, pomijając w szczególności, że miała obowiązek przy projektowaniu zmian, które spowodowały ujawnienie bardzo dużej ilości danych osobowych dużej ilości osób fizycznych chronić te dane, stosownie do art. 25 RODO. Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania danych osobowych jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego, wynikającym z art. 32 ust. 1 lit. d RODO. Z materiału dowodowego sprawy wynika natomiast, że podjęte przez Uczelnie środki były niewystraczające i to nie tylko podczas incydentu, ale również po wejściu w życie przepisów RODO (Aplikacja funkcjonowała od ok. 3 lat w chwili wejścia w życie RODO). Tym samym nie sposób zakwestionować stanowiska organu, że Uczelnia przez ponad 4 lata obowiązywania przepisów RODO wykorzystywała, w celu przetwarzania danych osobowych, system informatyczny, nie dysponując jednocześnie zorganizowaną polityką walidacji i weryfikacji jego działania (w tym polityką zarządzania zmianą). Dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków było więc niewystarczające, tak jak prawidłowo przyjął Prezes UODO w uzasadnieniu zaskarżonej decyzji. Naruszenie ochrony danych osobowych 1461 osób fizycznych nie przesądziło samo w sobie o stwierdzeniu przez organ nadzorczy naruszenia przepisów RODO, lecz stanowiło impuls do zbadania przez Prezesa UODO czy Uczelnia w związku z korzystaniem z ww. Aplikacji stosowała odpowiednie zabezpieczenie, przewidziane w przepisach RODO, czy też w tym zakresie naruszyła obowiązujące przepisy RODO, przez np. stosowanie nieodpowiednich zabezpieczeń.

Sąd w kontekście powyższych rozważań, uznając za prawidłowe stanowisko Prezesa UODO o braku stosowania przez Uczelnię dostatecznych i adekwatnych środków przewidzianych i wymaganych przepisami RODO w odniesieniu do Aplikacji, nie znalazł podstaw do uznania za zasadne pozostałych zarzutów skargi. Wprawdzie Uczelnia zarzuca organowi, że niewłaściwie zastosował w sprawie art. 83 ust. 1 RODO, nakładając nieproporcjonalną administracyjną karę pieniężną za stwierdzone naruszenie, ale zdaniem Sądu w uzasadnieniu zaskarżonej decyzji w sposób dostateczny i prawidłowy wskazano co leżało u podstaw takiego stanowiska. Należy podkreślić, że podnoszone przez Uczelnie w skardze potencjalne podobieństwo pewnych elementów stanu faktycznego do tych, stwierdzonych przy okazji innego postępowania administracyjnego prowadzonego przed Prezesem UODO, nie przesądza o nieprawidłowości w zastosowaniu i wysokości administracyjnej kary pieniężnej w rozpoznawanej sprawie. Organ, decydując bowiem o nałożeniu administracyjnej kary pieniężnej - stosownie do art. 83 ust. 2 lit. a) - k) RODO – wziął pod uwagę wszystkie istotne w sprawie okoliczności, które wskazywały na konieczność zastosowania wobec Uczelni ww. sankcji, uwzględniając przede wszystkim dyrektywę skuteczności, proporcjonalności i odstraszenia. Prezes UODO odwołał się bowiem do poważnego charakteru naruszenia i jego znacznej wagi, wziął pod uwagę czas trwania naruszenia danych zawartych w w. Aplikacji, z której Uczelnia korzystała 3 lata przed wprowadzeniem RODO, charakter i zakres naruszenia oraz cel przetwarzania danych osobowych w ww. Aplikacji, jak również liczbę osób, których dane dotyczą (1461 studentów, byłych studentów i absolwentów Uczelni), kategorie danych osobowych (imię, drugie imię, nazwisko, imiona rodziców, datę urodzenia, płeć, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, nazwisko rodowe matki, numer telefonu, login, numer albumu, informacje o dowodzie osobistym lub paszporcie (seria i numer dokumentu, kraj wydania, organ wydający, data wydania, data ważności), obywatelstwo, narodowość, fakt posiadania Karty Polaka, tryb, poziom i kierunek studiów, poziom znajomości języka, średnią ocen oraz liczbę punktów) objętych naruszeniem (indywidualizujące ww. sankcję okoliczności). W uzasadnieniu zaskarżonej decyzji przeanalizowano także czynniki obciążające i łagodzące, które w świetle ww. przepisu art. 83 RODO, wpływają na wymiar administracyjnej kary pieniężnej. Prezes UODO oprócz wskazania w zaskarżonej decyzji, że Uczelnia podała w zgłoszeniu, że naruszenie ochrony danych osobowych, utrzymywało się przez 27 dni (s. 9 zaskarżonej decyzji), nakładając administracyjną karę pieniężną i ustalając jej wysokość, zgodnie z art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a) RODO podał, że wziął pod uwagę "długi czas trwania naruszenia przepisów RODO - ponad 4 lata, bo tyle na Uczelni działała Aplikacji, co do której wcześniej organ wskazał, że Uczelnia nie wykazała, że wprowadziła dostateczne i adekwatne środki ochrony danych osobowych. Jednocześnie Prezes UODO, odnosząc się do okoliczności sprawy, wskazał przesłanki, które zostały uznane za neutralne, które ani nie obciążają, ani nie łagodzą wymiaru ww. kary pieniężnej.

W tym kontekście uzasadnienie zaskarżonej decyzji nie budzi wątpliwości oraz wskazuje, jakimi przesłankami kierował się organ nadzoru, stosując administracyjną karę pieniężnej w wysokości określonej w zaskarżonej decyzji. Nie można zatem uznać, wbrew stanowisku prezentowanemu w skardze, że organ nadzorczy wyraził niespójne czy wewnętrznie sprzeczne stanowisko. Prezes UODO wyraźnie wskazał także w sentencji za naruszenie, jakich przepisów odpowiedzialna jest Uczelnia i dlaczego konieczne jest nałożenie administracyjnej kary pieniężnej. Prezes UODO powołał się też na mające zastosowanie w sprawie przepisy RODO oraz wskazał, że karę nałożono w związku z naruszenie art. 5 ust. 1 lit. f) i ust. 2 RODO oraz art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO. Skoro nałożona na Uczelnię łącznie administracyjna kara pieniężna za naruszenie wszystkich powyższych przepisów wynosiła 35.000 zł, to należało uznać, że nie przekraczała ona wysokości kary za najpoważniejsze ze stwierdzonych naruszeń i była zgodna z art. 83 ust. 3, ust. 4 lit. a), ust. 5 lit. a) RODO, jak również z art. 102 ust. 2 u.o.d.o.

Zgodnie z art. 83 ust. 4 lit. a) RODO naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10000000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czy zastosowanie ma kwota wyższa.

Zgodnie z art. 83 ust. 5 lit. a) RODO naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Art. 83 ust. 3 RODO stanowi natomiast, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

Prezes UODO, stosownie do art. 102 ust. 1 u.o.d.o. może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100000 PLN, na:

1) jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz.U. z 2023 r. poz. 1270);

2) instytut badawczy;

3) Narodowy Bank Polski.

Z art. 102 ust. 2 u.o.d.o. wynika, że Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 10000 PLN na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 ustawy o finansach publicznych.

Zgodnie zaś z art. 102 ust. 3 u.o.d.o. administracyjne kary pieniężne, o których mowa w ust. 1 i 2, organ nadzorczy nakłada na podstawie i na warunkach określonych w art. 83 RODO.

Zdaniem Sądu w okolicznościach faktycznych sprawy nie można też zakwestionowania stanowiska Prezesa UODO o umyślnym naruszeniu przez Uczelnię przepisów RODO, choć w skardze i w piśmie procesowy Uczelnia uwypuklała wystąpienie incydentu spowodowanego błędem ludzkim, który doprowadził do ujawnienia danych osobowych 1461 osób przetwarzanych w ww. Aplikacji, który należało potraktować, jako nieumyślne naruszenie danych osobowych. Za prawidłowością stanowiska wyrażonego przez organ nadzoru przemawia m.in. świadomość spoczywających na Uczelni obowiązków, polegających na wdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności przetwarzanych w ww. Aplikacji danych osobowych z odpowiednimi przepisami RODO (w tym zapewnienia bezpieczeństwa przetwarzanych danych osobowych) oraz poprzedzeniu analizą ryzyka doboru ww. środków wiążącego się z przetwarzaniem danych w ww. Aplikacji przez wiele lat (byli studenci, studenci, absolwenci). Od błędu ludzkiego popełnionego przez pracownika Uczelni - popełnionego mimo jasno określonego przez administratora ryzyka i stosowania odpowiednich zabezpieczeń należy odróżnić błąd ludzki popełniony przy braku obowiązujących procedur i braku rzeczywistej kontroli administratora nad tak wrażliwym obszarem przetwarzania. Skoro Uczelnia, mimo świadomości potrzeby wykonywania przeglądów i konserwacji systemów informatycznych, służących do ochrony danych osobowych, mających na celu m.in. sprawdzanie działania technicznych zabezpieczeń tych systemów, w toku postępowania przez Prezesem UODO nie wykazała, że podejmowała stosowne działania w kierunku zagwarantowania realizacji przyjętych regulacji, to należało uznać, że zaskarżona decyzja była prawidłowa. Nienależyte wzięcie pod rozwagę przez Uczelnię nakazów wynikających z przepisów art. 5 ust. 1 lit. f) i ust 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO w kontekście korzystania z ww. Aplikacji, co do której nie przewidziano adekwatnych i niezbędnych środków ochrony poufności danych pozwalających na stwierdzenie, że przed wystąpieniem zdarzenie analizowano ryzyka bezpieczeństwa danych, mogło być uznane przez Prezesa UODO w okolicznościach faktycznych sprawy za umyślne naruszanie ww. danych.

Zdaniem Sądu, wbrew stanowisku prezentowanemu przez Uczelnię w skardze, prawidłowe było odwołanie się przez Prezesa UODO w zaskarżonej decyzji do szkody niematerialnej poniesionej przez osoby, których dane osobowe ujawnione w ww. Aplikacji zostały zaindeksowane przez wyszukiwarkę [...]. Stanowisko organu potwierdza zarówno judykatura, jak i wytyczne 04/2022, dotyczące obliczania administracyjnych kar pieniężnych na podstawie RODO. Organ powinien zatem rozważyć przy określaniu rozmiaru szkody poniesionej przez osoby fizyczne, co miało miejsce w sprawie, czy doszło do poniesienia szkody lub prawdopodobnej szkody, wziąć pod uwagę liczby zaangażowanych osób, których dane dotyczą i czy była ona wysoka, czy marginalna. Zgodnie z motywem 75 RODO rozmiar poniesionej szkody odnosi się do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych. Ocena szkody powinna w każdym przypadku ograniczać się do tego, co jest funkcjonalnie niezbędne do uzyskania prawidłowej oceny poziomu powagi naruszenia (...), a jej zakres nie powinien pokrywać się z działaniami organów sądowych, których zadaniem jest ustalenie poszczególnych form indywidualnie odniesionej szkody". Z motywu 146 preambuły do RODO wynika ponadto, że pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele RODO. Z orzeczenia Wojewódzkiego Sądu Administracyjnego w Warszawie z 21 czerwca 2023r. o sygn. akt II SA/Wa 150/23 wynika natomiast, że za szkodę niematerialną może być uznana obawa utraty bezpieczeństwa ochrony danych osobowych, związana z wyciekiem danych.

Sąd stanowisko to popiera i stwierdza, że skoro sama obawa przed utratą kontroli nad danymi osobowymi, wynikająca z ujawnienia ich osobom nieuprawnionym, stanowi szkodę niematerialną (krzywdę), to prawidłowe było odwołanie się przez Prezesa UODO w uzasadnieniu zaskarżonej decyzji do tej okoliczności, jako mającej wpływ na wysokość administracyjnej kary pieniężnej. Nie sposób w tym kontekście za zasadne uznać zarzutów naruszenia art. 83 ust. 1 RODO w zw. z art. 83 ust. 2 lit. a) RODO. Prezes UODO uwzględnił ponadto, jako okoliczność wpływającą łagodząco na wymiar ww. administracyjnej kary pieniężnej podjęcia przez Uczelnię działań, w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą. Z okoliczności faktycznych ujawnionych przez Uczelnię wynikało bowiem, że umożliwiła osobom dotkniętym naruszeniem skorzystanie z abonamentu na alerty BIK, oraz zapewniła pokrycie kosztów wymiany dokumentów i wykonania aktualnej fotografii do dokumentu. Z alertów BIK skorzystało ponad 700 studentów. Ponadto 57 osób wymieniło dokumenty na koszt Uczelni (6726 zł). Tym samym liczba ww. osób wskazuje na istnienie obawy, która mogłaby stanowić szkodę. Podjęcie przez Uczelnię działań w celu ograniczenia szkód, jak również skorzystanie przez ww. osoby z zaproponowanych przez Uczelnię sposobów na zaradzenie skutkom incydentu ujawnienia ich danych osobowych w sieci Internet i zwiększenie stopnia bezpieczeństwa danych osobowych wskazuje, że prawidłowe było stanowisko organu nadzoru, co do wysokości wymierzonej Uczelni ww. kary.

Prezes UODO w uzasadnieniu zaskarżonej decyzji uwzględnił też, jako okoliczność łagodzącą wymiar nałożonej administracyjnej kary pieniężnej, złożenie oświadczeń przez studentów, którzy ujawnili naruszenie, o usunięciu danych osobowych oraz ich niewykorzystywaniu przez nieuprawnionych odbiorców, uznając, że wskazywało to współpracę Uczelni z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, zgodnie z art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. f) RODO. Tym samym zarzutu zawarte w skardze, co do zaufanych odbiorców nie mogły być uznane za zasadne.

Sąd wskazuje ponadto, że prawidłowe było uwzględnienie przez Organ nadzorczy, jako okoliczności obciążającej ujawnienia szerokiego zakresu danych, do którego doszło w wyniku naruszenia ochrony danych osobowych. Trafnie też przyjął Prezes UODO, że ujawienie ww. danych wiązało się to z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych dotkniętych tym incydentem, gdyż doszło do ujawnienia danych osobowych o szczególnym charakterze i wymagającą szczególnej ochrony - numery ewidencyjne PESEL w połączeniu z pozostałymi kategoriami danych. W judykaturze wątpliwości nie budzi, że ujawnienie numeru PESEL, wskazuje na wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Stwierdzić też należy, że im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większa wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych.

Zdaniem Sądu, wbrew zarzutom skargi, Organ nadzorczy prawidłowo zastosował art. 83 ust. 1 RODO w związku z art. 83 ust. 2 lit. k) RODO, przyjmując, że brak osiągnięcia przez Uczelnię bezpośrednio lub pośrednio korzyści finansowych wynikających z naruszenia przepisów RODO stanowi okoliczność neutralną i nie wpływa ani obciążająco, ani łagodząco na wymiar orzeczonej administracyjnej kary pieniężnej. Prezes UODO nie odnotował też innych ekstraordynaryjnych okoliczności społeczno-gospodarczych, które uzasadniałyby przyjęcie takiego punktu widzenia.

4. Sąd, mając powyższe okoliczności na względzie, uznał, że zasadne jest oddalenie skargi, na mocy art. 151 P.p.s.a.