drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Oddalono skargę, II SA/Wa 1384/21 - Wyrok WSA w Warszawie z 2022-01-26, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

II SA/Wa 1384/21 - Wyrok WSA w Warszawie

Data orzeczenia
2022-01-26 orzeczenie nieprawomocne
Data wpływu
2021-04-13
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Tomasz Szmydt /przewodniczący sprawozdawca/
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 329 art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz, Sędzia WSA Tomasz Szmydt (spr.), Sędzia WSA Danuta Kania, Protokolant sekretarz sądowy Marcin Rusinowicz-Borkowski po rozpoznaniu na rozprawie w dniu 14 stycznia 2022 r. sprawy ze skargi Krajowej Szkoły [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2021 r. nr [...] w przedmiocie nałożenia kary pieniężnej za naruszenie przepisów o ochronie danych osobowych oddala skargę.

Uzasadnienie

KSSiP z siedzibą w K. złożyła skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2021 r., nr [...], w przedmiocie stwierdzenia naruszenia przez Krajową Szkołę Sądownictwa i Prokuratury przepisów art. 5 ust. 1 lit f), art. 25 ust. 1, art. 28 ust. 3, art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 216/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu w takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.119 z o4.05.2016, str. 1 ze zm. - dalej jako "RODO" bądź "rozporządzenie 2016/679") oraz nałożenia kary administracyjnej w wysokości 100.000 zł (sto tysięcy złotych).

W dniu 9 kwietnia 2020 r. KSSiP (zwana dalej także: "KSSiP" lub "administratorem") zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych (zwanym dalej także: "Prezesem UODO") naruszenie ochrony danych osobowych. Zgłoszenie zostało uzupełnione przez KSSiP dnia 16 kwietnia 2020 r. W zgłoszeniu naruszenia wskazano, że dnia 7 kwietnia 2020 r. administrator został powiadomiony przez Komendę Główną Policji o pojawieniu się w internecie danych osobowych związanych z domeną kssip.gov.pl. Tego samego dnia administrator stwierdził naruszenie ochrony danych osobowych. Po zapoznaniu się z rodzajem danych ustalił, że są to dane z bazy danych witryny szkolenia.kssip.gov.pl powstałe [...] lutego 2020 r. w trakcie testowej migracji do nowej platformy szkoleniowej ekssip.kssip.gov.pl. Naruszenie dotyczyło danych osobowych 50 283 osób.

Kategorie danych, których dotyczy naruszenie, zostały ostatecznie wskazane w zgłoszeniu uzupełniającym i obejmują: imię i nazwisko, adres e-mail, nazwa użytkownika, numer telefonu, jednostka, wydział, adres jednostki, miejscowość, dane o charakterze technicznym: adres IP, data pierwszego i ostatniego logowania, hasło (w postaci niejawnej). Administrator poinformował, że prowadzone są czynności analityczne w celu ustalenia, czy naruszenie dotyczyło również numerów ewidencyjnych PESEL. W celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, administrator wysłał zgłoszenie do administracji forum publikującego odnośnik do bazy danych z żądaniem zablokowania informacji oraz do administracji portalu udostępniającego plik z danymi o zablokowanie możliwości pobierania. Ponadto usunął wszystkie hasła na nowej platformie i umieścił informację o konieczności zmiany hasła przy logowaniu do nowej platformy. Stwierdzając wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, rozpoczął informowanie wszystkich osób, których naruszenie dotyczy, o zaistniałej sytuacji (drogą mailową). W zgłoszeniu uzupełniającym KSSiP przekazała treść zawiadomienia i oświadczyła, że zawiadomienie to skierowano do 50 283 osób, których dane dotyczą.

W piśmie z dnia 27 kwietnia 2020 r. administrator doprecyzował kategorie podmiotów danych, którą pierwotnie określił we wstępnym zgłoszeniu naruszenia (pracownicy Ministerstwa Sprawiedliwości). Ponadto, KSSiP wskazała, że naruszenie dotyczy użytkowników podlegających szkoleniu ustawicznemu, których dane osobowe zgromadzono na Platformie Szkoleniowej KSSiP. Osoby te wykonują zawody i piastują stanowiska określone w art. 2 ust. 1 pkt 2 i pkt 3 ustawy z dnia 23 stycznia 2009 r. o Krajowej Szkole Sądownictwa i Prokuratury (Dz. U. z 2020 r. poz. 1366 ze zm.), tj. sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych, asystentów sędziów, asystentów prokuratorów, kuratorów zawodowych oraz urzędników sądów i prokuratury. Na platformie szkoleniowej KSSiP znajdowały się również konta części wykładowców prowadzących szkolenia ustawiczne, nielicznych aplikantów KSSiP oraz osób, których konta aktywowano na podstawie indywidualnych decyzji. Do tej ostatniej kategorii osób należą pracownicy resortu Ministerstwa Sprawiedliwości, którzy za pomocą kont m.in. nadzorowali realizację projektów finansowanych przez to ministerstwo, weryfikując np. zamieszczenie określonych informacji lub materiałów szkoleniowych.

Pismem z 22 czerwca 2020 r. Prezes Urzędu Ochrony Danych Osobowych zawiadomił Krajową Szkołę Sądownictwa i Prokuratury o wszczęciu postępowania administracyjnego, którego przedmiotem jest możliwość naruszenia przez KSSiP, jako administratora danych, obowiązków wynikających z przepisów rozporządzenia 2016/679 w zakresie obowiązków wynikających z art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3 oraz art. 32 ust. 1 i 2.

Ponadto, pismami z 21 lipca 2020 r. poinformował KSSiP oraz e[...] Sp. z o.o. z siedzibą w Warszawie (zwaną dalej "e[...]"), że toczące się postępowanie dotyczy również obowiązków e[...] jako podmiotu przetwarzającego, któremu KSSiP powierzyła przetwarzanie danych osobowych osób, których dotyczy naruszenie. Tym samym zaszły przesłanki do uznania e[...] za stronę postępowania, zgodnie z art. 28 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2020r. poz. 256 ze zm.).

W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych pismami z: [...] kwietnia, [...] maja, [...] czerwca, [...] lipca i [...] października 2020 r. wezwał KSSiP do złożenia wyjaśnień. Ponadto pismami z: [...] lipca, [...] września i [...] października 2020 r.

Prezes UODO wezwał do złożenia wyjaśnień również e[...]. Na podstawie wyjaśnień złożonych przez KSSiP w pismach z; [...] kwietnia, [...] maja, [...] lipca, [...] lipca i [...] października 2020 r. oraz przez e[...] w pismach z: [...] lipca, [...] września i [...] listopada 2020 r., organ nadzorczy ustalił następujący stan faktyczny:

• Jak wskazała KSSiP w piśmie z [...] lipca 2020 r. - Platforma Szkoleniowa e-KSSiP, funkcjonująca od [...] marca 2020 r. pod adresem ekssip.kssip.gov.pl, jest narzędziem umożliwiającym realizację założeń projektu "Wdrożenie nowoczesnych metod badania potrzeb szkoleniowych i kształcenia kluczem do skutecznego wymiaru sprawiedliwości", realizowanego ze środków Europejskiego Funduszu Społecznego w ramach Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020, Oś Priorytetowa II Efektywne polityki publiczne dla rynku pracy, gospodarki i edukacji, Działanie [...] Skuteczny wymiar sprawiedliwości. Za zaprojektowanie, opracowanie, wdrożenie i wsparcie techniczne tej platformy odpowiada O.[...] S.A., na podstawie umowy nr [...] z [...] kwietnia 2019 r. oraz umowy powierzenia przetwarzania danych osobowych nr [...] z [...] kwietnia 2019 r. (kopia umowy powierzenia stanowi załącznik do pisma KSSiP z 19 maja 2020 r.).

• Dotychczasowa Platforma Szkoleniowa KSSiP (szkolenia.kssip.gov.pl) oraz docelowa Platforma Szkoleniowa e-KSSiP (ekssip.kssip.gov.pl) zlokalizowana jest na zasobach informatycznych udostępnianych w ramach umowy hostingowej zawartej pomiędzy Krajową Szkołą Sądownictwa i Prokuratury oraz e[...] Sp. z o.o. z siedzibą w [...]. Umowa powierzenia przetwarzania danych stanowi załącznik nr [...] do umowy hostingowej nr [...] zawartej w [...] [...] grudnia 2019 r. pomiędzy tymi podmiotami. Kopie obu umów zostały załączone do pisma KSSiP z [...] kwietnia 2020 r. Pozostałe załączniki zostały przedstawione przez KSSiP w piśmie z 28 października 2020 r. oraz e[...] w piśmie z 2 listopada 2020 r.

• W związku z procedurą przyjętą w celu uruchomienia nowej platformy, jak wskazano w piśmie

KSSiP z 27 kwietnia 2020 r., zaplanowano dwa etapy migracji: "testowy" i "produkcyjny".

Migracja "testowa" odbyła się w dniach [...] lutego 2020 r., a "produkcyjna" - w dniach [...] lutego – [...] marca 2020 r.

• W dniach [...] luty 2020 r., pracownik działu informatycznego KSSiP, A. M. oraz Dyrektor Działu Informatycznego KSSiP, P. T., otrzymali wiadomości od wykonawcy nowej platformy, O.[...] S.A., z harmonogramem jej wdrożenia i zakresem odpowiedzialności za poszczególne obszary (KSSiP/OPGK).

• [...] lutego 2020 r. o godz. [...] A. M., skierował do e[...] wiadomość e-mail z prośbą o "(...) wykonanie kopii bazy danych [...]" oraz J...) spakowanie katalogu [...] z serwera PROD" i przeniesienie powyższych 2 kopii na nowy serwer PROD eKSSiPu". W odpowiedzi pracownik e[...], K.J., zwrócił się o doprecyzowanie ww. prośby m.in. poprzez wskazanie adresów IP serwerów oraz pełnych ścieżek do zasobów źródłowych i docelowych, wskazując na nieznajomość wewnętrznych oznaczeń usług i zasobów KSSiP. Po przekazaniu tych informacji przez A. M., tego samego dnia, K. J. w wiadomości e-mail o godz. [...] poinformował o zakończeniu "kopiowania". Powyższe wiadomości e-mail stanowią załączniki do pisma e[...] z [...] lipca 2020 r., które są tożsame z wyjaśnieniami złożonymi w pkt 3 pisma KSSiP z [...] kwietnia 2020 r.

• [...] lutego 2020 r. o godz. [...], z uwagi na wypełnione założenia migracji "testowej", A. M., "[w zw.] związku z przeprowadzaną migracją (...)" zwrócił się o wykonanie czynności analogicznych jak w przypadku czynności wykonanych [...] lutego 2020 r. wskazując od razu adresy IP oraz pełne ścieżki do zasobów źródłowych i docelowych. Powyższe, tego samego dnia, zostało zrealizowane i potwierdzone korespondencją K. J.,

• [...] kwietnia 2020 r. w serwisie [...] nieznana osoba umieściła link do pliku hostowanego na platformie [...], stanowiącego kopię tabeli użytkowników z bazy danych Platformy Szkoleniowej KSSiP.

• [...] kwietnia 2020 r. Komenda Główna Policji powiadomiła administratora o powyższych okolicznościach. Tego samego dnia, na podstawie zapisu ostatniego logowania z udostępnionej publicznie tabeli użytkowników oraz kopii bazy danych, w której posiadaniu było O.[...] S.A., wykorzystywanej w ramach "testowej" migracji, KSSiP stwierdziła, że do naruszenia ochrony danych osobowych doszło [...] lutego 2020 r.

• W związku z procedurą przyjętą w celu uruchomienia nowej platformy, jak wskazano w piśmie KSSiP z [...] kwietnia 2020 r., zaplanowano dwa etapy migracji: "testowy" i "produkcyjny". Migracja "testowa" odbyła się w dniach [...] lutego 2020r., a "produkcyjna" - w dniach [...] lutego – [...] marca 2020 r.

• W dniach [...] luty 2020 r., pracownik działu informatycznego KSSiP, A. M. oraz Dyrektor Działu Informatycznego KSSiP, P. T., otrzymali wiadomości od wykonawcy nowej platformy, O.[...] S.A., z harmonogramem jej wdrożenia i zakresem odpowiedzialności za poszczególne obszary (KSSiP/OPGK).

• [...] lutego 2020 r. o godz. [...] A. M., skierował do e[...] wiadomość e-mail z prośbą o "(...) wykonanie kopii bazy danych [...]" oraz J...) spakowanie katalogu [...] z serwera PROD i przeniesienie powyższych 2 kopii na nowy serwer PROD eKSSiPu". W odpowiedzi pracownik e[...], K.J., zwrócił się o doprecyzowanie ww. prośby m.in. poprzez wskazanie adresów IP serwerów oraz pełnych ścieżek do zasobów źródłowych i docelowych, wskazując na nieznajomość wewnętrznych oznaczeń usług i zasobów KSSiP. Po przekazaniu tych informacji przez A. M., tego samego dnia, K. J. w wiadomości e-mail o godz. [...] poinformował o zakończeniu "kopiowania". Powyższe wiadomości e-mail stanowią załączniki do pisma e[...] z [...] lipca 2020 r., które są tożsame z wyjaśnieniami złożonymi w pkt 3 pisma KSSiP z [...] kwietnia 2020 r.

• [...] lutego 2020 r. o godz. [...], z uwagi na wypełnione założenia migracji "testowej", A.M., "(...) związku z przeprowadzaną migracją (...)" zwrócił się o wykonanie czynności analogicznych jak w przypadku czynności wykonanych [...] lutego 2020 r. wskazując od razu adresy IP oraz pełne ścieżki do zasobów źródłowych i docelowych. Powyższe, tego samego dnia, zostało zrealizowane i potwierdzone korespondencją K. J.

• [...] kwietnia 2020 r. w serwisie [...] nieznana osoba umieściła link do pliku hostowanego na platformie [...], stanowiącego kopię tabeli użytkowników z bazy danych Platformy Szkoleniowej KSSiP.

• [...] kwietnia 2020 r. Komenda Główna Policji powiadomiła administratora o powyższych okolicznościach. Tego samego dnia, na podstawie zapisu ostatniego logowania z udostępnionej publicznie tabeli użytkowników oraz kopii bazy danych, w której posiadaniu było O. [...] S.A., wykorzystywanej w ramach "testowej" migracji, KSSiP stwierdziła, że do naruszenia ochrony danych osobowych doszło [...] lutego 2020 r., tj. w dniu, w którym czynności na bazie wskazano, że "[a]ccess logi nie są tak długo trzymane a na dodatek tego typu operacje nie są logowane. Dnia [...] kwietnia 2020 r. zwrócono się o "sprawdzenie dlaczego wszystkie pliki widoczne są w sieci [....]". W odpowiedzi wskazano, że "Jistowanie katalogu zostało wyłączone".

• W dniach [...] kwietnia 2020 r. użytkownicy platformy zostali zawiadomieni o naruszeniu ochrony danych osobowych, za pomocą wiadomości przekazanych na adresy e-mail oraz komunikatu na stronie internetowej administratora. Jak wynika ze złożonych wyjaśnień, informacje te miały charakter wstępny.

• [...] kwietnia 2020 r., pracownik działu informatycznego KSSiP, B.K., analizując informacje zawarte w panelu służącym do zarządzania serwerami oraz pocztą elektroniczną (usługi dostarczane w ramach umowy z e[...]), stwierdził obecność wpisów wskazujących na pobranie [...] kwietnia 2020 r. za pośrednictwem dwóch adresów IP, plików znajdujących się w lokalizacji dostępnej z przeglądarki internetowej, bezpośrednio po adresie IP, bez konieczności podawania domeny internetowej dotychczasowej Platformy Szkoleniowej KSSiP, tj. [...]. Jednym z tych plików był plik zatytułowany "[...]", o rozmiarze [...] GB, ostatnio modyfikowany [...] lutego 2020 r. Informacje te, wraz z ich graficznym odzwierciedleniem, znajdują się w notatkach służbowych ww. pracownika oraz Dyrektora Działu Informatycznego KSSiP, dołączonych do wyjaśnień KSSiP z [...] kwietnia 2020 r.

• W dniach [...] kwietnia 2020 r. administrator skierował do osób, których dane dotyczą, wiadomość e-mail zatytułowaną "Zawiadomienie o naruszeniu ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia Pani/Pana praw lub wolności".

• [...] kwietnia 2020 r. na stronie internetowej Krajowej Szkoły Sądownictwa i Prokuratury www.kssip.gov.pl opublikowano komunikat w sprawie stwierdzenia naruszenia ochrony danych osobowych.

• W dniach [...] kwietnia 2020 r. administrator skierował do osób, których dane dotyczą wiadomość e-maił zatytułowaną "Zaktualizowany komunikat w trybie art. 34 RODO z dnia 15 kwietnia 2020 r."

• [...] i [...] kwietnia 2020 r. funkcjonariusze Policji oraz Agencji Bezpieczeństwa Wewnętrznego dokonali zabezpieczenia logów i dysków, których dysponentem jest e[...].

• [...] kwietnia 2020 r. Prokuratura Krajowa zamieszcza na swojej stronie internetowej komunikat, do którego odwołuje się KSSiP w wyjaśnieniach z [...] kwietnia i [...] maja 2020 r. Komunikat dostępny jest pod adresem: [...].

• Pismem z [...] maja 2020 r. KSSiP odstąpiła od umowy o świadczenie usług hostingu nr [...] z [...] grudnia 2019 r., zawartej z e[...] Sp. z o.o., z winy wykonawcy, z uwagi na rażące, w ocenie KSSiP, naruszenie § 6 ust. 1 lit. d umowy oraz postanowień umowy powierzenia przetwarzania danych osobowych, stanowiącej załącznik nr [...] do ww. umowy. Informacja o odstąpieniu od umowy o świadczenie usług została przekazana przez KSSiP w wyjaśnieniach z [...] maja 2020r. oraz potwierdzona przez e[...] w wyjaśnieniach z [...] września 2020 r.

• [...] maja 2020 r. e[...] protokolarnie przekazał wszelkie dane, które uzyskał od KSSiP i w związku z ww. umową został zobowiązany do usunięcia wszelkich istniejących kopii danych przetwarzanych w ramach umowy. Informacja ta została przekazana w piśmie KSSiP z [...] maja 2020 r. Usunięcie danych potwierdził e[...] w pismach z [...] lipca i [...] września 2020 r. Ponadto, do pism z [...] lipca 2020 r. i [...] listopada 2020 r. w celu wyjaśnienia zobowiązań wynikających z relacji z KSSiP, e[...] przedłożył przykładową korespondencję prowadzoną pomiędzy jego przedstawicielami a KSSiP, zarówno przed, jak i po naruszeniu ochrony danych osobowych. W odniesieniu do prowadzonych czynności analitycznych mających na celu ustalenie, czy naruszenie dotyczyło również numerów ewidencyjnych PESEL, KSSiP w piśmie z [...] kwietnia 2020 r. wskazała, że jest to m.in. przedmiotem prowadzonego przez Prokuraturę Regionalną w [...] postępowania. W związku z powyższym Prezes UODO, pismem z [...] maja 2020 r., zwrócił się do Prokuratury Regionalnej w [...] o poinformowanie m.in., czy oraz ilu numerów ewidencyjnych PESEL użytkowników Platformy Szkoleniowej KSSiP poufność została naruszona i w jaki sposób. W odpowiedzi z [...] maja 2020 r. Prokuratura poinformowała, że "(...) baza danych użytkowników Platformy Szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, która została pobrana z serwerów firmy świadczącej usługi hostingowe dla KSSiP, a następnie upubliczniona w sieci Internet, obejmuje 44 262 rekordy zawierające numery PESEL".

Organ wskazał, iż zgodnie z brzmieniem art. 24 ust. 1 rozporządzenia 2016/679 uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny proporcjonalności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże. Jednocześnie wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych - zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, zgodnie z którą dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zgodnie z treścią art. 25 ust. 1 rozporządzenia 2016/679 uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. Art. 32 ust. 1 rozporządzenia 2016/679 stanowi, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 rozporządzenia 2016/679, a następnie należy ustalić jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Zgodnie z brzmieniem art. 32 ust. 2 rozporządzenia 2016/679 oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Organ podkreślił, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, to zgodnie z brzmieniem art. 28 ust. 1 rozporządzenia 2016/679, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Ponadto, zgodnie z ust. 3 lit. h) tego artykułu, administrator posiada uprawnienia w zakresie uzyskania od podmiotu przetwarzającego wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia 2016/679 oraz posiada uprawnienie do przeprowadzania audytów, w tym inspekcji. Natomiast stosownie do art. 28 ust. 3 lit. b) rozporządzenia 2016/679 podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. Stosownie zaś do treści art. 28 ust. 3 rozporządzenia 2016/679 przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Przepisy rozporządzenia 2016/679 zobowiązują więc administratorów, jak i podmioty przetwarzające do przyjęcia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych.

Organ wskazał, że aby prawidłowo rozstrzygnąć sprawę będącą przedmiotem niniejszej decyzji, należało w pierwszej kolejności zbadać zgodność zawartej umowy

powierzenia z przepisami o ochronie danych osobowych oraz zakres odpowiedzialności stron tej umowy, uwzględniając ww. przepisy rozporządzenia 2016/679, a w szczególności kryteria zawarte w art. 28 ust. 3 rozporządzenia 2016/679. Wraz z pismem z [...] kwietnia 2020 r. KSSiP przesłała umowę powierzenia przetwarzania danych osobowych zawartą z e[...] Sp. z o.o., stanowiącą załącznik numer [...] do umowy z [...] grudnia 2019 r., numer [...], zwanej dalej "umową główną". Jak wynika z treści tej umowy i zgromadzonego materiału dowodowego, e[...], jako wykonawca usługi hostingowej, został wyłoniony

w postępowaniu o udzielenie zamówienia publicznego w trybie przetargu nieograniczonego, zgodnie z przepisami ustawy z dnia 29 stycznia 2004 r. - Prawo Zamówień Publicznych (Dz. U. z 2019 r., poz. 1843).

Organ podkreślił, iż w sytuacji powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie powierzenia przetwarzania danych osobowych określa się przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Postrzegając przetwarzanie danych osobowych przez pryzmat całego rozporządzenia 2016/679, w pełni uzasadniony jest wymóg zawarcia stosunkowo szczegółowego opisu przetwarzania w umowie powierzenia. Kompleksowe zawarcie w tej umowie elementów wynikających z art. 28 ust. 3 rozporządzenia 2016/679 ma na celu bowiem zapewnienie precyzyjnego ustalenia granic działania podmiotu przetwarzającego, co jest podstawą umowy powierzenia ze względu na związanie podmiotu przetwarzającego z celem ustalonym przez administratora. Treść umowy powierzenia, zdaniem Prezesa UODO, w § 2 pkt 1, w sposób niewystarczający doprecyzowuje zakres powierzanych danych, tj. wskazano, że ,,[p]odmiot przetwarzający w ramach świadczenia usługi hostingowej przetwarzał będzie powierzone dane osobowe zwykłe obejmujące zbiory danych osobowych niezbędne do wykonywania prac w systemie informatycznym na rzecz administratora". Administrator nie wskazał przy tym kategorii osób, których dane dotyczą, wymaganych przez art. 28 ust. 3 rozporządzenia 2016/679. Posłużył się jedynie pojęciem zbioru danych osobowych. Stosując wykładnię celowościową należy wskazać, że w tym kontekście "rodzaj danych", również wymagany ww. przepisem, odnosi się do informacji dotyczącej charakterystyk określonej, znanej administratorowi, grupy podmiotów danych osobowych, które w umowie powierzenia nie zostały wskazane. Opisując przetwarzanie danych umowa powinna również odwoływać się do ich kategorii, jeśli można je doprecyzować. O ile w przypadku przetwarzania danych związanych np. z usługą poczty elektronicznej, trudno jest jednoznacznie taki zakres wskazać, o tyle w przypadku przetwarzania danych w celach związanych z funkcjonowaniem platformy szkoleniowej KSSiP, informacje takie, jako możliwe do określenia, powinny być zawarte.

Zgodnie z art. 28 ust. 3 pkt a) rozporządzenia 2016/679, umowa powierzenia przetwarzania danych stanowi m.in., że podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. O ile w pewnym stopniu element ten można wyinterpretować z § 3 pkt 3 umowy głównej, zgodnie z którym "zgłoszenia usterek związanych z usługami hostingowymi, w tym ich niedostępność, dokonywane będą pisemnie, faksem lub pocztą elektroniczną" o tyle w ocenie Prezesa UODO wskazane postanowienie umowy jest niewystarczające. Umowa powierzenia zawarta z e[...] powinna zawierać przynajmniej ogólne sformułowanie zobowiązujące podmiot przetwarzający do działania wyłącznie na udokumentowane polecenie administratora.

Wobec powyższego, w ocenie organu, KSSiP powierzając przetwarzanie danych osobowych e[...], nie zawarła w umowie zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, co stanowi naruszenie art. 28 ust. 3 lit. a) rozporządzenia 2016/679.

W oparciu o zgromadzony materiał dowodowy Prezes UODO stwierdził, że Krajowa Szkoła Sądownictwa i Prokuratury z siedzibą w [...] nie podjęła wystarczających działań mających na celu zweryfikowanie bezpieczeństwa środowiska przetwarzania przed rozpoczęciem działań migracyjnych, jak i po ich zakończeniu, w szczególności nie zweryfikowała w okresie [...] luty 2020r. – [...] kwietnia 2020 r., czy we wskazanej przez KSSiP lokalizacji nadal znajduje się kopia bazy danych z [...] lutego 2020 r. Decydując się na nieangażowanie podmiotu przetwarzającego w proces migracji i nieudzielenie pełnych informacji o podejmowanych czynnościach i oczekiwanych rezultatach, administrator nie upewnił się, że przetwarzane dane osobowe są odpowiednio zabezpieczone. Weryfikacji tej administrator podjął się dopiero w dniu stwierdzenia naruszenia.

W ocenie organu stanowi to o rażącym zaniedbaniu obowiązków KSSiP i naruszeniu przepisów art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679 poprzez niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zagwarantować zdolność do ciągłego zapewnienia poufności usług przetwarzania oraz brak przetestowania i oceny skuteczności środków technicznych i organizacyjnych, a tym samym niewłaściwe uwzględnienie ryzyka związanego ze zmianami w procesie przetwarzania. Obowiązkiem administratora, jak statuują to ww. przepisy, a także art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679, przy dokonywaniu oceny proporcjonalności zabezpieczeń jest branie pod uwagę czynników i okoliczności dotyczących przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyka, jakie się z nim wiąże. Jakiekolwiek zmiany w procesie przetwarzania danych osobowych są okolicznością szczególnie obarczającą administratora odpowiedzialnością za zmaterializowanie się zagrożeń związanych z niedopełnieniem powyższych obowiązków. Zapewnienie odpowiedniego bezpieczeństwa danym osobowym, na każdym etapie przetwarzania, powinno być przedmiotem szczególnej troski administratora. Stanowi to więc o naruszeniu przez KSSiP art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679. Niedopełnienie tych obowiązków skutkowało pobraniem kopii bazy danych z [...] lutego 2020 r. przez nieznane i nieuprawnione osoby, co stanowi o naruszeniu przez KSSiP zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 poprzez przetwarzanie danych osobowych w sposób niezapewniający odpowiedniego bezpieczeństwa danych osobowych. Stroną podmiotową obowiązków wskazanych w art. 5 ust. 1 lit f), art. 24 ust. 1, art. 25 ust. 1 oraz art. 28 ust. 1 rozporządzenia 2016/679 jest administrator. Jak wynika ze zgromadzonego materiału dowodowego, e[...] Sp. z o.o. z siedzibą w [...] ma status podmiotu przetwarzającego w rozumieniu art. 4 pkt 8 rozporządzenia 2016/679. W związku z tym, stosownie do art. 105 § 1 k.p.a., Prezes UODO umorzył postępowanie prowadzone wobec e[...] w tym zakresie.

Organ wskazał, iż w świetle zapisów art. 28 ust. 1 i art, 28 ust. 3 lit, h) rozporządzenia 2016/679, wybór dającego gwarancję odpowiednich zabezpieczeń podmiotu przetwarzającego jest obowiązkiem administratora. Wraz z wyjaśnieniami z [...] lipca 2020 r. e[...] przedłożył liczne dokumenty, które regulują relację zachodzącą między nim a administratorem. Prezes UODO, w oparciu o przedłożoną dokumentację, jak i wyjaśnienia złożone przez KSSiP m.in. w piśmie z 19 maja 2020r., z punktu widzenia ww. przepisów, nie dopatrzył się okoliczności, które pozwoliłyby stwierdzić, że e[...] nie zapewniał wystarczających gwarancji dla bezpieczeństwa danych osobowych oraz nie udostępniał administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia 2016/679 bądź uniemożliwiał administratorowi przeprowadzanie audytów, w tym inspekcji. W konsekwencji Prezes UODO umorzył postępowanie administracyjne wobec e[...] w zakresie naruszenia art. 28 ust. 3 lit. h) rozporządzenia 2016/679. Tym samym umorzył również wobec KSSiP postępowanie w zakresie naruszenia art. 28 ust, 1 w kontekście wyboru podmiotu przetwarzającego zapewniającego wystarczające gwarancje dla bezpieczeństwa danych. Dlatego też nie stanowi to podstawy wymiaru administracyjnej kary pieniężnej.

Mając na uwadze powyższe ustalenia, Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a-h oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie administracyjnej kary pieniężnej.

Decydując o nałożeniu na KSSiP administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a-k rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, wpływające obciążające i mające wpływ na wymiar nałożonej kary finansowej:

1. Kategorie danych osobowych, których dotyczyło naruszenie ochrony danych osobowych (art. 83 ust. 2 lit. g rozporządzenia 2016/679) - dane osób zarejestrowanych na platformie szkoleniowej KSSiP obejmują w szczególności: imię i nazwisko, adres e-mail, nazwę użytkownika, numer telefonu, jednostkę, wydział, adres jednostki, miejscowość, numer ewidencyjny PESEL. KSSiP w piśmie z [...] kwietnia 2020 roku wskazał, że poprawnych, tj. 11- znakowych ciągów cyfr reprezentujących numery PESEL, jest w bazie 44 577. Prezes UODO przyjął za liczbę osób, dotkniętych w tym zakresie naruszeniem ochrony danych, liczbę 44 262,

zgodnie z informacją przekazaną przez Prokuraturę Regionalną w [...] w piśmie z [...] maja 2020 r.

2. Charakter i waga naruszenia przy uwzględnieniu liczby poszkodowanych osób (art. 83 ust. 2 lit. a rozporządzenia 2016/679) - przy wymierzaniu kary istotne znaczenie miała okoliczność, że liczba osób dotkniętych naruszeniem wynosi 50 283. Ponadto Prezes UODO wziął pod uwagę, że naruszenie poufności danych dotyczy osób wykonujących zawody i piastujących stanowiska określone w art. 2 ust. 1 pkt 2 i 3 ustawy z 23 stycznia 2009 r. o Krajowej Szkole Sądownictwa i Prokuratury (Dz. U. z 2020 r. poz. 1366 ze zm.), tj.: sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych, asystentów sędziów, asystentów prokuratorów, kuratorów zawodowych oraz urzędników sądów i prokuratury. Na platformie szkoleniowej KSSiP znajdowały się również konta części wykładowców prowadzących szkolenia ustawiczne, nielicznych aplikantów KSSiP oraz osób, których konta aktywowano na podstawie indywidualnych decyzji. Do tej ostatniej kategorii osób należą pracownicy resortu Ministerstwa Sprawiedliwości. Naruszenie spowodowało wysokie ryzyko wystąpienia negatywnych skutków w przyszłości wynikających z charakteru danych, dużej liczby podmiotów danych, prawdopodobnie złej woli osoby, która w sposób nieuprawniony uzyskała do nich dostęp, a także dużą skalę przetwarzania i jego profesjonalny charakter. Naruszenie poufności nr telefonu, adresu e-mail, czy numeru PESEL ww. osób mogą skutkować na niespotykaną dotąd skalę wkroczeniem w życie prywatne osób dotkniętych naruszeniem, a z punktu widzenia pełnionych przez nie funkcji, podejmowanie działań w celu pozbawienia ich zaufania publicznego. Wniosek taki jest szczególnie uprawniony w przypadku sędziów i prokuratorów, z uwagi na fakt, iż naruszenie poufności danych dotyczy osób związanych zawodowo z sądownictwem i zawodami prawniczymi. W stosunku do ww. osób w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem nieznany jest cel, dla którego osoba bądź osoby nieuprawnione mogą podjąć bezprawne działania. Osoby, których dane dotyczą, mogą więc doznać szkody majątkowej, a już samo naruszenie poufności danych stanowi również szkodę niemajątkową (krzywdę). Podmioty danych mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Podsumowując powyższe organ uznał, że stwierdzone w niniejszej sprawie naruszenia mają znaczną wagę i poważny charakter a prawdopodobieństwo wystąpienia ich negatywnych skutków dla osób, których dane dotyczą, jest wysokie.

3. Czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679) – zgromadzony materiał dowodowy pozwolił Prezesowi UODO stwierdzić, że KSSiP nie podejmowała odpowiednich działań mających na celu zweryfikowanie, czy kopia bazy danych z [...] lutego 2020 r. nadal znajduje się na zasobach informatycznych KSSiP i czy zasoby te są odpowiednio skonfigurowane, tak by zapewnić bezpieczeństwo danych znajdujących się w tej kopii. Czynności tej dokonała dopiero 9 kwietnia 2020 r., tj. w dniu stwierdzenia naruszenia ochrony danych osobowych. Czas trwania naruszenia, tj. okres od [...] lutego 2020 roku do [...] kwietnia 2020 roku, ma istotny wpływ na wysokość nałożonej przez Prezesa UODO kary, gdyż bieżąca weryfikacja bezpieczeństwa środowiska, w którym dokonywano procesu migracji, mogłaby zminimalizować ryzyko dla praw lub wolności osób, których dotyczą, w tym uniknąć zdarzenia, które skutkowało upublicznieniem [...] kwietnia 2020 r. na stronie [...] łącza do pliku stanowiącego tabelę użytkowników pochodzących z kopii bazy danych.

4. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679). Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji organ stwierdził, że KSSiP dopuściła się rażącego zaniedbania skutkującego naruszeniem poufności danych. Stanowi to istotną okoliczność wpływającą obciążające na wysokość administracyjnej kary pieniężnej.

5. Wysoki stopień odpowiedzialności administratora (art. 83 ust. 2 lit. d rozporządzenia 2016/679) - Biorąc pod uwagę, że to na administratorze ciąży obowiązek dokonania oceny zabezpieczeń na każdym etapie przetwarzania, w szczególności w trakcie jakiekolwiek zmiany w procesie przetwarzania danych osobowych, należy stwierdzić, że KSSiP nie wdrożyła odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych w sytuacji, w której z własnej inicjatywy podjęła działania związane z procesem migracji danych osobowych do nowego środowiska przetwarzania. Żadnego wpływu na fakt nałożenia, jak i sam wymiar, administracyjnej kary pieniężnej nie miały inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności:

1. Działania podjęte przez KSSiP w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) - KSSiP dopełniła wobec osób, których dane dotyczą, obowiązku zawiadomienia o naruszeniu ochrony ich danych osobowych, o którym mowa w art. 34 rozporządzenia 2016/679. Nie podjęła jednak żadnych dodatkowych (wykraczających poza obowiązek prawny) działań mających na celu złagodzenie, czy też wynagrodzenie krzywdy poniesionej przez osoby dotknięte naruszeniem.

2. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit h rozporządzenia 2016/679) naruszenie ochrony danych osobowych zgłoszone zostało Prezesowi UODO przez KSSiP, co stanowi wypełnienie przez KSSiP spoczywającego na niej obowiązku, o którym mowa w art. 33 rozporządzenia 2016/679.

3. KSSiP nie stosuje zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679.

4. W tej samej sprawie nie zostały wcześniej zastosowane wobec KSSiP środki, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679.

5. Nie stwierdzono aby w związku z naruszeniami Administrator uzyskał korzyści finansowe, czy też uniknął strat, o których mowa w art. 83 ust. 2 lit. k) rozporządzenia 2016/679.

Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO uwzględnił również działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679). Zasadniczą część tych działań stanowią obowiązki wynikające bezpośrednio z rozporządzenia 2016/679 oraz innych ustaw, tj. zgłoszenie naruszenia ochrony danych osobowych do Prezesa UODO, poinformowania o naruszeniu ochrony danych osób, których te dane dotyczą, zawiadomienia organów ścigania czy Zespołu Zarządzania Incydentami Biura Cyberbezpieczeństwa Ministerstwa Sprawiedliwości oraz CSiRT NASK. Organ podkreślił, że Administrator skierował ponadto bezpośrednie żądanie do administracji forum [...] oraz drugie żądanie do operatora serwisu [...], o usunięcie pliku z kopią bazy danych oraz linku prowadzącego do tej bazy. Działanie to skutkowało usunięciem zarówno pliku z kopią bazy danych z serwisu [...] jak i usunięcia linku z forum [...], prowadzącego do pliku. W ocenie organu powyższe działania stanowią niewątpliwie okoliczności, które co do zasady łagodzą odpowiedzialność administratora danych. Jednak ich wystąpienie nie ma bezpośredniego wpływu na wysokość administracyjnej kary pieniężnej nałożonej niniejszą decyzją z uwagi na fakt, że KSSiP jest podmiotem publicznym, do którego stosuje się przepis art. 102 ust. 1 pkt. 1) ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781). Przepis ten redukuje możliwość nałożenia przedmiotowej kary na podmiot publiczny do maksymalnej wysokości 100 000 PLN. W ocenie Prezesa UODO kara maksymalnej wysokości, nałożona w niniejszej sprawie, jest i tak niewspółmiernie niska do skali i wagi naruszenia z perspektywy rozporządzenia 2016/679. Obniżenie kary z uwagi na okoliczności łagodzące, zostało w niniejszej sprawie skonsumowane przez bardziej korzystną dla KSSiP okoliczność, jaką jest ustawowe ograniczenie wysokości kary do 100 000 PLN.

Uwzględniając wszystkie omówione wyżej okoliczności, Prezes Urzędu Ochrony Danych Osobowych uznał, że nałożenie administracyjnej kary pieniężnej w wysokości 100.000 zł na KSSiP jest konieczne i uzasadnione wagą oraz charakterem i zakresem dokonanych przez KSSiP naruszeń.

W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez KSSiP przepisów rozporządzenia 2016/679, ale i prewencyjną, czyli zapobieganie naruszeniom przepisów o ochronie danych osobowych w przyszłości zarówno przez KSSiP, jak i innych administratorów danych.

KSSiP z siedzibą w [...] złożyła skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2021 r., nr [...], w przedmiocie stwierdzenia naruszenia przez Krajową Szkołę Sądownictwa i Prokuratury przepisów art. 5 ust. 1 lit f), art. 25 ust. 1, art. 28 ust. 3, art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 216/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu w takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.119 z o4.05.2016, str. 1 ze zm.) oraz nałożenia kary administracyjnej w wysokości 100.000 zł (sto tysięcy złotych).

Zaskarżonej decyzji KSSiP zarzucała naruszenie:

przepisów postępowania mających istotny wpływ na treść rozstrzygnięcia, tj.:

1) art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2020 r., poz. 256, ze zm., dalej jako "k.p.a.") w zw. z art. 7 ust, 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781 ze zm., dalej jako ".u.o.d.o.") przez zaniechanie podjęcia czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego i brak wszechstronnej oceny zebranego materiału dowodowego skutkujące:

a) nieustaleniem przyczyn nieprawidłowego skonfigurowania maszyny hostującej, co skutkowało upublicznieniem katalogu, w którym przechowywana była baza danych zawierająca dane osobowe;

b) uznaniem, że Skarżąca nie spełniła wymogów określonych w art. 32 ust. 1 RODO, podczas gdy wszechstronna analiza zgromadzonego materiału dowodowego powinna była doprowadzić Organ do ustalenia, że Skarżąca wdrożyła środki techniczne służące ochronie przetwarzanych danych osobowych adekwatne do stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celu przetwarzania, znanych w dniu [...] lutego 2020 r;

c) rozstrzygnięciem sprawy przed zakończeniem postępowania karnego prowadzonego przez Prokuraturę Regionalną w [...] pod sygn. [...], w sytuacji, gdy ustalenie odpowiedzialności za czyn będący przedmiotem tego postępowania miałoby istotny wpływ na ustalenia faktyczne niniejszej sprawy i stanowi zagadnienie wstępne, o którym mowa w art. 97 § 1 pkt 4k.p.a.;

d) dowolnym poczynieniu ustaleń faktycznych, które de facto stanowiły twierdzenia Organu niepoparte jakimkolwiek materiałem dowodowym, co w konsekwencji doprowadziło do uznania przez Organ, że w warunkach określonych w art. 32 RODO "odpowiednim środkiem technicznym i organizacyjnym" było upewnienie się, że przetwarzane dane osobowe są odpowiednio zabezpieczone, mimo że jakakolwiek weryfikacja – wobec charakteru błędu pracownika e[...] sp. z o.o. - nie była w stanie zapobiec naruszeniu, bowiem błąd ten polegał na umieszczeniu w publicznej lokalizacji pliku z bazą danych, a następnie jego nieusunięciu. Zatem późniejsza weryfikacja Skarżącej nie była w stanie zapobiec uzyskaniu dostępu do tej bazy przez osoby trzecie;

e) dowolnym przyjęciu, że wobec wskazania przez e[...] sp. z o.o. szeregu możliwości konfiguracyjnych leżących po stronie Skarżącej, które mogły skutkować upublicznieniem katalogu zawierającego kopię bazy danych bezpośrednio po adresie IP doprowadziły one do upublicznienia bazy danych, choć to właśnie konfiguracja dokonana przez pracowników tej firmy była przyczyną upublicznienia bazy danych;

f) obciążeniem Skarżącej odpowiedzialnością za pojawienie się w internecie danych osobowych związanych z domeną kssip.gov.pl., w sytuacji, w której przyjęte przez Skarżącą środki techniczne i organizacyjne w rozumieniu art. 32 ust. 1 i 2 RODO były odpowiednie i uwzględniały ryzyko wiążące się z przetwarzaniem, a mechanizm naruszenia ochrony danych w wyniku błędu pracownika podmiotu przetwarzającego wskazuje, że wymienione w uzasadnieniu zaskarżonej decyzji środki zaradcze, jakie zdaniem Organu powinna była podjąć Skarżąca nie były mu w stanie przeciwdziałać;

g) przyjęciem wzajemnie sprzecznych ustaleń faktycznych polegających z jednej strony na tym, że w ocenie PUODO administrator zdecydował o "nieangażowaniu podmiotu przetwarzającego w proces migracji", a z drugiej strony przyjął, że Skarżąca jednak zaangażowała podmiot przetwarzający, zlecając takie przetwarzanie,

h) zignorowaniem przez Organ okoliczności, że e[...] sp. z o.o. jako podmiot przetwarzający nie wdrożył adekwatnych środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przenoszeniem bazy danych z jednej udostępnianej przez siebie lokalizacji do drugiej takiej lokalizacji, w wyniku czego ta pierwsza lokalizacja pozostawała publiczna, mimo, że jak wskazano w uzasadnieniu zaskarżonej decyzji doszło do nieprawidłowego skonfigurowania maszyny hostującej (s. 15 uzasadnienia decyzji), co umożliwiło bezpośredni dostęp do kopii bazy danych. Organ nie wziął pod uwagę, iż pracownik ww. firmy, celem "ułatwienia" sobie realizacji zlecenia z dnia [...] lutego 2021 r. (przeniesienia bazy danych) umieścił tymczasową kopię bazy w katalogu publicznym, a brak natychmiastowego usunięcia kopii tymczasowej po zakończeniu kopiowania tylko zwiększył ryzyko wykrycia tej kopii przez programy przeszukujące internet;

2) art. 84 § 1 k.p.a, w zw. z art. 7 k.p.a., art. 77 § 1 k.p.a. w zw. z art. 7 ust. 1 u.o.d.o. przez nieprzeprowadzenie dowodu z opinii biegłego w sytuacji, w której dokładnie wyjaśnienie stanu faktycznego sprawy wymagało wiadomości specjalnych z zakresu informatyki, co odnosi się w szczególności do:

a) ustalenia przyczyn upublicznienia katalogu z bazą danych, co jest okolicznością kluczową dla rozstrzygnięcia sprawy i przyjęcie w tym zakresie jedynie wyjaśnień e[...] sp. z o.o., który to podmiot jest oczywiście zainteresowany rozstrzygnięciem niniejszej sprawy na niekorzyść Skarżącej;

b) używanych w branży informatycznej określeń specjalistycznych, co ma kluczowe znaczenie dla oceny polecenia wydanego przez Skarżącą w dniu [...] lutego 2020 r.

3) art. 94 § 1 pkt 4 k.p.a w zw. z art. 7 ust. 1 u.o.d.o. poprzez niezawieszenie postępowania mimo ujawnienia się czynu, którego ustalenie na drodze postępowania karnego mogłoby wywrzeć wpływ na rozstrzygnięcie sprawy zakończonej wydaniem zaskarżonej decyzji;

4) art. 105 § 1 k.p.a. poprzez przedwczesne i bezzasadne umorzenie postępowania wobec e[...] sp. z o.o. z powołaniem się na okoliczność, że jako podmiot przetwarzający spółka ta nie była adresatem obowiązków wynikających z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1 oraz art. 28 ust. 1 RODO bez rozważenia, czy zachodzą przesłanki do przypisania jej naruszenia art. 32 ust. 2 RODO;

5) art. 107 § 1 pkt 5 k.p.a. poprzez wadliwe sformułowanie rozstrzygnięcia zawartego w punkcie 1 podpunkt a) sentencji zaskarżonej decyzji i uzasadnienia decyzji (w szczególności w zakresie odnoszącym się do wywodów zawartych na s. 19-20), poprzez niewskazanie:

a) środków technicznych i organizacyjnych, które zdaniem Organu nie zostały zastosowane przez Skarżącą,

b) konkretnych działań lub zaniechań Skarżącej, uznanych przez Organ za naruszenie przepisów prawa wymienionych w tymże podpunkcie sentencji decyzji, za które to stwierdzenie naruszenia Organ nałożył karę pieniężną,

- co w konsekwencji uniemożliwia zapoznanie się z rezultatem stosowania przez Organ normy prawa materialnego do konkretnego przypadku w kontekście określonych okoliczności faktycznych i materiału dowodowego, a tym samym wyklucza kontrolę instancyjną decyzji;

II. przepisów prawa materialnego, tj.:

1) art. 5 ust. If, art, 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 RODO przez ich błędne zastosowanie skutkujące przyjęciem, że:

a) Skarżąca nie wdrożyła odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, bez uwzględnienia stanu wiedzy technicznej, charakteru, zakresu, kontekstu i celu przetwarzania;

b) do naruszenia ochrony danych osobowych doszło w wyniku braku zapewnienia przez Skarżącą odpowiednich środków technicznych i organizacyjnych w sytuacji, gdy mechanizm naruszenia ochrony danych osobowych, tj. nieprawidłowe skonfigurowanie maszyny hostującej, nie leżało po stronie Skarżącej;

2) art. 32 ust. 1 RODO poprzez jego niezastosowanie wyrażające się w niestwierdzeniu, że e[...] sp. z o.o. jako podmiot przetwarzający nie wdrożył adekwatnych środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przenoszeniem bazy danych z jednej udostępnianej przez siebie lokalizacji do drugiej takiej lokalizacji, w wyniku czego ta pierwsza lokalizacja pozostawała publiczna, co z kolei umożliwiało osobom nieuprawnionym uzyskanie dostępu do danych osobowych przetwarzanych w imieniu Skarżącej;

3) art. 83 ust. 2;

a) lit. d RODO - poprzez jego niewłaściwe zastosowanie wyrażające się w przyjęciu, że stwierdzone przez organ uchybienia w zakresie przestrzegania art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 3 oraz art. 32 ust. 1 RODO były tymi czynnikami, które doprowadziły do naruszenia ochrony danych osobowych, a tym samym uzasadniają odpowiedzialność administratora, podczas gdy prawidłowa ocena ustalonego stanu faktycznego powinna była skutkować przyjęciem, że uchybienia te nie pozostają w adekwatnym związku przyczynowym z wyciekiem danych osobowych;

b) lit. k RODO - poprzez nieuwzględnienie, że do naruszenia ochrony danych osobowych doszło wskutek działania pracownika podmiotu przetwarzającego, który to podmiot w ramach świadczenia usługi hostingu miał przenieść plik zawierający dane osobowe z jednej lokalizacji przez siebie udostępnianej (hostowanej) do innej lokalizacji również przez siebie udostępnianej (hostowanej), zaś w wyniku działania tę pierwszą lokalizację pozostawiono publiczną, co umożliwiało pobranie danych z katalogu dowolnej osobie mającej dostęp do internetu;

4) art. 102 ust. 3 u.o.d.o. w zw. z art. 83 ust. 2:

a) lit. c RODO poprzez nieuwzględnienie przez Organ, pomimo ich dostrzeżenia przy, wymiarze kary działań KSSiP opisanych szczegółowo w uzasadnieniu skargi, podjętych w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, wskutek bezpodstawnego przyjęcia, iż obniżenie kary z uwagi na okoliczności łagodzące zostało skonsumowane przez fakt ustawowego ograniczenia wysokości kary dla podmiotu publicznego do 100.000 zł,

b) lit. e RODO poprzez nieuwzględnienie przez Organ przy wymiarze kary, iż Skarżąca nie dopuściła się w przeszłości naruszeń w zakresie obowiązków ciążących na administratorze, a wynikających z przepisów RODO, c) lit. f RODO poprzez nieuwzględnienie przez Organ przy wymiarze kary pełnej współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, poprzez niezwłoczne, terminowe udzielanie pełnych informacji we wnioskowanym zakresie, zmierzających do poczynienia ustaleń faktycznych w sprawie,

d) lit. h RODO poprzez nieuwzględnienie przez Organ przy wymiarze kary, iż informację o zaistniałym incydencie organ nadzorczy uzyskał bezpośrednio od KSSiP, która dokonała jego zawiadomienia. Fakt, iż zgłoszenie naruszenia stanowi obowiązek ciążący na administratorze wolą ustawodawcy unijnego stanowi dodatkowo okoliczność łagodzącą, która ma być wzięta pod uwagę przy wymiarze kary, a nie została,

5) art. 28 ust. 3 RODO poprzez jego błędną wykładnię, skutkującą nieuwzględnieniem tego, że w sytuacji, gdy powierzenie przetwarzania następuje na podstawie umowy podlegającej prawu krajowemu (tu: polskiemu) zastosowanie znajdują krajowe przepisy dotyczące wykładni i skutków takich umów, podczas gdy prawidłowe ustalenie skutków prawnych umowy powierzenia przetwarzania danych, stanowiącej załącznik nr [...] do umowy z dnia [...] grudnia 2019 r. nr [...] w kontekście art. 56 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U. z 2020r., poz. 1740 ze zm., dalej jako "k.c.") i uwzględnienie, zgodnie z dyrektywą wynikającą z art. 65 § 2 k.c. nie tyle brzmienia umowy, co zgodnego zamiaru jej stron, prowadziłoby do wniosku, że umowa ta odpowiadała wymaganiom wynikającym z art. 28 ust. 3 RODO,

6) art. 82 ust. 3 i art. 28 ust. 1 RODO w zw. z art. 92 u.o.d.o. w zw. z art. 429 k.c. poprzez ich niezastosowanie do Skarżącej i przypisanie jej winy za zaistnienie incydentu w sytuacji, gdy powierzyła świadczenie usług, w tym zleciła migrację bazy danych w dniu [...] lutego 2020 r., podmiotowi, który w zakresie swej działalności zawodowej trudni się wykonywaniem takich czynności i legitymuje się posiadaniem dokumentów potwierdzających znajomość zasad i technik zabezpieczenia informacji w technikach informatycznych.

W ocenie skarżącego treść uzasadnienia decyzji wskazuje na brak zrozumienia przez Organ istoty zaistniałego incydentu oraz informatycznych uwarunkowań realizacji stosunków umownych pomiędzy KSSiP a e[...] sp. z o.o. Jak wynika z akt sprawy przedmiotem zlecenia A. M. - pracownika KSSiP - skierowanego drogą mailową w dniu [...] lutego 2020 r. o godz. [...] do K. J. - pracownika e[...] sp. z o.o. - było wykonanie kopii bazy danych, a następnie przeniesienie jej do wskazanej lokalizacji: "[...] lutego 2020 r. o godz. [...] A. M. skierował do e[...] wiadomość z prośbą o (...) wykonanie kopii bazy danych [...]" oraz spakowanie katalogu [...] z serwera PROD " i,, (...) przeniesienie powyższych 2 kopii na nowy serwer PROD eKSSiPu W odpowiedzi pracownik e[...], K.J., zwrócił się o doprecyzowanie ww. prośby m. in. poprzez wskazanie adresów IP serwerów oraz pełnych ścieżek do zasobów źródłowych i docelowych, wskazując na nieznajomość wewnętrznych oznaczeń usług i zasobów KSSiP. Po przekazaniu tych informacji przez A. M., tego samego dnia, K.J. w wiadomości e-mail o godz. [...] poinformował o zakończeniu "kopiowania". Powyższe wiadomości e-mail stanowią załączniki do pisma e[...] sp, z o.o. z dnia [...] lipca 2020 r., które są tożsame z wyjaśnieniami KSSiP złożonymi w pkt 3 pisma z dnia [...] kwietnia 2020 r.

Skarżący wskazuje, iż w tym kontekście należy zauważyć, że w powyższym zakresie ustalenia leżące u podstaw zaskarżonej decyzji są sprzeczne z zebranym materiałem dowodowym. W szczególności skarżący podkreślał, iż błędne jest ustalenie, iż KSSiP zdecydowała o "nieangażowaniu podmiotu przetwarzającego w proces migracji" (s. 19 uzasadnienia zaskarżonej decyzji). Powyższe jednoznacznie wskazuje, że KSSiP dokonał zlecenia tejże migracji, co zresztą organ stwierdził na s. 5, przyjmując tym samym wewnętrznie sprzeczne ustalenia faktyczne. Jak wynika z powyższego KSSiP zlecił przeniesienie danych pomiędzy dwoma konkretnie wskazanymi lokalizacjami, znajdującymi się na serwerach będących w dyspozycji e[...] sp. z o.o. Organ nie uwzględnił przy tym okoliczności, że to e[...] sp. z o.o. udostępniał (hostował) KSSiP obie te lokalizacje. Wbrew zatem ustaleniom zaskarżonej decyzji, przeniesienie bazy danych odbywało się w ramach zawartej umowy. Błędnie zatem argumentował organ, że e[...] sp. z o.o. "nie miał obowiązku (...) prowadzenia czynności konfiguracyjnych w zakresie dostępu do katalogów, czy baz danych, z których aplikacje te korzystają" (s. 13 uzasadnienia zaskarżonej decyzji"). Wadliwie powołał się przy tym na istotę świadczonej usługi i to bez odwołania się do opinii biegłego. KSSiP nie wskazywał sposobu, w jaki migracja ma się odbyć. W szczególności nie formułował potrzeby utworzenia dodatkowej, tymczasowej kopii danych, a tym bardziej jej ewentualnej lokalizacji.

Skarżący zaznaczył, że treść zlecenia, zrozumiała dla obu stron umowy z uwagi na zawodowy charakter przedstawicieli stron, stanowiła przeniesienie danych w ramach infrastruktury jednego podmiotu tj. firmy e[...] sp. z o.o., w tej samej lokalizacji, w związku z czym zasadnie nie zakładano konieczności wdrożenia procedur związanych z choćby chwilowym dostępem do danych z poziomu publicznej sieci internetu. Ww. pracownik e[...] sp. z o.o. podjął jednak samodzielną decyzję o przeniesieniu danych z wykorzystaniem publicznej sieci internetu, mimo, że dane przed i po przeniesieniu były przechowywane wyłącznie w wewnętrznych zasobach tej samej serwerowni. O szczegółach realizacji zlecenia e[...] sp. z o.o. nie powiadomił KSSiP, w szczególności nie poinformował o przesyłaniu danych siecią publiczną, utworzeniu tymczasowej kopii bazy danych ani lokalizacji jej przechowywania. Zatem e[...] sp. z o.o., jak się później okazało, nie zapewniał wystarczających gwarancji dla bezpieczeństwa danych osobowych oraz nie udostępniał administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO. Pracownik e[...] sp. z o.o., bez wiedzy i woli administratora, utworzył w zabezpieczonej lokalizacji platformy szkoleniowej KSSiP tymczasową kopię bazy danych, przeniósł ją do lokalizacji "publicznie otwartej", stamtąd zaś przesłał ją siecią publiczną do bezpiecznej lokalizacji w platformie szkoleniowej e-KSSiP.

Po wykonaniu powyższej czynności ani nie usunął kopii tymczasowej z lokalizacji "publicznie otwartej", nie zablokował dostępu do tej kopii ani też nie powiadomił nikogo o tym, w jaki sposób zrealizował zlecenie. W szczególności podmiot przetwarzający nie powiadomił KSSiP o utworzeniu i lokalizacji tymczasowej bazy danych. Organ nie zauważył, że przedmiotem incydentu nie była baza danych lub jej kopia zlokalizowana zgodnie ze zleceniem KSSiP w katalogach obu platform szkoleniowych, ale tymczasowa kopia bazy danych utworzona bez wiedzy i zgody administratora przez pracownika e[...] sp. z o.o. i umieszczona bez żadnych zabezpieczeń w przypadkowej lokalizacji, o czym nie powiadomiono KSSiP. Powyższe, tj. błędne rozumowanie Organu co do przebiegu procesu i sposobu realizacji zlecenia, które doprowadziły do wycieku danych do publicznej sieci, było zdaniem skarżącego wynikiem zaniechania Organu dopuszczenia z urzędu dowodu z opinii biegłego specjalisty informatyka. Dokładne wyjaśnienie stanu faktycznego wymagało właśnie uzyskania wiadomości specjalnych z zakresu informatyki, celem w szczególności ustalenia przyczyn upublicznienia katalogu z bazą danych, co jest okolicznością kluczową dla rozstrzygnięcia sprawy, a także używanych w branży informatycznej określeń specjalistycznych, zwłaszcza w kontekście przedmiotu zlecenia wydanego przez pracownika KSSiP przedstawicielowi podmiotu przetwarzającego w dniu [...] lutego 2020 r. Wydając zaskarżoną decyzję Organ dopuścił się także szeregu naruszeń przepisów prawa materialnego, wskazanych w petitum skargi.

KSSiP oceniając ryzyka związane z migracją danych użytkowników platformy szkoleniowej założył (na podstawie wyniku audytu, a także w oparciu o legitymowanie się przez podmiot przetwarzający certyfikatami wskazującymi na spełnienie norm bezpieczeństwa, o czym szerzej mowa poniżej), że współpracuje z firmą profesjonalną, która wdrożyła środki techniczne i organizacyjne wykluczające opisane powyżej działanie. Z tego też tytułu, nie dysponując (do czasu) żadnymi informacjami, aby zlecone działania cechowała wadliwość, nie podejmowała dodatkowych działań kontrolnych i w tym zakresie nie sposób przypisać KSSiP winy. Wynikało to również z faktu, że zlecenie przeniesienia danych realizował jeden podmiot i we własnych zasobach, który w żadnym wypadku, co należy po raz kolejny podkreślić, nie powinien korzystać z sieci publicznej. Złożone zlecenie kopiowania polegało na przeniesieniu danych pomiędzy dwoma wskazanymi przez KSSiP lokalizacjami, bez (stanowiącego źródło incydentu) etapu pośredniego.

W ocenie skarżącego odrębnym zagadnieniem jest zakres ingerencji administratora w działanie drugiej strony umowy o świadczenie usług hostingu. Niewątpliwie, zważywszy na powierzenie przetwarzania danych osobowych, ma on duży zakres (głównie o charakterze kontrolnym), ale też nie może sprowadzać działań podmiotu przetwarzającego jedynie do fizycznej realizacji szczegółowych wytycznych i poleceń administratora, zwłaszcza przy uwzględnieniu zawodowego charakteru jego działalności. Podmiot przetwarzający samodzielnie zarządza własną infrastrukturą, działa na podstawie wewnętrznych uregulowań (polityka bezpieczeństwa, ISO) i w tym zakresie również ponosi odpowiedzialność za prawidłową realizację zleceń wynikających z zawartych umów, w tym przypadku umowy hostingu. Pracownik e[...] sp, z o.o. przenosząc dane zawierające dane osobowe użytkowników platformy szkoleniowej, wykonując czynności objęte umową dotyczącą usług hostingu, był zobowiązany do prawidłowego i zgodnego ze zleceniem działania. Przy dokonywaniu oceny zastosowanych przez KSSiP środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania PUODO nie uwzględnił, pomimo, iż wynika to z materiału dowodowego zgromadzonego w aktach sprawy, iż e[...] sp. z o.o. w ramach świadczenia usługi hostingu miał spełniać określone normy techniczne związane z bezpieczeństwem informacji, tj. PNISO/IEC 27001, PN-ISO/IEC 27002, PN-ISO/IEC 27005 oraz PN-ISO/IEC 24762, co wynika z treści załącznika nr [...] do umowy głównej. Powyżej wskazane normy stanowią normy dotyczące zarządzania bezpieczeństwem informacji, w celu przeciwdziałania zagrożeniom związanym z bezpieczeństwem informacji takim jak utrata poufności, ograniczenie dostępności i naruszenie integralności informacji. W chwili składania KSSiP oferty na świadczenie usługi hostingu, a także przez cały okres trwania umowy, e[...] sp. z o.o. był zobowiązany do posiadania certyfikatów ISO potwierdzających spełnienie ww. norm i taka sytuacja miała miejsce, o czym mowa poniżej, co uzasadniało w pełni przekonanie KSSiP, iż podjęła współpracę z podmiotem profesjonalnym przy świadczeniu tego typu usług i gwarantującego zachowanie najwyższych standardów bezpieczeństwa w ramach uzyskanych dostępów do danych osobowych, w których posiadaniu się znajdował.

Ponadto, co także nie zostało uwzględnione przez Organ, KSSiP dążąc do zapewnienia maksymalnego poziomu bezpieczeństwa danych, które zostały powierzone e[...] sp. z o.o. w ramach świadczenia usługi hostingu, zlecił innemu podmiotowi z uwzględnieniem jego zawodowego charakteru przeprowadzenie zewnętrznej usługi audytu bezpieczeństwa uwzględniającej metodologię lub zasady określone w innych normach technicznych (PN-EN ISO 19011, ISO/IEC TR 13335 (PN-I-13335-1), ISO 9001, ISO/IEC 29100, PN-ISO 15408- 1, PN-ISO/IEC 18045 i PN-EN ISO 22301). Ww. podmiot miał za zadanie przeprowadzić audyt środowiska sieciowego po stronie hostingodawcy, tj. firmy e[...] sp. z o.o. w celu oceny realnego wdrożenia przez tą firmę ww. norm ISO z rodziny 27000, a określonych w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2021 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz.U. z 2017 r., poz. 2247) oraz ewentualnie innych dodatkowych norm i certyfikatów w zakresie świadczenia usługi hostingu właśnie w części dotyczącej platformy szkoleniowej.

W ocenie Skarżącego przyjęte przez KSSiP środki techniczne i organizacyjne w rozumieniu art. 32 ust. 1 i 2 RODO należy uznać za odpowiednie i uwzględniające ryzyko wiążące się z przetwarzaniem. Mechanizm naruszenia ochrony danych w wyniku błędu pracownika podmiotu przetwarzającego wskazuje, że wymienione w uzasadnieniu zaskarżonej decyzji środki zaradcze, jakie zdaniem Organu powinna była podjąć Skarżąca nie były mu w stanie przeciwdziałać. Niezależnie bowiem od stopnia skrupulatności KSSiP pracownik e[...] sp. z o.o. i tak mógł podjąć samodzielną decyzję o upublicznieniu lokalizacji, w której znajduje się baza danych. Organ wadliwie przyjął, iż Skarżąca nie wdrożyła odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, bez uwzględnienia stanu wiedzy technicznej, charakteru, zakresu, kontekstu i celu przetwarzaniu, nie uwzględniając, iż mechanizm naruszenia ochrony danych osobowych tj. nieprawidłowe skonfigurowanie maszyny hostującej, nie leżało po stronie Skarżącej. Organ nie ustalił zresztą przyczyn skonfigurowania tejże maszyny, mimo że dostrzegł, że było ta to okoliczność, która w ogóle umożliwiła wyciek danych. Co więcej, ani w sentencji, ani w uzasadnieniu zaskarżonej decyzji, Organ nie wskazał jakie środki techniczne i organizacyjne, mające zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, w kontekście spełnienia obowiązków o których mowa w art, 32 ust. 1 RODO, miała stosować Skarżąca w sytuacji, gdy źródłem incydentu był wyłącznie eksces pracownika podmiotu przetwarzającego, który nastąpił bez wiedzy i zgody KSSiP, a który pozostaje w sprzeczności zarówno z uregulowaniami umownymi łączącymi strony jak i zasadami stosowania środków techniczno-organizacyjnych przez podmiot przetwarzający w rozumieniu RODO. Innymi słowy Organ nie wziął pod uwagę, iż jakakolwiek weryfikacja KSSiP (w kontekście oceny realizacji obowiązków określonych w RODO) - wobec charakteru błędu pracownika e[...] sp. z o.o. - nie była w stanie zapobiec naruszeniu. Przy dokonywaniu oceny działań administratora Organ w żaden sposób nie odniósł się do dokumentów zawartych w aktach sprawy, potwierdzających brak należytego wykonywania umowy hostingu przez podmiot przetwarzający dane osobowe. Należy w tym miejscu przypomnieć po raz kolejny, iż usługa hostingu była świadczona w ramach serwerów będących w dyspozycji wykonawcy, a zlecona w dniu [...] lutego 2020 r. czynność testowej migracji danych miała się odbywać wyłącznie w ich ramach, bez korzystania z dostępu do sieci publicznej. Jak wynika z dokumentów złożonych do akt przez Skarżącą, w dniu [...] kwietnia 2020 r., a zatem po stwierdzeniu zaistnienia incydentu, pracownik KSSiP zwrócił się do przedstawiciela e[...] o "(...) sprawdzenie dlaczego wszystkie pliki widoczne są w sieci [...]". W odpowiedzi wskazano, iż "listowanie katalogu zostało wyłączone". Okoliczność ta jednoznacznie potwierdza, że konfiguracja lokalizacji bazy danych, którą Organ ustalił jako "nieprawidłowe ustalenie maszyny hostującej" leżała po stronie e[...] sp. z o.o. To bowiem podmiot przetwarzający zmienił tę nieprawidłową konfigurację, a zatem miał możliwość jej ustalenia. W tym kontekście za dowolne należy uznać ustalenia, że wobec wskazania przez e[...] sp. z o.o. szeregu możliwości konfiguracyjnych leżących po stronie Skarżącej, które mogły skutkować upublicznieniem katalogu zawierającego kopię bazy danych bezpośrednio po adresie IP, to właśnie konfiguracja dokonana przez pracowników KSSiP była przyczyną upublicznienia bazy danych.

Ponadto, jak wynika z notatek załączonych do pisma KSSiP z dnia [...] kwietnia 2020 r., w dniu [...] kwietnia 2020 r, pracownik KSSiP, analizując informacje zawarte w panelu służącym do zarządzania serwerami oraz pocztą elektroniczną (usługi dostarczane w ramach umowy z e[...]) stwierdził obecność wpisów wskazujących na pobranie w dniu [...] kwietnia 2020 r. za pośrednictwem dwóch adresów IP, plików znajdujących się w lokalizacji dostępnej z przeglądarki internetowej, bezpośrednio po adresie IP, bez konieczności podawania domeny internetowej [...]. Jednym z tych plików był plik zatytułowany "[...]", o rozmiarze [...] GB, ostatnio modyfikowany [...] lutego 2020 r. Pomimo posiadania wiedzy przez Organ o powyższych okolicznościach, które świadczą o braku kontroli podmiotu przetwarzającego nad danymi znajdującymi się na serwerach będących w jego posiadaniu, nie zostały one wzięte pod uwagę przy ocenie materiału dowodowego, a świadczą o braku wdrożenia przez e[...] sp. z o.o. adekwatnych środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanym z przenoszeniem bazy danych z jednej udostępnianej przez siebie lokalizacji do drugiej takiej lokalizacji, w wyniku czego ta pierwsza lokalizacja pozostawała publiczna, co z kolei umożliwiało osobom nieuprawnionym uzyskanie dostępu do danych osobowych przetwarzanych w imieniu Skarżącego. Wynikiem braku wszechstronnej analizy materiału dowodowego sprawy było przedwczesne i wadliwe umorzenie postępowania względem podmiotu przetwarzającego. Powyższe, zdaniem skarżącego, uzasadnia zarzut naruszenia przez Organ art. 32 ust. 1 RODO w zw. z art. 105 § 1 k.p.a. Co istotne, Organ nie wziął pod uwagę, iż zgodnie z art. 32 ust. 1 lit. d RODO regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest obowiązkiem nie tylko administratora, ale także podmiotu przetwarzającego, który w tym wypadku aż do momentu zwrócenia uwagi przez pracownika KSSiP w kwietniu 2020 r. nie podjął żadnych działań celem zweryfikowania, czy dane osobowe zlokalizowane na serwerach będących w jego dyspozycji są bezpieczne.

Prezes Urzędu Ochrony Danych Osobowych wnosił o oddalenie skargi w całości.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2018 r., poz. 1302 ze zm.; zwanej dalej: "p.p.s.a."), sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Oznacza to, iż zadaniem wojewódzkiego sądu administracyjnego jest zbadanie legalności zaskarżonego aktu pod względem jego zgodności z prawem, to znaczy ustalenie czy organ prawidłowo zinterpretował i zastosował przepisy prawa w odniesieniu do właściwie ustalonego stanu faktycznego. W przypadku stwierdzenia, iż w sprawie naruszono przepisy – czy to prawa materialnego, czy też postępowania – sąd uchyla zaskarżoną decyzję i zwraca sprawę do postępowania przed organem administracyjnym, właściwym do jej rozstrzygnięcia.

Oceniając zaskarżoną decyzję w ramach powyższych kryteriów należało uznać, iż skarga podlega oddaleniu w całości.

Prezes Urzędu Ochrony Danych Osobowych w zaskarżonej decyzji stwierdził:

1) naruszenie przez Krajową Szkołę Sądownictwa i Prokuratury z siedziby w [...] przepisów art. 5 ust. 1 lit. f), art. 25 ust. 1, art. 28 ust. 3, art. 32 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej "rozporządzeniem 2016/679", polegające na niezrealizowaniu obowiązków ciążących na administratorze, wynikających z rozporządzenia 2016/679, poprzez:

a) niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania, brak przetestowania i oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględnienie ryzyka związanego ze zmianami w procesie przetwarzania,

b) powierzenie przetwarzania danych osobowych e[...] Sp. z o.o. z siedzibą w [...] przy Al. [...], z naruszeniem art. 28 ust. 3 rozporządzenia 2016/679, tj. bez umownego zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, a także bez określenia w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz bez doprecyzowania rodzaju danych osobowych przez wskazanie ich kategorii, nałożył na Krajową Szkołę Sądownictwa i Prokuratury z siedzibą w [...] przy ul. [...], administracyjną karę pieniężną w wysokości 100 000 PLN (sto tysięcy złotych);

2) w pozostałym zakresie postępowanie umorzył.

Przepisy rozporządzenia 2016/679 zobowiązują administratorów, jak i podmioty przetwarzające do przyjęcia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku.

Organ zbadał zgodność zawartej umowy powierzenia z przepisami o ochronie danych osobowych oraz zakres odpowiedzialności stron tej umowy, uwzględniając ww. przepisy rozporządzenia 2016/679, a w szczególności kryteria zawarte w art. 28 ust. 3 rozporządzenia 2016/679.

Bezspornym jest, iż KSSiP, powierzając przetwarzanie danych osobowych e[...], nie zawarła w umowie powierzenia przetwarzania danych osobowych kategorii osób oraz nie doprecyzowała rodzaju danych osobowych przez wskazanie ich kategorii, (art. 28 ust. 3 rozporządzenia 2016/679). Ponadto, KSSiP, powierzając przetwarzanie danych osobowych e[...], nie zawarła w umowie zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora, co stanowi naruszenie art. 28 ust. 3 lit. a) rozporządzenia 2016/679.

Powyższe wskazuje, iż stwierdzone w punkcie 1 lit. b), decyzji z dnia [...] lutego 2021 roku naruszenie art. 23 ust. 3 rozporządzenia 2016/679 miało miejsce.

Bardziej złożony charakter ma ocena prawidłowości przypisania skarżącemu naruszenia określonego w punkcie 1 lit. a) decyzji z dnia [...] lutego 2021r. Naruszenie dotyczyło tzw. niewłaściwego uwzględnienia ryzyka związanego ze zmianami w procesie przetwarzania. Do oceny wskazanych okoliczności niezbędne będzie odwołanie się do ustalonego stanu faktycznego.

W związku z procedurą przyjętą w celu uruchomienia nowej platformy, zaplanowano dwa etapy migracji: "testowy" i "produkcyjny".

Migracja "testowa" odbyła się w dniach [...] lutego 2020 r., a "produkcyjna" - w dniach [...] lutego – [...] marca 2020 r.

• W dniach [...] lutego 2020 r., pracownik działu informatycznego KSSiP, A. M. oraz Dyrektor Działu Informatycznego KSSiP, P. T., otrzymali wiadomości od wykonawcy nowej platformy, O.[...] S.A., z harmonogramem jej wdrożenia i zakresem odpowiedzialności za poszczególne obszary (KSSiP/OPGK).

• [...] lutego 2020 r. o godz. [...] A. M., skierował do e[...] wiadomość e-mail z prośbą o "(...) wykonanie kopii bazy danych [...]" oraz (...) spakowanie katalogu [...] z serwera PROD" i przeniesienie powyższych 2 kopii na nowy serwer PROD eKSSiPu".

W odpowiedzi pracownik e[...], K. J., zwrócił się o doprecyzowanie ww. prośby m.in. poprzez wskazanie adresów IP serwerów oraz pełnych ścieżek do zasobów źródłowych i docelowych, wskazując na nieznajomość wewnętrznych oznaczeń usług i zasobów KSSiP. Po przekazaniu tych informacji przez A. M., tego samego dnia, K. J. w wiadomości e-mail o godz. [...] poinformował o zakończeniu "kopiowania".

• [....] lutego 2020 r. o godz. [...], z uwagi na wypełnione założenia migracji "testowej", A. M., [w] związku z przeprowadzaną migracją (...)" zwrócił się o wykonanie czynności analogicznych jak w przypadku czynności wykonanych [...] lutego 2020 r. wskazując od razu adresy IP oraz pełne ścieżki do zasobów źródłowych i docelowych. Powyższe, tego samego dnia, zostało zrealizowane i potwierdzone korespondencją K. J.,

• [...] kwietnia 2020 r. w serwisie [...] nieznana osoba umieściła link do pliku hostowanego na platformie [...], stanowiącego kopię tabeli użytkowników z bazy danych Platformy Szkoleniowej KSSiP.

• [...] kwietnia 2020 r. Komenda Główna Policji powiadomiła administratora o powyższych okolicznościach. Tego samego dnia, na podstawie zapisu ostatniego logowania z udostępnionej publicznie tabeli użytkowników oraz kopii bazy danych, w której posiadaniu było O.[...] S.A., wykorzystywanej w ramach "testowej" migracji, KSSiP stwierdziła, że do naruszenia ochrony danych osobowych doszło [...] lutego 2020 r., tj. w dniu, w którym czynności na bazie danych zlecano podmiotom przetwarzającym, tj. e[...] oraz wykonawcy nowej platformy – O.[...] S.A.

KSSiP, zgodnie z przyjętym przez siebie celem i sposobem przetwarzania, zdecydowała, że po zakończeniu procesu migracji żadna kopia bazy danych nie powinna pozostać. Zarówno przed, jak i po zleceniu czynności [...] lutego 2020 r. oraz [...] lutego 2020 r., administrator nie zweryfikował, czy wspomniana kopia nadal znajduje się na zasobach KSSiP. Dopiero dnia [...] kwietnia 2020 r. pracownik KSSiP, A.M., skierował do e[...] pytanie o to, czy dane znajdujące się w ww. lokalizacji są bezpieczne.

Prezes UODO słusznie przyjął, iż skoro administrator podjął decyzję, że wspomniana kopia bazy danych powinna zostać usunięta, to jego obowiązkiem była weryfikacja, czy czynność ta została wykonana. Nawet jeśli w wyniku błędu pracownik e[...] nie usunął wykonanej kopii, to na administratorze nadal ciążył obowiązek weryfikacji, czy wskazana lokalizacja zapewnia bezpieczeństwo przetwarzania. To administrator jest inicjatorem podejmowanych działań jako podmiot decydujący o celach i sposobach przetwarzania. Zgodnie z umową o świadczenie usług, to jemu zostało udostępnione środowisko, w którym tego przetwarzania dokonuje i to on w pierwszej kolejności odpowiada za jego bezpieczeństwo, a jak wynika z umowy o świadczenie usług, w razie konieczności korzysta z pomocy podmiotu przetwarzającego.

Należy podkreślić, iż podmiot przetwarzający wykonał szereg czynności w kwestii ustalenia, jak doszło do upublicznienia katalogu głównego bezpośrednio po adresie IP serwera. Jak wskazuje e[...], obszerna dokumentacja oprogramowania panelowego nie daje odpowiedzi na to pytanie, gdyż zgodnie z tą dokumentacją, konfiguracja uniemożliwiająca taki dostęp była w chwili sprawdzenia (tj. po stwierdzeniu naruszenia przez KSSiP) ustawiona zgodnie z oczekiwaniami. Podmiot przetwarzający wskazuje, że w jego ocenie, jedną z przesłanek wskazujących, iż miały miejsce zmiany w ustawieniach oprogramowania służącego do zarządzania hostingiem, jest korespondencja z KSSiP pomiędzy [...] lutego 2020 r. a [...] marca 2020r. w sprawie udostępnienia platformy szkoleniowej po adresie IP, czego e[...] odmówił powołując się na względy techniczne i bezpieczeństwo danych. Ponadto, e[...] w oparciu o przeprowadzone analizy wskazuje, że indeksacja katalogu głównego hostingu (tj. udostępnienie go wyszukiwarkom internetowym), na którym znajdowała się kopia bazy danych, miała miejsce pomiędzy [...] a [...] lutego 2020 r.

Podsumowując stan faktyczny i stan wiedzy nie daje odpowiedzi na pytanie czy "wyciek" danych nastąpił w wyniku błędu pracownika e[...], czy też na skutek innych czynników. KSSiP w toku całego postępowania podkreślała, iż to czynnik ludzki (pracownik e[...]) był winny takiemu zdarzeniu. Kolejno e[...] zaprzeczał takim twierdzeniom, jako nieuprawnionym.

Prezes UODO przyjął, iż dla organu nie jest to czynnik przesądzający i wymagany do wydania decyzji. Organ dokonał oceny działalności administratora poprzez pryzmat obowiązujących przepisów.

W ocenie Sądu założenie to należy przyjąć za słuszne, bowiem Prezes UODO nie "dubluje" w żadnym razie uprawnień organów Prokuratury czy też Sądu Karnego. Ocenia działania KSSiP poprzez analizę stanu faktycznego i wykładnię podanych w decyzji przepisów. Powyższe wskazuje, iż nie było po stronie organu podstaw do zawieszenia postępowania do czasu zakończenia postępowania karnego czy też powoływania dowodu z opinii biegłego z zakresu informatyki lub innej właściwej dla zdarzenia specjalności.

Tak jak wskazał organ z art. 28 ust. 3 lit. f) rozporządzenia 2016/679 wynika obowiązek podmiotu przetwarzającego wspierania administratora w wywiązywaniu się z obowiązków określonych w art. 32-36 tego rozporządzenia, jest on jednak opatrzony warunkami, które należy za każdym razem uwzględnić, tj. charakter przetwarzania oraz dostępne podmiotowi przetwarzającemu informacje. W § 3 pkt 6 umowy powierzenia określono, że podmiot przetwarzający pomaga w tym zakresie "w miarę możliwości". KSSiP jednak w zleceniach z [...] lutego 2020 r., jak i [...] lutego 2020 r., nie zwrócił się z prośbą o uprzednie zweryfikowanie bezpieczeństwa wskazanej lokalizacji oraz nie poinformował e[...] o okolicznościach prowadzonych czynności, tj. prowadzonej migracji, której przedmiotem są dane osobowe 50 283 osób. Zgodnie z charakterem umowy podmiot przetwarzający, nie ma prawa ingerować w konfigurację bez uprzedniego udokumentowanego polecenia administratora. Kontekst prowadzonych działań był znany wyłącznie administratorowi i to na nim spoczywał bezwzględny obowiązek upewnienia się, czy prowadzone czynności nie będą narażały osób, których przetwarzanie danych dotyczy, na naruszenie ich praw lub wolności. Rozważania organu w tym zakresie należy uznać za prawidłowe i jak najbardziej zasadne.

Jak ustalił organ, korespondencja elektroniczna zawierająca plan wdrożenia nowej platformy wskazuje strony (KSSiP/OPGK) jako odpowiedzialne za poszczególne czynności. Załączony harmonogram wskazuje, że za całość operacji związanych z wykonaniem kopii bazy danych i przekazaniem jej do serwera docelowego, odpowiedzialny był KSSiP. Jak wynika ze zgromadzonego materiału dowodowego, e[...] nie był angażowany ani informowany o charakterze podejmowanych czynności. Pracownik e[...], K. J., nie miał więc żadnych informacji o wprowadzanych przez KSSiP zmianach w procesach przetwarzania danych osobowych zawartych w pliku będącym kopią bazy danych z [...] lutego 2020 r., a czynności realizowane przez ww. pracownika stanowiły realizację zadań wynikających z umowy o świadczenie usług, tj. m.in. w ramach wsparcia technicznego.

Skarżący podnosił, iż zlecił przeniesienie danych pomiędzy dwoma konkretnie wskazanymi lokalizacjami, znajdującymi się na serwerach będących w dyspozycji e[...] sp. z o.o. Organ nie uwzględnił przy tym okoliczności, że to e[...] sp. z o.o. udostępniał (hostował) KSSiP obie te lokalizacje. Wbrew zatem ustaleniom zaskarżonej decyzji, przeniesienie bazy danych odbywało się w ramach zawartej umowy. Zdaniem skarżącego błędnie zatem argumentował organ, że e[...] sp. z o.o. "nie miał obowiązku (...) prowadzenia czynności konfiguracyjnych w zakresie dostępu do katalogów, czy baz danych, z których aplikacje te korzystają" (s. 13 uzasadnienia zaskarżonej decyzji"). Wadliwie powołał się przy tym na istotę świadczonej usługi i to bez odwołania się do opinii biegłego. KSSiP nie wskazywał sposobu, w jaki migracja ma się odbyć. W szczególności nie formułował potrzeby utworzenia dodatkowej, tymczasowej kopii danych, a tym bardziej jej ewentualnej lokalizacji. Skarżący odwołuje się zatem do błędu pracownika e[...], który w ocenie KSSiP spowodował zaistniałą sytuację.

Jak już wcześniej Sąd zaznaczył stanowisko to należy uznać za błędne. Prezes OUDO realizuje ustawowy obowiązek zbadania prawidłowości usług przetwarzania danych osobowych oraz prawidłowość uwzględnienia ryzyka związanego z samym procesem oraz jego zmianami. Ustalony w sprawie stan faktyczny nie daje odpowiedzi na jakim etapie doszło do nieprawidłowości skutkujących bezpośrednio "wyciekiem" danych, natomiast wyraźnie wskazuje jakie procedury zostały złamane i jakie przepisy naruszono. Przy czym słusznie organ przyjął, iż w powyższym zakresie odpowiedzialność spoczywa na administratorze danych a nie na podmiocie przetwarzającym. Rolą administratora (w przedmiotowej sprawie KSSiP) było bowiem wdrożenie regulacji w takiej formie aby zapewnić bezpieczeństwo w procesie przetwarzania danych osobowych. Tym wymogom KSSiP nie sprostał czego konsekwencją bezpośrednią był "wyciek" danych a pośrednią decyzja Prezesa UODO, która na te okoliczności wskazywała.

Zgodnie z artykułem 5 rozporządzenia 2016/679:

Dane osobowe muszą być:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość");

b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu");

c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych");

d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość");

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania");

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").

2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność").

Należy zwrócić uwagę, iż to administrator (KSSiP) jest odpowiedzialny za przestrzeganie ww. przepisów. Na nim spoczywa też ciężar dowodowy w przypadku wątpliwości na tym tle (obowiązek wykazania ich przestrzegania).

Wojewódzki Sąd Administracyjny w Warszawie podziela zapatrywanie organu, że KSSIP jako administrator danych osobowych w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania tych danych i w ten sposób naruszyła art. 5 ust. 1 lit. e, art, 5 , art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3, art. 32 ust. 1 i 2 rozporządzenia 2016/679.

Z okoliczności sprawy wynika, że skarżąca nie dokonała oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych czy zasady ograniczenia przechowywania danych (art. 5 ust. 1 lit. f i lit. e rozporządzenia), wynikającego z zagrożenia jakim jest możliwość eksportowania z systemu danych osobowych na platformę internetową o charakterze ogólnie dostępnym. Skarżąca nie wykazała, zgodnie z zasadą rozliczalności, aby jako administrator danych osobowych dokonała analizy ryzyka związanego z przetwarzaniem danych osobowych oraz nadzorowała przestrzeganie przez podmiot przetwarzający (Spółkę e[...]) zasad dotyczących przetwarzania danych osobowych, określonych w przepisach prawa powszechnie obowiązującego oraz w Polityce Bezpieczeństwa, Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych. Administrator wykonując swoje zadania nie uwzględnił ryzyka związanego z operacjami przetwarzania danych, co stanowi o naruszeniu przez KSSiP, jako administratora danych, art. 32 ust. 1 oraz art. 32 ust. 2 rozporządzenia 2016/679.

Oceniając sprawę w podanym wyżej zakresie należało uznać zarzuty skargi za niezasadne.

Kolejno, z treści art. 84 ust. 1 pkt b rozporządzenia RODO wynika, że przewidziana w rozporządzeniu odpowiedzialność administracyjna w postaci kar pieniężnych jest odpowiedzialnością obiektywną (za sam skutek czyli naruszenie prawa), a więc niezależną od winy sprawcy (wina może mieć jedynie wpływ na wysokość kary). Z tych względów prawnych wyjaśnienia KSSiP, że nie mogły mieć istotnego znaczenia przy podjęciu decyzji o nałożeniu kary. Natomiast, Prezes UODO, uwzględnił okoliczności wymienione w art. 83 ust. 2 rozporządzenia, takie jak: charakter, wagę i czas trwania naruszenia, kategorie danych osobowych, których dotyczyło naruszenie; liczbę poszkodowanych osób, rozmiar poniesionej przez nie szkody, stopień odpowiedzialności administratora, który w procesie przetwarzania danych nie stosował właściwych zasad dotyczących przetwarzania danych osobowych, określonych w rozporządzeniu, ale także okoliczności łagodzące, mające wpływ na wymiar kary, takie jak podjęcie przez administratora możliwych działań mających na celu możliwie szybkie usunięcie naruszenia, działania podjęte w celu złagodzenia jego ewentualnych negatywnych skutków; współpracę KSSiP z organami po ustaleniu, że doszło do naruszenia oraz w trakcie postępowania oraz fakt, że KSSiP nie dopuściła się uprzednio naruszenia przepisów rozporządzenia.

Prezes UODO zasadnie przyjął również, iż nie zachodzą przesłanki pozwalające stwierdzić naruszenie przez e[...] obowiązków wynikających z art. 32 ust. 1 i 2 rozporządzenia 2016/679 oraz art. 32 w związku z art. 28 ust. 3 lit. f) rozporządzenia 2016/679. W konsekwencji Prezes UODO prawidłowo umorzył postępowanie w powyższym zakresie.

Administrator nie przedstawił dokumentacji dotyczącej polityki bezpieczeństwa danych. KSSiP do pisma z [...] lipca 2020 r. załączył korespondencję elektroniczną zawierającą plan wdrożenia nowej platformy wskazujący strony (KSSiP/OPGK) odpowiedzialne za poszczególne czynności. Natomiast, e[...] załączył m.in. kserokopie polityk bezpieczeństwa, regulaminy, w tym regulamin świadczenia usług, raporty z audytu wewnętrznego ISO/EIC 27001, dokumenty dotyczące szacowania ryzyka w organizacji, procedury przyznawania dostępów i kontroli nadanych uprawnień w systemach informatycznych, dokumenty potwierdzające upoważnienie do przetwarzania oraz kwalifikacje zawodowe pracownika K. J..

Załączony przez KSSiP harmonogram wskazuje, że za całość operacji związanych z wykonaniem kopii bazy danych i przekazaniem jej do serwera docelowego, odpowiedzialny był KSSiP. Jak wynika ze zgromadzonego materiału dowodowego, e[...] nie był angażowany ani informowany o charakterze podejmowanych czynności, co wielokrotnie podmiot przetwarzający podkreśla w złożonych wyjaśnieniach. Pracownik e[...], K.J., nie miał więc żadnych informacji o wprowadzanych przez KSSiP zmianach w procesach przetwarzania danych osobowych zawartych w pliku będącym kopią bazy danych z [...] lutego 2020 r., a czynności realizowane przez ww. pracownika stanowiły realizację zadań wynikających z umowy o świadczenie usług, tj. m.in. w ramach wsparcia technicznego. Słusznie Prezes UODO przyjął zatem, iż nie były to działania polegające na czynności "udostępnienia", czy nadania "publicznych" uprawnień umożliwiających "(...) nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym KSSiP. W związku z powyższym nie było podstaw do zarzucenia podmiotowi przetwarzającemu naruszenia obowiązku wspierania administratora w wywiązywaniu się z obowiązków określonych w art. 32 rozporządzenia 2016/679.

Mając powyższe na względzie Wojewódzki Sąd Administracyjny w Warszawie stwierdził, ze zarzuty skargi są nieuzasadnione i dlatego na podstawie art. 151 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 z późn. zm.), orzekł jak w sentencji.



Powered by SoftProdukt