Kontrola UODO
Testowa migracja danych na nową platformę szkoleniową KSSIP skutkowała wyciekiem informacji personalnych sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych, asystentów sędziów, asystentów prokuratorów, kuratorów zawodowych oraz urzędników sądów i prokuratury.
Ujawnione zostały dane, takie jak: imię i nazwisko, adres e-mail, nazwa użytkownika, numer telefonu, jednostka, wydział, adres jednostki, miejscowość, numer ewidencyjny PESEL.
Zgłoszenie naruszenia ochrony danych osobowych skierowane do Prezesa UODO spowodowało podjęcie przez organ nadzorczy czynności kontrolnych, mających na celu ustalenie przyczyn wycieku danych.
Problematyczna w sprawie okazała się treść umowy powierzenia przetwarzania danych jaką KSSIP zawarła z podmiotem świadczącym usługi związane z hostingiem platformy szkoleniowej.
Zdaniem Prezesa UODO, umowa:
- w sposób niewystarczający doprecyzowywała zakres powierzanych danych,
- nie zawierała postanowień, które choćby w ogólny sposób zobowiązywały podmiot przetwarzający do działania wyłącznie na udokumentowane polecenie administratora,
- nie nakładała na procesora obowiązków związanych z monitorowaniem bezpieczeństwa danych osobowych.
Ponadto, w ocenie organu nadzorczego, KSSIP jako administrator danych w niedostateczny sposób zaangażowała podmiot przetwarzający w proces migracji i nie udzieliła pełnych informacji o podejmowanych czynnościach i oczekiwanych rezultatach, jak i o istotności podejmowanych działań, pod kątem ochrony danych osobowych.
Przyczyny wycieku danych
Jak wskazano w decyzji: „W ocenie Prezesa UODO model współpracy administratora z podmiotem przetwarzającym był nieskuteczny. Nieporozumienia wynikające z przedstawionej korespondencji i brak zrozumienia przez administratora roli, jaką pełni w relacji z podmiotem przetwarzającym, doprowadziły do naruszenia ochrony danych osobowych.”
Prezes UODO nie miał zarzutów do działań podmiotu przetwarzającego. Stwierdził, że procesor wypełniał obowiązki wynikające z umowy powierzenia i umowy głównej, a także stosował przyjęte przez siebie środki organizacyjne mające na celu zapewnienie bezpieczeństwa systemów informatycznych.
W ocenie Prezesa UODO to KSSiP nie wywiązała się ze swoich obowiązków, jako administrator danych poprzez nie dokonanie właściwej analizy i oceny ryzyk związanych z przeprowadzanym procesem migracji. Za niewystarczające, uznał Prezes UODO, ograniczenie analizy ryzyk do oceny kwalifikacji hostingodawcy. Korzystanie z usług profesjonalnego hostingodawcy, posiadającego niezbędne certyfikaty (w tym ISO), samo w sobie nie ogranicza ryzyk związanych z bezpieczeństwem danych. Działanie takie, Prezes UODO uznał za nieadekwatne do charakteru podejmowanych czynności w związku z migracją, jak i charakteru zawartej umowy usługi hostingu. Przede wszystkim jednak, jak stwierdził Prezes UODO, KSSIP jako administrator nie upewniła się, że przetwarzane dane osobowe będą odpowiednio zabezpieczone.
Działania KSSIP Prezes UODO ocenił jako rażące zaniedbanie obowiązków i naruszenie przepisów RODO poprzez niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zagwarantować zdolność do ciągłego zapewnienia poufności usług przetwarzania oraz brak przetestowania i oceny skuteczności środków technicznych i organizacyjnych, a tym samym niewłaściwe uwzględnienie ryzyka związanego ze zmianami w procesie przetwarzania.
Powołując się na orzecznictwo sądów administracyjnych, Prezes UODO wskazał, że dla procesów związanych z ochrona danych fundamentalne jest wprowadzenie takich rozwiązań, które będą adekwatne do poziomu ryzyk i które uwzględniają charakter wykorzystywanych mechanizmów przetwarzania danych osobowych. Analiza prowadzonych procesów przetwarzania danych i ocena ryzyka spoczywa na administratorze. To administrator jest odpowiedzialny za to, aby zastosowane środki i procedury były adekwatne do oszacowanego ryzyka.
Wynika z tego, że w tym zakresie, administrator nie może przerzucać odpowiedzialności na podmiot przetwarzający, nawet jeśli podmiot ten jest profesjonalistą w zakresie prowadzonej przez siebie działalności.
Nałożona kara
Mając na względzie kategorie danych osobowych, których dotyczyło naruszenie ochrony danych osobowych, charakter i wagę naruszenia oraz wysoki stopień odpowiedzialności administratora, Prezes UODO zdecydował o nałożeniu na KSSIP maksymalnej kary pieniężnej, w wysokości 100.000 złotych.
Wpływ na wysokość kary miała liczba poszkodowanych osób (powyżej 50 tys., w tym ponad 40 tys. rekordów obejmowało numery PESEL), funkcje pełnione przez te osoby oraz możliwe konsekwencje zaistniałego naruszenia.
Zdaniem Prezesa UODO, ryzyko niezgodnego z prawem posłużenia się danymi osób pełniących funkcje związane z wymiarem sprawiedliwości jest wysokie. Może bowiem skutkować nie tylko szkodą majątkową, ale także kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również działania podjęte przez KSSIP w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, takie jak: skierowanie do Prokuratury Krajowej zawiadomienia o możliwości popełnienia przestępstwa, zgłoszenie naruszenia Prezesowi UODO w terminie, podjęcie czynności mających na celu ustalenie okoliczności w jakich doszło do wycieku danych, poinformowanie osób, których dane dotyczą o incydencie. Jednakże z uwagi na to, że KSSIP jest podmiotem publicznym, wystąpienie tych okoliczności nie miało bezpośredniego wpływu na wysokość nałożonej kary.
Niniejsza decyzja jest doskonałym dowodem na fakt, że Prezes UODO podczas kontroli bierze podczas kontroli pod lupę wszystko, co może mieć związek z odpowiednim stosowaniem przez administratora środków ochrony danych osobowych. W tym przypadku mamy do czynienia z niezwykle szczegółową analizą umowy powierzenia przetwarzania danych. Prezes UODO wskazuje przede wszystkim, że umowy powierzenia powinny być na tyle precyzyjne, aby podmiot przetwarzający wiedział jakie kategorie danych, w jakim zakresie będzie przetwarzał. Istotne jest także odpowiednie sformułowanie obowiązków ciążących na podmiocie przetwarzającym. Zbyt ogólne postanowienia umowy mogą powodować, iż oczekiwania administratora wobec podmiotu przetwarzającego będą szersze niż wynika to z umowy, czy poleceń administratora dotyczących procesów przetwarzania danych.
Ponadto, organ nadzorczy zwrócił także uwagę na kwestie zarządzania ryzykiem przy procesach związanych z przetwarzaniem danych. Jak wynika z decyzji, administrator powinien rozpatrzyć możliwe ryzyka w sposób możliwie jak najszerszy. Przy czym nie chodzi tylko o ryzyko związane z doborem podmiotu przetwarzającego, ale wszelkich okoliczności faktycznych, technicznych i organizacyjnych, które mogą mieć jakikolwiek wpływ na bezpieczeństwo danych osobowych.