W ostatnich miesiącach było głośno co najmniej o kilku decyzjach prezesa Urzędu Ochrony Danych Osobowych, w których nakładał on sankcje na podmioty sektora publicznego: burmistrzów i wójtów. Powodem było naruszenie przepisów RODO, a zarzuty dotyczyły m.in. braku skutecznych zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych oraz brak odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo.
Lektura decyzji wskazuje, że urzędy mają w praktyce problem ze stosowaniem odpowiednich zabezpieczeń i z wdrożeniem w praktyce RODO. Jakie zatem najczęściej są powody nałożenia decyzji? Jakich błędów należy unikać? Przeanalizowaliśmy wybrane decyzje i rekomendujemy działania, które powinni podjąć administratorzy danych osobowych działający w ramach sektora publicznego, w tym m.in. burmistrzowie i wójtowie gmin.
Kilka tygodni temu na stronie internetowej Urzędu Ochrony Danych Osobowych opublikowano informację o nałożeniu kary w wysokości 30 tys. zł na jednego z burmistrzów za dobór nieskutecznych zabezpieczeń dla wykorzystywanego systemu informatycznego oraz za ich nieprzetestowanie (https://www.uodo.gov.pl/pl/138/2764). Sprawa związana była z wystąpieniem ataku ransomware (jest to rodzaj szkodliwego oprogramowania, powodującego utratę dostępności informacji, za przywrócenie której atakujący żąda od zaatakowanego okupu; definicja wskazana w Narodowym Standardzie Cyberbezpieczeństwa; NSC 7298 1.0/2021.09.01.). Jak wynika z komunikatu UODO, organ ten uznał, że faktyczną przyczyną wystąpienia ataku ransomware była m.in. niezaktualizowana baza wirusów. Co więcej, stwierdzono, że administrator przeprowadził w sposób nierzetelny analizę ryzyka (szczególnie w zakresie wykonywania kopii zapasowych), a także wdrożył niepełne środki techniczne i organizacyjne, które miały gwarantować bezpieczeństwo w procesie przetwarzania danych osobowych (decyzja nr DKN.5131.56.2022 z 16 maja 2023 r., https://www.uodo.gov.pl/decyzje/DKN.5131.56.2022).
Brak rekomendacji
Niestety do dnia oddania niniejszego tekstu do druku prezes UODO nie wydał wytycznych dotyczących ochrony danych osobowych w sektorze publicznym, m.in. sposobu identyfikowania pojęcia administratora danych. Oczywiście brak wydania wskazanych wytycznych nie jest okolicznością, która może wpływać na zakres odpowiedzialności podmiotu sektora publicznego. Niemniej jednak ich wydanie na pewno ułatwiłoby realizację wymogów RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE przez podmioty z sektora publicznego.
Brak takich wyraźnych wskazówek sprawia, że urzędy często mają problemy z właściwym stosowaniem przepisów RODO. Przykładem są dwie sprawy dotyczące podobnych okoliczności, ale rodzące konsekwencje dla innych podmiotów. W decyzji nr DKN.5131.12.2020 z 19 stycznia 2023r. prezes UODO nałożył karę administracyjną na Sąd Rejonowy Szczecin-Centrum, natomiast w decyzji nr DKN.5131.22.2021 z 13 lipca 2021 r. prezes UODO nałożył karę na prezesa Sądu Rejonowego w Zgierzu. W obu sprawach bezpośrednim powodem oceny, że doszło do wystąpienia naruszeń, był zagubiony i niezabezpieczony odpowiednio nośnik danych (pendrive) z danymi osobowymi.
Innym przykładem problemu, jaki mają w praktyce samorządy, jest identyfikacja, czy administratorem danych w ramach określonego procesu przetwarzania danych jest jednostka samorządu, czy jej organ wykonawczy lub uchwałodawczy, czy jeszcze inny podmiot, np. szkoła, która jest jednostką organizacyjną niemająca osobowości prawnej (którą ma jej organ prowadzący, np. gmina).
Jaka odpowiedzialność
W takim niejasnym otoczeniu prawnym muszą funkcjonować podmioty sektora publicznego. Z punktu widzenia osób, których dane są przetwarzane, może nie ma to większego znaczenia. Natomiast z perspektywy odpowiedzialności podmiotów sektora publicznego jest to kwestia kluczowa. Zwłaszcza że naruszenie RODO może prowadzić do:
► odpowiedzialności administracyjnej – gdzie sankcją może być np. kara pieniężna nakładana na administratora danych (w praktyce w sektorze publicznym ‒ na organ);
► odpowiedzialności karnej z art. 107 ustawy o ochronie danych osobowych zgodnie z którym:
„1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech”;
► odpowiedzialności karnej za niedopełnienie obowiązków z art. 233 kodeksu karnego.
Kto może zostać ukarany
Na płaszczyźnie prawnokarnej bezpośrednią i osobistą odpowiedzialność może ponieść przede wszystkim piastun organu. Należy też pamiętać, że naruszenie RODO (jeżeli dotyczy aspektu poufności, integralności lub dostępności danych) jednocześnie może stanowić naruszenie wymogów ustawy o krajowym systemie cyberbezpieczeństwa (dalej: ustawa o KSC). Ustawa o KSC dotyczy wszelkich informacji (nie tylko ochrony danych osobowych) i w tym sensie ma charakter szerszy niż RODO. Jednocześnie skupia się na bezpieczeństwie informacji (poufność, dostępność i integralność danych), a nie innych wymogach związanych z ochroną informacji, jak np. minimalizacji czy retencji (jak to jest w RODO).
Jakie błędy są popełniane najczęściej
Wskazana na wstępie sprawa jest tylko jedną z wielu, które dotyczyły sektora publicznego. Obok omówiono najważniejsze z innych decyzji nałożonych przez prezesa UODO na organy administracji. [tabela] Ich analiza może pomóc organom sektora publicznego ocenić, jakie nieprawidłowości mogą być przyczyną nałożenia sankcji przez prezesa UODO, i podpowiedzieć, jakiego rodzaju działania należy podjąć we własnym urzędzie, aby zmniejszyć ryzyko nałożenia sankcji.
Analiza wskazanych spraw przedstawionych w tabeli daje podstawę do wyciągnięcia pouczających wniosków.
► Wniosek 1. Środki ochrony nie zawsze są adekwatne. Bezpośrednią przyczyną prowadzenia przez UODO postępowań w sprawie naruszenia wymogów RODO lub kontroli w tym zakresie jest zwykle materializacja zagrożenia, które powinno być objęte oceną ryzyka wystąpienia i wdrożeniem adekwatnych środków (np. wystąpienie ataku typu ransomware i w konsekwencji utrata dostępności danych lub poufności danych).
► Wniosek 2. Administrator musi mieć świadomość ryzyka naruszenia danych osobowych i odpowiedzialności, jaka na nim ciąży. Chociaż administrator często nie ma kontroli nad wystąpieniem samego zdarzenia wpływającego na naruszenie wymogów RODO (np. atak hakerski), to okoliczność ta nie wyłącza jego odpowiedzialności za oszacowanie ryzyka wystąpienia i skutków tego zdarzenia i wdrożenie odpowiednich środków technicznych lub organizacyjnych w celu uniknięcia jego wystąpienia lub ograniczenia konsekwencji zdarzenia.
► Wniosek 3. Podstawą odpowiedzialności po stronie administratora może być zarówno samo niewdrożenie odpowiednich zabezpieczeń (np. brak testowania scenariuszy reakcji na wystąpienie incydentu), jak i brak sporządzenia oceny ryzyka, brak testowania zaplanowanych zabezpieczeń pod kątem ich adekwatności.
► Wniosek 4. Zdarzenia, których dotyczyły poszczególne sprawy, nie były niemożliwe do przewidzenia ‒ odnosiły się do typowych scenariuszy (tj. omawianych w zasadzie w każdym dokumencie dotyczącym ochrony danych i bezpieczeństwa informacji). Na przykład wystąpienie ataku typu ransomware jest wymienione przez ENISA (Europejską Agencję ds. Cyberbezpieczeństwa) jako jedno z najczęstszych zagrożeń, a podmioty publiczne – jako główny cel tego typu ataków („ENISA Threat Landscape 2022”; www.enisa.europa.eu/publications/enisa-threat-landscape-2022, s. 15).
► Wniosek 5. Administratorzy lekceważą proces oceny ryzyka, uwzględniając tylko oczywiste zagrożenia (np. możliwość skopiowania danych przez pracownika z komputera na przenośną pamięć) czy błędnie określając prawdopodobieństwa wystąpienia zagrożenia wyłącznie na bazie własnych doświadczeń. Jak stwierdził prezes UODO w decyzji z 9 maja 2023 r. (nr DKN.5131.44.2022): „Podkreślić również należy, iż badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt niewystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości” (https://uodo.gov.pl/decyzje/DKN.5131.44.2022).
► Wniosek 6. Administratorzy często błędnie oceniają ryzyko jako niskie lub średnie, mimo że stale rośnie liczba naruszeń, incydentów związanych z bezpieczeństwem przetwarzania informacji (nie tylko danych osobowych).
► Wniosek 7. Stosunkowo często w praktyce dobór środków bezpieczeństwa jest oderwany od realnego ryzyka, jakie może się zmaterializować (można odnieść wrażenie, że środki bezpieczeństwa są określone tylko po to, aby były, bez głębszej refleksji nad ich adekwatnością). Tymczasem w ocenie sądów od administratorów RODO wymaga więcej: „Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych” (Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19.
► Wniosek 8. Brakuje regularnego testowania, mierzenia i oceniania skuteczności zaplanowanych i wdrożonych środków bezpieczeństwa (można odnieść wrażenie, że na dokonaniu oceny ryzyka i jej udokumentowaniu kończy się zarządzanie ryzykiem i ochrona danych osobowych).
13 wskazówek dla administratorów danych
Biorąc pod uwagę występujące w praktyce i opisane powyżej sprawy prowadzone przez prezesa UODO i ich podłoże, można zarekomendować piastunom organów pełniących funkcję administratora określone działania.
► Wskazówka 1: Zdefiniuj zakres swojej odpowiedzialności (a więc m.in. w ramach jakich procesów podejmowanych w urzędzie organ jest administratorem danych).
► Wskazówka 2: Określ podział ról i odpowiedzialności, np. za co odpowiadają kierownicy poszczególnych jednostek, czy mają świadomość wymogów w zakresie RODO.
► Wskazówka 3: Dopilnuj, aby inspektor ochrony danych osobowych spełniał swoje obowiązki wynikające z RODO m.in. w zakresie monitorowania, w tym audytowania procesów przetwarzania.
► Wskazówka 4: Weryfikuj, czy inspektor ochrony danych stosuje ocenę ryzyka naruszenia praw lub wolności – a więc m.in. to, czy jest ona w ogóle przeprowadzana oraz czy jest okresowo aktualizowana.
► Wskazówka 5: Sprawdzaj, czy w ramach oceny ryzyka uwzględniane są najczęściej występujące zagrożenia (np. ransomware, zagubienie pendrive).
► Wskazówka 6: Sprawdzaj, czy wynikiem oceny ryzyka jest planowanie zabezpieczeń, które są adekwatne do ryzyka.
► Wskazówka 7: Dopilnuj, aby uzasadniono dobór tych a nie innych zabezpieczeń.
► Wskazówka 8: Sprawdzaj, czy wdrożono zaplanowane zabezpieczenia.
► Wskazówka 9: Przeprowadzaj regularne szkolenia personelu w zakresie wymogów ochrony danych osobowych (i ogólnie bezpieczeństwa informacji).
► Wskazówka 10: Dokonuj prawdziwego, a nie fikcyjnego przeglądu wdrożenia dokumentacji ochrony danych.
► Wskazówka 11: Weryfikuj, czy stosowane procedury są zrozumiałe, zakomunikowane i przestrzegane (a nie tylko przyjęte na papierze).
► Wskazówka 12: Dopilnuj, aby procedury uwzględniały także scenariusze (pożądany sposób działania) w przypadku wystąpienia zdarzenia, np. w celu ograniczenia jego skutków.
► Wskazówka 13: Audytuj adekwatność zabezpieczeń, w szczególności sprawdzaj, czy są one regularnie testowane. ©℗
Tabela. Wybrane decyzje prezesa UODO nakładające sankcje na organy publiczne za naruszenia RODO
| Numer decyzji, data i podmiot, który został ukarany | Wysokość kary | Rodzaj naruszenia i wskazane przyczyny | Które przepisy RODO naruszono |
| DKN.5131.56.2022z 16 maja 2023 r.;burmistrz miasta Z. | 30 000 zł | Co zakwestionowano: Dobór nieskutecznych zabezpieczeń systemu informatycznego wykorzystywanego do przetwarzania danych osobowych oraz brak odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych.Okoliczności: Działanie złośliwego oprogramowania (ransomware) w wyniku braku aktualizacji oprogramowania. W ocenie UODO „Administrator nie przewidział ryzyka związanego z używaniem oprogramowania serwera, które utraciło wsparcie producenta, a w konsekwencji nie określono żadnych środków minimalizujących to ryzyko”. | art. 5 ust. 1 lit. fart. 5 ust. 2art. 24 ust. 1art. 25 ust. 1art. 32 ust. 1 i 2 |
| DKN.5131.44.2022z 9 maja 2023 r.;burmistrz miasta i gminy W. | 10 000 zł | Co zakwestionowano: Niezastosowanie odpowiednich środków organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, co skutkowało nieuprawnionym wykonaniem kopii danych osobowych z komputera służbowego na przenośny nośnik pamięci przez pracownika urzędu. Okoliczności: Administrator dając możliwość używania przenośnych nośników pamięci (np. pamięci USB), powinien już na tym etapie określić (i wdrożyć) skuteczne środki bezpieczeństwa. Brak odpowiedniej analizy ryzyka uwzględniającej dobór środków do zagrożenia polegającego na nielegalnym skopiowaniu danych z komputera przez pracownika. | art. 5 ust. 1 lit. fart. 5 ust. 2art. 24 ust. 1art. 25 ust. 1art. 32 ust. 1 i 2 |
| DKN.5131.31.2022z 20 kwietnia 2023 r.;rzecznik dyscyplinarny izby adwokackiej | 23 580 zł | Co zakwestionowano: Brak wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających: stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych,▪ regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.Okoliczności: Pominięcie w ocenie ryzyka oczywistego zagrożenia związanego ze zgubieniem przenośnego nośnika pamięci. | art. 5 ust. 1 lit. fart. 5 ust. 2art. 24 ust. 1art. 25 ust. 1art. 32 ust. 1 i 2 |
| DKN.5131.45.2022z 14 marca 2023 r.;Prokuratura Rejonowa w G. | 20 000 zł | Co zakwestionowano: (1) Niezgłoszenie prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.(2) Niezawiadomienie o naruszeniu ochrony danych osobowych bez zbędnej zwłoki osób, których dane dotyczą.Okoliczności: Nieprawidłowa anonimizacja danych osobowych w dokumentach udostępnianych przez administratora. Błędy w ocenie ryzyka w związku z wystąpieniem naruszenia. | art. 33 ust. 1art. 34 ust. 1 |
| DKN.5131.49.2021z 1 marca 2023 r.;spółdzielnia mieszkaniowa | 51 876 zł | Co zakwestionowano: (1) Niezgłoszenie prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. (2) Niezawiadomienie o naruszeniu ochrony danych osobowych bez zbędnej zwłoki osób, których dane dotyczą.Okoliczności: Błędna ocena ryzyka związana z wystąpieniem naruszenia. | art. 33 ust. 1art. 34 ust. 1 |
| DKN.5131.12.2020z 19 stycznia 2023 r.Sąd Rejonowy Szczecin-Centrum | 30 000 zł | Co zakwestionowano: Niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci, które to środki zapobiegłyby utrwaleniu danych osobowych na dwóch prywatnych i niezabezpieczonych nośnikach danych.Okoliczności: Brak w analizie ryzyka uwzględniania zagrożenia utraty poufności danych ze względu na ich przechowywanie na niezabezpieczonych lub prywatnych nośnikach pamięci przez pracownika administratora. | art. 5 ust. 1 lit. fart. 5 ust. 2art. 24 ust. 1art. 25 ust. 1art. 32 ust. 1 i 2 |
| DKN.5131.8.2022z 2 listopada 2022 r.;wójt gminy Dobrzyniewo Duże | 8000 zł | Co zakwestionowano: Brak wdrożenia odpowiednich środków technicznych i organizacyjnych, a w konsekwencji, brak możliwości wykazania przestrzegania zasady integralności i poufności.Okoliczności: Kradzież komputera, co do którego nie zastosowano zaplanowanego środka zabezpieczenia w postaci szyfrowania. | art. 5 ust. 1 lit. fart. 5 ust. 2art. 24 ust. 1art. 25 ust. 1art. 32 ust. 1 i 2 |
| DKN.5131.29.2022z 16 sierpnia 2022 r.;Sułkowicki Ośrodek Kultury | 2500 zł | Co zakwestionowano: Powierzenie przetwarzania danych osobowych bez zawartej na piśmie umowy powierzenia oraz bez przeprowadzenia weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. | art. 28 ust. 1, 3 i 9 |
| DKN.5131.22.2021z 13 lipca 2021r.;prezes Sądu Rejonowego w Zgierzu | 10 000 zł | Co zakwestionowano: Niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci zewnętrznych, zapewniających bezpieczeństwo zapisanych tam danych osobowych.Okoliczności: Nieadekwatny dobór środków bezpieczeństwa (administrator uznał przeprowadzenie szkolenia za wystarczający środek zapobiegający zgubieniu nośnika z danymi). | art. 24 ust. 1art. 25 ust. 1art. 32 ust. 1 lit. b i dart. 32 ust. 2 |
Podstawa prawna
Podstawa prawna
rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dz.Urz. UE z 2016 r. L 119, s. 1)
art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781)
art. 233 ustaw z 6 czerwca 1997 r. ‒ Kodeks karny (t.j. Dz.U. z 2022 r. poz. 1138; ost.zm. Dz.U. z 2023 r. poz. 1234)
ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2023 r. poz. 913)