Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Godło białoczarny orzeł

PREZES
URZĘDU OCHRONY
DANYCH OSOBOWYCH

Warszawa, dnia 16 listopada 2022 r.

DECYZJA

DKN.5112.1.2020

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r., poz. 2000), art. 7 ust. 1, art. 60,  art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2, a także art. 83 ust. 5 lit. a) w związku z art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i  Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z  4.05.2016, str. 1 ze zm.), zwanego dalej rozporządzeniem 2016/679, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przez Virgin Mobile Polska Sp. z o.o. (KRS nr 217207), której następcą prawnym jest P4 Sp. z o.o. z siedzibą w Warszawie przy ul. Wynalazek 1(KRS nr 415094), przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych,

 

stwierdzając naruszenie przez Virgin Mobile Polska Sp. z o.o. (KRS nr 217207), której następcą prawnym jest P4 Sp. z o.o. z siedzibą w Warszawie (KRS nr 415094), przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679,  polegające na niewdrożeniu przez Virgin Mobile Polska Sp. z o.o., której następcą prawnym jest P4 Sp. z o.o. z siedzibą w Warszawie, odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych, a co stanowiło również naruszenie zasady integralności i poufności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 i związane było z naruszeniem zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, nakłada na P4 Sp. z o.o. z siedzibą w Warszawie, za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679, administracyjną karę pieniężną w kwocie 1.599.395,00 zł.(słownie: jeden milion pięćset dziewięćdziesiąt dziewięć tysięcy trzysta dziewięćdziesiąt pięć złotych).

 

 

UZASADNIENIE

 

Do Urzędu Ochrony Danych Osobowych 24 grudnia 2019 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych zarejestrowane pod sygnaturą [….], złożone przez Virgin Mobile Polska Sp. z o.o. –  obecnie P4 Sp. z o.o. w wyniku dokonanego w dniu […] maja 2022 r., na mocy postanowienia Sądu Rejestrowego dla m.st. Warszawy w Warszawie, XIII Wydziału Gospodarczego Krajowego Rejestru Sądowego (sygn. sprawy: [….]), połączenia Virgin Mobile Polska Sp. z o.o. (dalej jako: „Spółka Virgin”) ze spółką P4 Sp. z o.o. (dalej jako „Spółka P4”). Połączenie nastąpiło w trybie art. 492 § 1 pkt 1 Kodeksu spółek handlowych[1] poprzez przeniesienie całego majątku Virgin Mobile Polska sp. z o.o. („spółki przejmowanej”) na P4 sp. z o.o. („spółkę przejmującą”) (łączenie się przez przejęcie).

W dokonanym zgłoszeniu Spółka Virgin poinformowała o naruszeniu ochrony danych osobowych abonentów usług przepłaconych, polegającym na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu przez nią 142 222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114 963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu. Incydent stanowiący przedmiot zgłoszenia miał miejsce w okresie od […] do […] grudnia 2019 r. Z uwagi na zakres ujawnionych danych osobowych wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W związku ze zgłoszonym naruszeniem Prezes Urzędu Ochrony Danych Osobowych (dalej także jako „Prezes Urzędu” lub „Prezes UODO”) zdecydował o przeprowadzeniu w  Spółce Virgin kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, tj. z  rozporządzeniem 2016/679 oraz ustawą z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781). Zakresem kontroli objęty został sposób przetwarzania danych osobowych, w tym sposób ich zabezpieczenia, w  ramach świadczenia usług telekomunikacyjnych abonentom usług przedpłaconych. W toku kontroli (sygn. kontroli […]) odebrano od pracowników Spółki Virgin ustne wyjaśnienia oraz dokonano oględzin systemu A służącego do rejestracji danych osobowych abonentów usług przedpłaconych. Stan faktyczny szczegółowo opisano w protokole kontroli, który został podpisany przez Zarząd Spółki.

W toku kontroli ustalono, że:

1)      Przedmiotem działalności Spółki Virgin jest świadczenie usług w zakresie telekomunikacji bezprzewodowej.

2)      Podstawą prawną i celem przetwarzania danych osobowych w Spółce Virgin w procesie rejestracji usług przedpłaconych jest realizacja umowy na usługę telekomunikacyjną, zawieraną poprzez dokonanie czynności faktycznej, tj. wysłanie SMS, MMS, pobranie danych bądź inicjację połączenia telefonicznego, w oparciu o ustawę z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2022 r. poz. 1648 z późn. zm.).

3)      Obowiązek pozyskania danych osobowych dla usługi przedpłaconej (rejestracji kart prepaid) został wprowadzony art. 60b ust. 2 w zw. z ust. 1 ustawy Prawo telekomunikacyjne, który wszedł w życie 25 lipca 2016 r. Dla abonentów usług przedpłaconych, którzy zawarli umowę przed dniem wejścia w życie ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz. U. z 2021 r., poz. 2234 z późn. zm.), to jest przed 2 lipca 2016 r., obowiązek podania dostawcy usługi swoich danych osobowych wprowadził art. 60 tejże ustawy.

4)      Zakres danych przetwarzanych w związku z rejestracją usługi przedpłaconej w przypadku abonenta niebędącego osobą fizyczną, obejmuje dane w postaci nazwy podmiotu, nr NIP, nr telefonu, natomiast jeśli rejestracji dokonuje pełnomocnik pozyskiwane są również dane osobowe pełnomocnika w zakresie imienia i nazwiska oraz nr PESEL lub serii i numeru dokumentu tożsamości. W przypadku dokonywania rejestracji karty prepaid przez osobę fizyczną pozyskiwane jest imię i nazwisko, nr PESEL, nr dowodu osobistego lub innego dokumentu tożsamości oraz nr telefonu. Ponadto, w celach kontaktowych pozyskiwane są dane osobowe w postaci adresów e-mail i numerów telefonów.

5)      Zbieranie ww. danych odbywa się na etapie rejestracji karty za pomocą point of sale (punktów sprzedaży, zwanych dalej „POS”) – realizowanej przez podmioty zewnętrzne, z którymi Spółka Virgin posiada podpisane umowy o współpracy, określające również zasady powierzenia przetwarzania danych osobowych. Dla podmiotów nieposiadających własnych rozwiązań programowych do realizacji usługi rejestracji kart przedpłaconych opracowana została przez Spółkę Virgin aplikacja […] służąca do dokonywania rejestracji tych kart.

6)      Proces rejestracji danych za pośrednictwem POS odbywa się poprzez aplikację A, dostępnej z poziomu sieci publicznej za pomocą przeglądarki internetowej. Dane osobowe do tej aplikacji wprowadzane są przez POS na podstawie okazanego dokumentu tożsamości.

7)      Aplikacja A umożliwia wygenerowanie wydruku potwierdzenia dokonania rejestracji. Rozwiązania przyjęte dla podmiotów korzystających z własnych systemów informatycznych do rejestracji kart przedpłaconych, np. systemów kasowych czy terminali, nie pozwalają na wydrukowanie potwierdzenia rejestracji karty.

8)      Centralnym systemem użytkowanym w Spółce Virgin jest system informatyczny o nazwie B, z którym łączy się aplikacja A służąca do rejestracji kart przedpłaconych.

9)      Twórcą systemu B jest T. Sp. z o.o. s.k.a. Ww. spółka zajmowała się również utrzymaniem systemu B od [..] kwietnia 2014 r. do […] czerwca 2017 r. Obsługą i utrzymaniem systemu B od dnia […] lipca 2017 r. do chwili obecnej zajmują się pracownicy A. S.A. na podstawie umowy ramowej.

10)   Podstawowe dane osobowe zapisywane są […] bazy danych systemu B opartej o […], do której trafiają dane rejestracyjne wprowadzane przez POS za pomocą aplikacji A oraz dane z systemów klientów hurtowych, tj. nie mających dostępu do aplikacji A, a korzystających ze swoich systemów informatycznych.

11)   Producentem aplikacji A jest W. J. M. P.  S. s.c. . Opracowała ona ww. aplikację, która zaczęła funkcjonować od [...] września 2014 roku. Obsługą, rozwojem i nadzorem nad aplikacją A do chwili obecnej zajmuje się również W. J. M. P.  S. s.c.. A jest aplikacją służącą do wprowadzania danych do systemu B poprzez zastosowanie sieciowego interfejsu […]. Pierwotnie utrzymaniem […], umożliwiającym wymianę informacji pomiędzy aplikacją A a systemem centralnym B, zajmowała się spółka T. (od […] kwietnia 2014 r. do […] czerwca 2017 r.). Od dnia […] lipca 2017 r. do chwili obecnej utrzymanie web serwisu, umożliwiającego wymianę informacji pomiędzy aplikacją a systemem centralnym B, oraz utrzymanie systemu zapewnia A. S.A..

12)   W toku kontroli stwierdzono, że w dniach od […]do […] grudnia 2019 r. w Spółce Virgin doszło do naruszenia danych osobowych na skutek uzyskania nieuprawnionego dostępu do danych abonentów usług przedpłaconych poprzez wykorzystanie podatności systemu informatycznego, tj. usługi generującej potwierdzenia dokonania rejestracji kart prepaid. Stwierdzona podatność usługi generującej potwierdzenia rejestracji polegała na braku weryfikacji […]. Poprawna weryfikacja miała polegać na wygenerowaniu potwierdzenia rejestracji jedynie wtedy, gdy […]. System B nie weryfikował […].

13)   Środki techniczne i organizacyjne stosowane w Spółce Virgin od […] maja 2018 r. (dnia rozpoczęcia stosowania rozporządzenia 2016/679), tj. przed wystąpieniem naruszenia, były poddawane przeglądom oraz uaktualniane w miarę potrzeb w sytuacji wystąpienia zmian organizacyjnych lub prawnych.

14)   W Spółce Virgin nie było przeprowadzane kompleksowe regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W  sytuacji, gdy pojawiało się podejrzenie zaistnienia podatności, prowadzone były prace mające na celu zabezpieczenie przed daną podatnością. Powyższe znajduje potwierdzenie m.in. w  wyjaśnieniach złożonych przez kontrolowany podmiot w piśmie z dnia […] marca 2020 r. oraz w przesłanych w celach dowodowych wydrukach zrzutów ekranu z systemu C wskazujących na wykonywanie testów dotyczących podatności […] oraz weryfikacji wprowadzanych danych.

15)   Spółka Virgin nie przeprowadzała testów nastawionych na weryfikację zabezpieczeń aplikacji A oraz […] systemu B dotyczących podatności systemu informatycznego związanej z zaistniałym naruszeniem danych osobowych. Działania takie podjęte zostały dopiero po zaistnieniu incydentu w dniu […] grudnia 2019 r.

16)   W prowadzonej przez Spółkę Virgin dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne, pozyskanej w toku dokonywania czynności kontrolnych, tj. m.in. „Polityce Przetwarzania Danych Osobowych Virgin Mobile”, „[…] Procedurze […]”, „[…] Planie […]”, nie zostały uregulowane kwestie dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

17)   Spółka Virgin podjęła działania naprawcze i usunęła podatność systemu informatycznego poprzez jego modernizację polegającą na korelacji […]. Spółka Virgin wprowadziła ograniczenie […]. Gdy zaistnieje potrzeba ponownego wygenerowania wniosku jest to możliwe […].

 

Na podstawie informacji i dowodów zgromadzonych w postępowaniu kontrolnym ustalono, że w procesie przetwarzania danych abonentów usług przedpłaconych Spółka Virgin, jako administrator, naruszyła przepisy o ochronie danych osobowych. Uchybienia te polegały na naruszeniu zasady poufności danych wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz obowiązków, które stanowią skonkretyzowanie tej zasady, określonych w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679, poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych.

W związku z powyższym,  pismem z […] czerwca 2020 r. (sygn. pisma […]), Prezes UODO zawiadomił Spółkę Virgin o wszczęciu z urzędu postępowania administracyjnego w przedmiocie naruszenia przepisów o ochronie danych osobowych wobec nie wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku. W toku tego postępowania Prezes UODO przyjął stan faktyczny ustalony w toku kontroli sygn. […] (punkty 1-17 powyżej). Prezes Urzędu pozyskał również dodatkowe wyjaśnienia od Spółki Virgin (złożone przez pełnomocnika pismami z […] lipca 2020 r. oraz […] sierpnia 2020 r.), w których wskazano m.in., że:

1)      Spółka Virgin od początku swojej działalności usługi przedpłacone oferowała w modelu niewymagającym podawania danych osobowych. Wymóg podawania danych wprowadzono ustawą z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz. U. z 2021 r., poz. 2234 z późn. zm.). Na wejście w życie przepisu art. 43 ww. ustawy, określającego zakres zbieranych danych, ustawodawca wyznaczył 30 dniowy termin. Jak wskazał pełnomocnik, miesiąc na wdrożenie tak dużych zmian, to czas zdecydowanie za krótki na wdrożenie i przetestowanie jakiegokolwiek systemu IT o takiej skali. Narzucony przez ustawodawcę termin zwiększył ryzyko pojawienia się błędów i niedociągnięć.

2)      Na tym etapie postępowania nie zostało wykazane kim był atakujący. Sposób wykorzystania podatności wskazywał, że atakujący miał wcześniej dostęp do systemu i wiedział jak skonstruować odpowiednie zapytanie. Obecnie Spółka Virgin nie wie, czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć. W ocenie Spółki Virgin wykazanie, czy doszło do udostępnienia danych osobie nieuprawnionej leży po stronie Prezesa Urzędu.

3)      Dochodzenie w sprawie nieuprawnionego dostępu prowadzone przez Prokuraturę Okręgową w  Warszawie zostało umorzone postanowieniem z […] lipca 2020 r. z powodu niewykrycia sprawcy. Spółka Virgin nie wie zatem, czy podatność została wykorzystana do udostępnienia danych osobowych osobie nieuprawnionej. Ta okoliczność wymaga wyjaśnienia przez organ w toku postępowania.

4)      Spółka Virgin odnosząc się do zarzutu naruszenia art. 25 ust. 1 rozporządzenia 2016/679 zwraca uwagę, że przepisy rozporządzenia 2016/679 mają zastosowanie od 25 maja 2018 r. W chwili wprowadzania do swojej działalności zmian wymaganych ustawą o działalności antyterrorystycznej Spółka Virgin nie była zobowiązana do przestrzegania zasady ochrony danych w fazie projektowania. Natomiast na dalszych etapach przetwarzania, zasada ta jest zasadniczo tożsama z obowiązkiem zabezpieczenia danych osobowych na podstawie art. 32 rozporządzenia 2016/679, bowiem zawarta w art. 25 ust. 1 rozporządzenia 2016/679 zasada minimalizacji danych w niniejszej sprawie nie ma zastosowania z uwagi na to, że zakres danych osobowych jest określony ustawowo.

5)      Spółka Virgin decydując się na wdrożenie i korzystanie z systemu B przeprowadziła liczne jego testy, pomiary i oceny, czy jest on właściwy by należycie spełniać swoje funkcje, w tym zabezpieczać wprowadzane do niego dane osobowe abonentów. Ryzyko dla praw i wolności podmiotów danych było stale oceniane przez Spółkę Virgin. Każdorazowo w przypadku zmian organizacyjnych lub prawnych w Spółce Virgin środki techniczne i organizacyjne były poddawane przeglądom oraz uaktualnieniom.

6)      Zdaniem Spółki Virgin, sposób wykorzystania podatności wskazuje, że dane osobowe osób, których dotyczyło przedmiotowe naruszenie, nie zostały pobrane wskutek zewnętrznego obejścia systemu. Wykorzystanie wiedzy do włamania do systemu jest ryzykiem trudniejszym do uniknięcia niż atak zewnętrzny polegający na złamaniu zabezpieczeń.

7)      Według oceny Spółki Virgin, wykorzystanie podatności systemu do przedmiotowego ataku skutkującego uzyskaniem dostępu do danych, nie było zależne od braku odpowiedniego testowania, mierzenia czy oceniania systemu, ponieważ wskazane czynności były regularnie i prawidłowo prowadzone przez Spółkę. Potwierdzeniem są wydruki z systemu C dotyczące podatności […] oraz weryfikacji wprowadzanych danych, które dowodzą, że choć Spółka Virgin nie przeprowadziła testów związanych konkretnie z podatnością wykorzystaną podczas ataku z […]-[…] grudnia 2019 r., to jednak inne testy […], mające na celu wykrycie podatności i poprawę jakości danych, były prowadzone.

8)      Spółka Virgin nie zgadza się z zarzutem, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania nie były przeprowadzane. Spółka Virgin prowadziła szeroki wachlarz działań mających na celu weryfikację poprawności funkcjonowania sytemu informatycznego, aplikacji A oraz […] systemu B służącego do rejestracji kart przedpłaconych. Spółka Virgin kilkakrotnie w sposób kompleksowy przeprowadzała przeglądy zabezpieczeń technicznych i organizacyjnych, jak np. audyt w listopadzie 2019 r., przegląd umów, audyt certyfikacyjny, przeglądy i oceny zabezpieczeń i ryzyka z udziałem zarządu, zrealizowane w grudniu 2019 r. Działania te były kontynuowane w 2020 r. m.in. w związku z wdrożeniem ISO.

9)      Przed wystąpieniem naruszenia Spółka Virgin przyjęła środki ochrony danych w postaci: procedur określających metodykę analizy ryzyka, procedurę klasyfikacji poziomów bezpieczeństwa informacji, politykę bezpieczeństwa informacji, procedurę zarządzenia systemem informatycznym wraz z załącznikami: […] Procedura […], […] Procedura […], […] Polityka […], […] Procedura […], […] Procedura […], […] Procedura […], a także elementy Planu ciągłości działania: […] Plan […], […] Plan […], […] Plan […].

10)   Spółka Virgin pismem z dnia […] sierpnia 2020 r. wyjaśniła, że wskazany w piśmie z […] lipca 2020 r. zakres danych, których dotyczyło przedmiotowe naruszenie, był zdecydowanie węższy, niż wskazany w treści zgłoszenia naruszenia danych osobowych z dnia […] grudnia 2019 r., pkt 5. Naruszenie pełnego zakresu danych osobowych wystąpiło wyłącznie w 4522 przypadkach, tj. odnosiło się do imion i nazwisk, numeru PESEL i numeru dokumentu abonenta. W  pozostałym zakresie, naruszenie odnosiło się do: imion, nazwisk oraz numeru PESEL (108702 przypadków) lub numeru dokumentu abonenta (10167 przypadków). 

11)   Spółka Virgin złożyła do akt sprawy kopię uzyskanych w dniu […] lipca 2020 r. certyfikatów: ISO/IEC 27001:2013 poświadczającego wdrożenie i utrzymywanie przez Spółkę Virgin systemu zarządzania bezpieczeństwem informacji w zakresie usług świadczonych przez operatora telekomunikacyjnego oraz ISO/IEC 27701:2019 poświadczającego wdrożenie i utrzymywanie przez Spółkę Virgin systemu zarządzania danymi osobowymi jako rozszerzenie ISO/IEC 27001:2013 oraz ISO/IEC 27002:2013 o zarządzanie prywatnością w zakresie usług świadczonych przez operatora telekomunikacyjnego.

12)   W wyjaśnieniach z […] października 2020 r. (uzupełnionymi pismem z […] października 2020 r.) Spółka Virgin wskazała, że wymogi utrzymania certyfikatów zgodności systemu zarządzania z wdrożonymi normami oznaczają w  szczególności: zweryfikowanie przeprowadzenia (przed otrzymaniem certyfikatu) szeregu kompleksowych przeglądów zabezpieczeń i funkcjonowania systemu zarządzania (danymi osobowymi i bezpieczeństwem informacji), zobowiązanie się (w umowie z instytucją wydającą certyfikat) przynajmniej raz w roku (w ciągu najbliższych lat) do analogicznego kompleksowego przeglądu kierowniczego oraz do wykonania co najmniej po jednym audycie wewnętrznym z obszaru każdej normy, a także objęcie funkcjonowania systemu zarządzania bezpieczeństwa informacji i ochrony danych w Spółce Virgin corocznym audytem niezależnej instytucji wydającej certyfikat.

13)   Zgodnie z wymogami utrzymania certyfikatów zgodności z wdrożonymi normami Spółka Virgin dokonuje i dokumentuje sukcesywnie dokonanie mierzenia skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania poprzez: pomiar liczby procesów (czynności) przetwarzania danych osobowych posiadających pełny opis w stosunku do wszystkich procesów (czynności) przetwarzania danych osobowych (dowód: […]), pomiar liczby systemów informatycznych przetwarzających dane osobowe, posiadających pełny opis w stosunku do wszystkich systemów (dowód […]), pomiar liczby zidentyfikowanych incydentów bezpieczeństwa (w tym naruszeń ochrony danych osobowych) oraz pomiar liczby skarg osób na brak stosownych zabezpieczeń), formalne określenie celów stawianych przed Spółką Virgin w obszarze ochrony danych osobowych i bezpieczeństwa informacji (dowód: […] obowiązująca od […] grudnia 2019 r.), przygotowanie i realizacja procedury pomiaru tych celów, testy badania podatności systemów informatycznych wykonywane wewnętrznie, testy penetracyjne przeprowadzone w lipcu 2020 r. wykonane przez zewnętrzną firmę I. Sp. z o.o.

 

W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych wydał decyzję, z dnia 3 grudnia 2020 r., nakładającą na Spółkę Virgin administracyjną karę pieniężną w wysokości 1.968.524,00 zł. (jeden milion dziewięćset sześćdziesiąt osiem tysięcy pięćset dwadzieścia cztery złote) za naruszenie przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679.

 

W dniu […] stycznia 2021 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga Spółki Virgin na ww. decyzję organu. Skarżąca Spółka Virgin, działając przez pełnomocnika, w całości zaskarżyła decyzję Prezesa UODO z dnia 3 grudnia 2020 r. i na podstawie art. 145 § 1 pkt 1 lit. a) i c) p.p.s.a[2], wniosła o uchylenie zaskarżonej decyzji.

Zaskarżonej decyzji Spółka Virgin zarzuciła naruszenie prawa materialnego oraz przepisów postępowania, mogących mieć istotny wpływ na wynik sprawy, tj.:

1)      naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 2 lit. a) w związku z art. 99 ust. 2 rozporządzenia 2016/679, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że rzekome naruszenie przez Spółkę Virgin przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679 rozpoczęło się i trwało przed 25 maja 2018 r. i zakończyło się z dniem 22 lipca 2020 r., podczas gdy Spółka Virgin była obowiązana stosować przepisy rozporządzenia 2016/679 od dnia […] maja 2018 r., a zakończenie stanu naruszenia nastąpiło najpóźniej w lutym 2020 r., co doprowadziło do nałożenia na Spółkę Virgin administracyjnej kary pieniężnej z naruszeniem art. 83 ust. 2 lit. a) rozporządzenia 2016/679;

2)      naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 1 w związku z art. 83 ust. 2 lit. a) rozporządzenia 2016/679, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że osoby, których dotyczyło rzekome naruszenie, poniosły szkodę, o której mowa w art. 83 ust. 1 lit. a) rozporządzenia 2016/679, podczas gdy za poniesienie szkody nie może być uznawana obawa jej poniesienia przez osoby, których dane dotyczą, co doprowadziło do nałożenia na Spółkę Virgin administracyjnej kary pieniężnej w wysokości naruszającej zasadę proporcjonalności;

3)      naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 1 w związku z art. 83 ust. 2 lit. b) rozporządzenia 2016/679, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że nieumyślne naruszenie przepisów rozporządzenia 2016/679 przez Spółkę Virgin jest okolicznością mającą wpływ na zwiększenie administracyjnej kary pieniężnej wymierzanej przez organ, podczas gdy nieumyślne naruszenie przepisów rozporządzenia 2016/679 powinno zmniejszać ten wymiar kary pieniężnej, co spowodowało nałożenie na skarżącą kary (nieproporcjonalnej) do zarzucanego jej naruszenia;

4)      naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 1 w związku z ar. 83 ust. 2 lit. e), g) i k) rozporządzenia 2016/679, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że okoliczności braku wcześniejszego naruszenia ze strony skarżącej, kategorie danych osobowych, których dotyczyło naruszenie, jak też nieosiągnięcie przez skarżącą bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowych lub uniknięcie przez Spółkę Virgin straty, nie miały żadnego wpływu na wymiar kary pieniężnej nałożonej przez organ na Spółkę Virgin, podczas gdy stanowią one okoliczności łagodzące mające zastosowanie w każdym indywidualnym przypadku naruszenia, w tym odnoszące się do Spółki Virgin, co spowodowało nałożenie na Spółkę Virgin kary nieadekwatnej (nieproporcjonalnej) do zarzucanego jej naruszenia;

5)      naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 1 w związku z art. 83 ust. 2 lit. a) rozporządzenia 2016/679, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że okoliczności przetwarzania danych osobowych w sposób profesjonalny ma znaczący wpływ na dużą wagę naruszenia przepisów rozporządzenia 2016/679 zarzucanego Spółce Virgin przez organ, a w konsekwencji stanowi czynnik obciążający, podczas gdy okoliczność ta nie powinna być uwzględniana przy nakładaniu przez organ administracyjnej kary pieniężnej oraz określaniu jej wymiaru;

6)      naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 32 ust. 1 lit. d) w związku z art. 32 ust. 2 rozporządzenia 2016/679, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że niewdrożenie środka bezpieczeństwa organizacyjnego polegającego na regularnym testowaniu, mierzeniu i ocenianiu skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania wdrożonych przez Spółkę Virgin, doprowadziło do niewykrycia podatności będącej przyczyną naruszenia ochrony danych oraz stanowiło naruszenie obowiązków wynikających z rozporządzenia 2016/679, za które organ nałożył karę finansową;

7)      naruszeniu prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 1 w związku z art. 5 ust. 1 lit. f), art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679, polegające na naruszeniu zasady proporcjonalności wymiaru kary w wyniku niewłaściwego łącznego zastosowania art. 5 ust. 1 lit. f) wraz z art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 rozporządzenia 2016/679, które dotyczą tego samego czynu, co skutkowało automatycznym przyjęciem wyższej wysokości kary;

8)      naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 25 ust. 1 rozporządzenia 2016/679, polegające na jego nieprawidłowym zastosowaniu w sprawie, poprzez uznanie, że do naruszenia może dojść pomimo braku wyrządzenia szkody;

9)      naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7 w związku z art. 77 i 80 Kpa[3], polegające na niepodjęciu z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego i błędnym przyjęciu przez organ, że rzekome naruszenie ochrony danych osobowych obejmowało 123391 osób, podczas gdy w rzeczywistości naruszenie dotyczyło 114 963 osób, co skutkowało niesłusznym nałożeniem na Spółkę Virgin sankcji w wysokości nie odpowiadającej liczbie osób, których dotyczyło naruszenie;

10)   naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7 w związku z art. 77 i art. 80 Kpa, polegające na niepodjęciu z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego i błędnym przyjęciu przez organ, ze dane osobowe wszystkich osób dotkniętych rzekomym naruszeniem ochrony danych osobowych obejmowały następujący zakres danych: imię, nazwisko, numer PESEL oraz serię i numer dowodu osobistego, numer telefonu, numer NIP, a także nazwę podmiotu, podczas gdy zakres ten był różny dla poszczególnych grup podmiotów, a w zakresie zarówno numeru PESEL oraz serii dowodu tożsamości naruszenie to dotyczyło jedynie 4 522 abonentów, co skutkowało niesłusznym nałożeniem na Spółkę Virgin sankcji w wysokości nieodpowiadającej rzeczywistemu zakresowi danych osobowych osób, których dotyczyło rzekome naruszenie;

11)   naruszenie przepisów postępowania, które miało istotny wpływ na wynik spawy, tj. art. 7 w związku z art. 77 i art 80 Kpa, polegające na niepodjęciu z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego i błędnym przyjęciu przez organ, że naruszenie obowiązku regularnego testowania, mierzenia i oceniania środków zabezpieczenia danych trwało do […] lipca 2020 r., tj. do czasu otrzymania certyfikatów ISO, podczas gdy audyt wewnętrzny odbył się w lutym 2020 r., a audyt certyfikacyjny w kwietniu i maju 2020 r. co oznacza, że Spółka miała wdrożone niezbędne zabezpieczenia najpóźniej w lutym 2020 r.;

12)   naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art 7 w związku z art. 77 i art. 80 Kpa, polegające na niepodjęciu z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz niezebraniu i nierozpatrzeniu całego materiału dowodowego w sposób wyczerpujący, a także błędnym przyjęciu przez organ, że uprawnienia, którymi dysponował atakujący, pozostają bez znaczenia dla stwierdzenia naruszenia przez Spółkę Virgin przepisów rozporządzenia 2016/679, podczas gdy okoliczności ataku, którego ofiarą padłą Spółka Virgin, stanowią element stanu faktycznego, niezbędny w celu prawidłowego ustalenia skali naruszenia, co skutkowało niesłusznym nałożeniem na skarżącą sankcji;

13)   naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 107 § 1 i 3 Kpa, poprzez niewskazanie w decyzji i uzasadnieniu do niej wszystkich faktów, które organ uznał za udowodnione, jak też dowodów, na których się oparł oraz przyczyn, z powodu których odmówił wiarygodności i mocy innym dowodom, co znacząco utrudnia rekonstrukcję sposobu rozumowania organu, a w konsekwencji kontrolę legalności zaskarżonej decyzji.

 

Wyrokiem z dnia 21 października 2021 r. Wojewódzki Sąd Administracyjny w Warszawie (sygn. akt: II SA/Wa 272/21) uchylił zaskarżoną decyzję.

 

Wojewódzki Sąd Administracyjny w Warszawie stwierdził w ww. wyroku, iż skarga wniesiona przez Spółkę Virgin jest zasadna, choć nie wszystkie podniesione w niej zarzuty mogły być uznane za zasadne.

W ocenie Sądu zaskarżona decyzja Prezesa Urzędu naruszała zarówno przepisy prawa procesowego w zakresie sporządzenia uzasadnienia oraz rozważenia i oceny okoliczności faktycznych sprawy (art. 107 § 3 Kpa w związku z art. 77 § 1, art. 80, art. 8 § 1 i art. 11 Kpa), jak również przepisy prawa materialnego wskazane w art. 83 ust. 2 rozporządzenia 2016/679 w zakresie wyjaśnienia Skarżącej, z jakich powodów nałożono na Spółkę Virgin administracyjną karę pieniężną, o której mowa w art. 83 rozporządzenia 2016/679, w wysokości określonej w decyzji.

Zdaniem Sądu, Prezes Urzędu nie wyjaśnił w uzasadnieniu zaskarżonej decyzji, dlaczego przy zastosowaniu administracyjnej kary pieniężnej na jej wysokość wskazaną w zaskarżonej decyzji nie miały wpływu okoliczności wskazane w art. 83 ust. 2 lit. c), e) i h) rozporządzenia 2016/679.

Dalej Sąd wskazał, że organ dostatecznie nie rozważył przy określaniu wysokości kary okoliczności w postaci podejmowanych przez Spółkę Virgin działań w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, w tym przede wszystkim w zakresie wpływu tej okoliczności na zastosowanie sankcji, i nie wskazał w uzasadnieniu zaskarżonej decyzji, jaki był powód jej nieuwzględnienia, jak również nie powiązał tej okoliczności z rozmiarem szkody, nadto nie wziął pod rozwagę, że osobie bądź osobom nieuprawnionym udało się pobrać jedynie ok. 13,62% wszystkich rekordów znajdujących się w bazie i było to spowodowane działaniami Spółki Virgin.

Zdaniem Sądu, organ nie ustalił w sposób należyty przy wymiarze administracyjnej kary pieniężnej czasu trwania naruszenia w kontekście wejścia przepisów rozporządzenia 2016/679, jak również w sposób bliżej niewyjaśniony odwołał się do profesjonalnego przetwarzania danych osobowych przez Spółkę Virgin przy określaniu wagi naruszenia. Zdaniem Sądu, organ przy określaniu wagi naruszenia powinien rozszerzyć argumentację w zakresie liczby realnie poszkodowanych osób i zakresu naruszenia ich danych osobowych. Sąd wskazał także, że niezrozumiałe jest stanowisko Prezesa Urzędu, że żadnego wpływu na zastosowanie sankcji nie miał sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, jaki wpływ na zastosowanie sankcji miały okoliczności w postaci kategorii danych osobowych w kontekście zgłoszonego przez Spółkę Virgin naruszenia dotyczącego pełnego zakresu danych, tj. imion i nazwisk, numeru PESEL i numeru dokumentu abonenta w 4522 przypadkach oraz ograniczonego zakresu, tj. imion i nazwisk oraz numeru PESEL w 108702 przypadkach, a numeru dokumentu abonenta w 10167 przypadkach.

W ocenie składu orzekającego Prezes Urzędu w sposób nieuzasadniony przyjął, że na zastosowanie sankcji administracyjnej wpływu nie miała okoliczność wskazana w art. 83 ust. 2 lit. k) rozporządzenia 2016/679. Sąd wskazał, że konieczne było odniesienie się przez Prezesa Urzędu w uzasadnieniu zaskarżonej decyzji do okoliczności wynikających z akt sprawy i wskazanie przy określeniu wysokości kary, czy Spółka Virgin osiągnęła czy nie jakiekolwiek korzyści finansowe lub uniknęła straty. Sąd wskazał też na naruszenie art. 83 ust. 2 lit. b) rozporządzenia 2016/679 w związku z niepełnym i nieprzekonywującym uzasadnieniem przy wymiarze kary, dlaczego organ uznał za okoliczność obciążającą Spółkę Virgin, że Spółka Virgin w sposób nieumyślny naruszyła przepisy RODO, na skutek niedochowania należytej staranności. 

Zdaniem Sądu przy wymiarze kary Prezes Urzędu powinien też wziąć pod uwagę okoliczność, że Spółka Virgin podejmowała działania zmierzające do wyeliminowania nieprawidłowości, które miały miejsce w chwili incydentu, oraz rozważyć, w jakim zakresie podejmowane przez Spółkę Virgin działania wpłynęły na prawidłowość stosowania przepisów rozporządzenia 2016/679.

Sąd za niezasadny uznał zarzut skargi naruszenia art. 7 Kpa, wskazując, że Prezes UODO wypełnił przesłanki do należytego ustalenia stanu faktycznego sprawy. W rozpoznawanej sprawie organ wykazał na podstawie zgromadzonych dowodów, że w okresie od […] do […] grudnia 2019 r. Spółka Virgin przetwarzała dane osobowe swoich klientów w sposób niezapewniający odpowiedniego stopnia bezpieczeństwa danych osobowych.

Za trafną, spójną, logiczną i wynikającą ze stanu faktycznego Sąd uznał ocenę Prezesa UODO, że przyjęte przez Spółkę Virgin procedury mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez Spółkę Virgin przestrzegane.

W ocenie Sądu rację miał również Prezes UODO, że brak ww. uregulowań przyczynił się do wystąpienia naruszenia ochrony danych osobowych oraz za trafne uznał przyjęcie przez organ, że Spółka Virgin nie przeprowadzała testów nastawionych na weryfikację zabezpieczeń aplikacji A oraz […] systemu B, dotyczących podatności systemu informatycznego.

Nie wzbudziło także zastrzeżeń Sądu stanowisko Prezesa UODO, że do wykrycia wykorzystanej podatności systemu, która doprowadziła do naruszenia ochrony danych osobowych, wystarczyłoby zweryfikowanie podstawowej zasady działania systemu, tj. […]. Według Sądu wdrożenie systemu bez poprawnie działającej walidacji świadczy o rażącym zaniedbaniu podstawowych obowiązków administratora danych osobowych, w kontekście art. 32 rozporządzenia 2016/679.

Za niezasadne Sąd uznał również zarzuty naruszenia przez Prezesa UODO przepisów art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) i ust. 2 rozporządzenia 2016/679. Zdaniem Sądu Prezes UODO wziął pod rozwagę, czy Spółka Virgin, jako administrator danych osobowych, przeanalizowała ryzyko związane z ochroną danych, czy udokumentowała i uzasadniła je należycie w stanie faktycznym, czy badała od dnia wejścia w życie przepisów rozporządzenia 2016/679 procesy przetwarzania danych osobowych na poszczególnych etapach i czy zastosowane przez Spółkę Virgin procedury były adekwatne do oszacowanego ryzyka.

Mając na względzie powyższe Prezes Urzędu dokonał ponownej analizy materiału dowodowego zgromadzonego w toku niniejszego postępowania i na tej podstawie zważył, co następuje.

Art. 5 rozporządzenia 2016/679 wskazuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zasada integralności i poufności wymieniona w tym przepisie stanowi, że dane są przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w  tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Poufność danych to właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom.

Zgodnie z treścią art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i  cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i  organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Przepis art. 24 ust. 1 określa podstawowe i główne obowiązki administratora, którego obciąża wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność przetwarzania z wymogami rozporządzenia 2016/679. Chodzi tu w szczególności o  realizację zasad wskazanych w art. 5 ust. 1 rozporządzenia 2016/679.

Zgodnie natomiast z art. 25 ust. 1 rozporządzenia 2016/679 administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania, wdraża odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych (uwzględnianie ochrony danych w fazie projektowania).

Stosownie do art. 32 ust. 1 lit. b) rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i  wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i  organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz stosownie do art. 32 ust. 1 lit. d) rozporządzenia regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z  przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Przepis art. 32 rozporządzenia 2016/679 stanowi więc konkretyzację wskazanej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 zasady integralności i poufności. Natomiast art. 5 ust. 2 rozporządzenia 2016/679 nakłada na administratora danych obowiązek wykazania przed organem nadzorczym, że zapewnił on odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Zasada poufności, której prawidłowa realizacja zapewnia, że dane nie są udostępniane osobom nieuprawnionym, jak wynika z ustalonego stanu faktycznego - została naruszona w  wyniku wykorzystaniu podatności systemu informatycznego, co skutkowało pozyskaniem danych abonentów usług przedpłaconych z systemu bazodanowego Spółki Virgin i urzeczywistnieniem ryzyka naruszenia praw lub wolności osób fizycznych, których dane są przetwarzane przez tą Spółkę.

Prezes UODO w zawiadomieniu o wszczęciu postępowania administracyjnego wskazał, że Spółka Virgin nie wypełniła obowiązku wynikającego z art. 32 ust. 1 lit. b) i lit. d) rozporządzenia 2016/679, polegającego na doborze skutecznych środków technicznych i  organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, w tym zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, jak i rozwiązań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków technicznych i organizacyjnych, czym także uchybiła obowiązkom administratora zapewnienia i wykazania zgodności przetwarzania z wymogami, o których mowa w art. 24 ust. 1 rozporządzenia 2016/679 oraz obowiązkowi skutecznej realizacji zasad ochrony danych, o której mowa w art. 25 ust. 1 rozporządzenia 2016/679, a w konsekwencji naruszyła zasadę poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 i zasadę rozliczalności wynikającą z art. 5 ust. 2 rozporządzenia 2016/679.

Podkreślenia wymaga, że przyjęty przez Spółkę Virgin środek bezpieczeństwa mający zapewnić odporność systemów informatycznych polegający na weryfikacji tylko według […], zamiast także […], wskutek czego doszło do naruszenia poufności danych, nie może być uznany za środek bezpieczeństwa, o którym mowa w przywołanych wyżej przepisach rozporządzenia 2016/679. Do naruszenia ochrony danych osobowych abonentów usług przedpłaconych doszło bowiem w wyniku wykorzystania podatności systemu informatycznego (usługi generującej potwierdzenia rejestracji) umożliwiającej nieuprawniony dostęp do danych. Stwierdzona podatność usługi generującej potwierdzenia rejestracji polegała właśnie na braku weryfikacji wszystkich wymaganych parametrów, tj. […]. Z założeń systemu poprawna weryfikacja miała polegać na wygenerowaniu potwierdzenia rejestracji jedynie wtedy, gdy […]. System B nie weryfikował jednak […] ani tego, czy dany wniosek pochodzi z […].

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Spółka Virgin  wskazała, że przed wystąpieniem naruszenia przyjęła środki ochrony danych w postaci procedur określających metodykę analizy ryzyka, procedury klasyfikacji poziomów bezpieczeństwa informacji, polityki bezpieczeństwa informacji, procedury zarządzenia systemem informatycznym wraz z załącznikami: […] Procedura […], […] Procedura […], […] Polityka […], […] Procedura […], […] Procedura […], […] Procedura […], a także elementy Planu ciągłości działania: […] Plan […], […] Plan […], […] Plan […].

W ocenie Prezesa UODO przyjęte przez Spółkę Virgin środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez Spółkę Virgin przestrzegane. Tymczasem, w prowadzonej przez Spółkę Virgin ww. dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne, pozyskanej w toku dokonywania czynności kontrolnych, kwestie te nie zostały uregulowane.

Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2826/19 z dnia 26 sierpnia 2020 r. „Przepis ten [art. 32 rozporządzenia 2016/679] nie wymaga od administratora danych wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością. (…) Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne – muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka”, które to stanowisko niniejszy organ podziela.

Zdaniem Prezesa Urzędu brak w przyjętych przez Spółkę Virgin procedurach uregulowań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych przyczynił się do wystąpienia naruszenia danych osobowych.

Jednocześnie, z zebranego w toku kontroli materiału dowodowego wynika, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania nie było w Spółce Virgin przeprowadzane. W sytuacjach gdy pojawiało się podejrzenie zaistnienia podatności były prowadzone wyłącznie prace mające na celu zabezpieczenie przed daną podatnością (wydruki z systemu C potwierdzające podjęte działania zaradcze dotyczące potwierdzonych podejrzeń o podatności systemu). Powyższe znajduje również potwierdzenie m.in. w wyjaśnieniach złożonych przez kontrolowany podmiot w piśmie z […] marca 2020 roku oraz w przesłanych w celach dowodowych wydrukach zrzutów ekranów z  systemu C wskazujących na wykonywanie testów dotyczących podatności […] oraz weryfikacji wprowadzanych danych. Nie były natomiast przeprowadzane testy nastawione na weryfikację zabezpieczeń aplikacji A oraz […] systemu B dotyczących podatności systemu informatycznego związanej z zaistniałym naruszeniem danych osobowych. Działania takie podjęte zostały dopiero po zaistnieniu naruszenia […] grudnia 2019 roku. Środki techniczne i organizacyjne stosowane w Spółce Virgin od […] maja 2018 r. (dzień rozpoczęcia stosowania rozporządzenia 2016/679) do czasu wystąpienia naruszenia były poddawane przeglądom oraz uaktualniane jedynie w sytuacji wystąpienia zmian organizacyjnych lub prawnych (kopia wiadomości e-mail informująca o konieczności dokonania przeglądu stosowanego monitoringu wraz z ankietą).

Na marginesie wspomnieć należy, że pierwotnie twórcą systemu B była T. Sp. z o.o. s.k.a., która zajmowała się również utrzymaniem systemu B, a także utrzymaniem […] umożliwiającego wymianę informacji pomiędzy aplikacją A (opracowaną przez W. J. M. P. S. s.c. i funkcjonującą od […] września 2014 r.) a systemem centralnym B w okresie od […] kwietnia 2014 r. do […] czerwca 2017 r. Funkcje te następnie przejęła A. S.A. i wykonuje je do chwili obecnej. Zmiana operatora, w ocenie Prezesa Urzędu, powinna zainicjować dokonanie kompleksowej oceny skuteczności wdrożonych rozwiązań technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych w systemach informatycznych Spółki Virgin Zebrany w toku materiał dowodowy nie dostarczył informacji, aby w sytuacji zmiany podmiotu zajmującego się utrzymaniem systemu, jak i serwisu, taka ocena została przeprowadzona.

W wyjaśnieniach z […] stycznia 2020 r. Spółka Virgin wskazała, że ostatni kompleksowy przegląd środków technicznych i organizacyjnych został przeprowadzony w maju 2018 r. Jak wynika z  kolejnych wyjaśnień z […] lipca 2020 r., „Spółka decydując się na wdrożenie i korzystanie z  systemu B przeprowadziła liczne jego testy, pomiary i oceny, czy jest on właściwy by należycie spełniać swoje funkcje, w tym zabezpieczać wprowadzane do niego dane osobowe abonentów”. Dalej Spółka Virgin wskazuje, iż „Ryzyko dla praw i  wolności podmiotów danych było stale oceniane przez Spółkę. Każdorazowo w przypadku zmian organizacyjnych lub prawnych w Spółce, środki techniczne i organizacyjne były poddawane przeglądom oraz uaktualnieniom. Dowodzi to, że czynności te były przeprowadzane w miarę indywidualnych potrzeb Spółki. Spółka w czasie korzystania z ww. systemu, dokładała wszelkich starań, aby system spełniał swoje funkcje i właściwie chronił dane do niego wprowadzone. Jak wyżej wskazano, uwzględniając stan wiedzy technicznej, którą Spółka dysponowała w czasie, w którym doszło do niniejszego zdarzenia przyjęte i stosowane przez nią rozwiązania techniczne były na najwyższym możliwym poziomie”.

Prezes Urzędu nie może zgodzić się z tym stanowiskiem, ponieważ do wykrycia wykorzystanej podatności wystarczyłoby zweryfikowanie podstawowej zasady działania systemu B, tj. sprawdzenie, czy następuje walidacja […], natomiast brak podjęcia tego działania świadczy o nieskutecznym bądź niewłaściwym przeprowadzaniu wskazanych przez Spółkę Virgin przeglądów. Sprawdzenie poprawności walidacji dwóch ww. danych nie wymaga żadnej wiedzy specjalistycznej bądź dużych nakładów finansowych, a  jedynie dostępu do systemu. Ponadto podkreślić należy, iż zidentyfikowana w wyniku naruszenia ochrony danych osobowych podatność jest związana z zastosowanymi środkami technicznymi służącymi do identyfikacji użytkowników, a co za tym idzie ich uprawnień w systemie. Jak wskazała Spółka Virgin w zgłoszeniu naruszenia ochrony danych osobowych z […] grudnia 2019 r., „naruszenie polegało na wykorzystaniu […]ze względu na swój cel […], ze względu na błąd w konstrukcji pozwalał na […]. Argument identyfikujący […], który powinien być walidowany tak, […]. W związku z tym wywołanie […] było możliwe przy podaniu […]. Atakujący używał […]”. Sprawdzenie poprawności działania założonej walidacji […] jest tak oczywiste i podstawowe, iż jedynym słusznym wnioskiem, który można wysnuć, jest stwierdzenie, iż wdrożenie systemu służącego do przetwarzania danych osobowych do użytku bez poprawnie działającej ww. walidacji świadczy o rażącym zaniedbaniu podstawowych obowiązków administratora danych osobowych, w kontekście art. 32 rozporządzenia 2016/679.

Według Spółki Virgin, „wykorzystanie podatności systemu do przedmiotowego ataku skutkującego uzyskaniem dostępu do danych, nie było zależne od braku odpowiedniego testowania, mierzenia czy oceniania systemu, ponieważ wskazane czynności byty regularnie
i prawidłowo prowadzone przez Spółkę. Potwierdzeniem są wydruki z systemu C dotyczące podatności […] oraz weryfikacji wprowadzanych danych, które dowodzą że choć Virgin nie przeprowadziła testów związanych konkretnie z podatnością wykorzystaną podczas ataku z […]-[…] grudnia 2019 r., to jednak inne testy […], mające na celu wykrycie podatności i poprawę jakości danych byty prowadzone”
.

W ocenie Prezesa Urzędu dokonywanie testów wyłącznie w sytuacji pojawiającego się zagrożenia, bez wprowadzenia procedury, która by określała harmonogram działań zapewniających regularne testowanie, mierzenie i ocenianie skuteczności wdrożonych środków jest niewystarczające. Spółka Virgin bowiem, jak wynika ze zgromadzonego materiału, mimo przyjętych rozwiązań nie była w stanie wykryć podatności ze względu na brak regularnych testów wdrożonego przez Spółkę Virgin systemu B, który z założenia, jak wynika z wyjaśnień Spółki Virgin pozyskanych w toku kontroli, miał weryfikować […] i zgodność id wniosku o rejestrację z […] rejestrującego wniosek.

Podkreślenia wymaga, że regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania jest podstawowym obowiązkiem każdego administratora oraz podmiotu przetwarzającego wynikającym z art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Administrator zobowiązany jest więc do weryfikacji zarówno doboru, jak i poziomu skuteczności stosowanych środków technicznych na każdym etapie przetwarzania. Kompleksowość tej weryfikacji powinna być oceniana przez pryzmat adekwatności do ryzyk oraz proporcjonalności w stosunku do stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Natomiast w przedmiotowym stanie faktycznym Spółka Virgin wywiązywała się z tego obowiązku częściowo, weryfikując i modyfikując poziom skuteczności wdrożonych zabezpieczeń w sytuacjach, gdy pojawiało się podejrzenie zaistnienia podatności – wówczas podejmowane były prace mające na celu zabezpieczenie przed daną podatnością. Jak wspomniano wyżej, nie były przeprowadzane testy dotyczące weryfikacji zabezpieczeń aplikacji A oraz […] systemu B mających związek z naruszeniem danych osobowych.

Nie można też uznać, że działania, jak wskazała Spółka Virgin, polegające na poddawaniu środków technicznych i organizacyjnych przeglądom oraz uaktualnieniom w przypadku pojawienia się zmian organizacyjnych lub prawnych stanowią o wypełnieniu obowiązku administratora w zakresie zapewnienia regularnego testowania, mierzenia i testowania skuteczności środków technicznych i organizacyjnych. Działania takie nie wyczerpują bowiem wymogu regularności. Testy powinny być wykonywane niezależnie, czy takie zmiany w działalności zachodzą czy też nie. Zmiany, do których odwołuje się Spółka Virgin, powinny być natomiast czynnikiem powodującym konieczność przeprowadzenia ponownej analizy ryzyka i ich wpływu na bezpieczeństwo przetwarzanych danych, której wynik należy uwzględnić przy stosowaniu środka bezpieczeństwa, jakim jest regularne testowanie.

Podkreślić zatem należy, że dokonywanie przeglądów w sytuacji wystąpienia zmiany organizacyjnej lub prawnej, jak również podejmowanie działań dopiero w przypadku podejrzenia zaistnienia podatności, nie może zostać uznane za regularne testowanie, mierzenie i ocenianie skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych. Są one bowiem podejmowane w związku z zaistnieniem określonego wydarzenia, np. zmiany organizacyjnej u administratora danych. Mają one zatem bardziej cechy analizy ryzyka, która powinna być właśnie dokonywana w sytuacji tego typy zmian w organizacji i przebiegu procesów przetwarzania danych osobowych. Tymczasem, wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o  której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych spowodowanych np. zmianą organizacyjną u administratora danych. Takich działań Spółka Virgin jednak nie podejmowała, co przesądza o naruszeniu tego przepisu rozporządzenia 2016/679.

Prezes Urzędu Ochrony Danych Osobowych podziela pogląd wyrażony przez Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 3 września 2020 r. o sygnaturze II SA/Wa 2559/19, zgodnie z którym: „Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

W kontekście przywołanego wyroku wskazać należy, że analiza ryzyka przeprowadzana przez administratora danych osobowych powinna zostać udokumentowana oraz uzasadniona na podstawie przede wszystkim określenia stanu faktycznego, istniejącego w momencie jej przeprowadzania. Należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych.

Określenie aktywa używane jest dla wskazania wszystkiego, co stanowi wartość dla organizacji, firmy – administratora danych. Pewne aktywa stanowić będą wartość wyższą od innych, i również z tej perspektywy winny być oceniane i zabezpieczane. Bardzo istotne są również wzajemne powiązania występujących aktywów, np. poufność aktywów (danych osobowych) zależna będzie od rodzaju i sposobu przetwarzania tych danych. Ustalenie wartości aktywów jest konieczne do oszacowania skutków ewentualnego incydentu (naruszenia ochrony danych osobowych).

Określenie istniejących zabezpieczeń jest konieczne, między innymi w tym celu, aby móc je zidentyfikować pod kątem ich dopasowania do istniejącego ryzyka. Należy również bezwzględnie sprawdzić skuteczność funkcjonowania tych zabezpieczeń, ponieważ istnienie zabezpieczenia niesprawdzonego po pierwsze może wyeliminować jego wartość, po drugie zaś może dać fałszywe poczucie bezpieczeństwa oraz może skutkować pominięciem (niewykryciem) krytycznej podatności, która wykorzystana spowoduje bardzo negatywne skutki, w tym w szczególności może doprowadzić do naruszenia ochrony danych osobowych.

Podatność jest określana powszechnie jako słabość bądź luka w zabezpieczeniach, która wykorzystana przez dane zagrożenie może zakłócać funkcjonowanie, a także może prowadzić do incydentów bądź naruszeń ochrony danych osobowych. Identyfikowanie zagrożeń polega na określaniu, jakie zagrożenia i z jakiego kierunku (powodu) mogą się pojawić.

Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Zazwyczaj wykorzystuje się macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, przedstawiając poziomy ryzyka, dla których organizacja definiuje odpowiednie działania.

Przedstawiona w toku kontroli analiza ryzyka, przeprowadzona w maju 2018 r., nie odzwierciedla w pełni stanu faktycznego procesu […] będącego przedmiotem kontroli, w związku z wystąpieniem naruszenia danych osobowych, zgłoszonego przez Spółkę Virgin […] grudnia 2019 r. Jak wynika z materiału zebranego w toku kontroli, przegląd środków technicznych i organizacyjnych został przeprowadzony przez Spółkę jedynie przed rozpoczęciem stosowania rozporządzenia 2016/679. Nie sposób jednak uznać go za realny i faktyczny, nie doprowadził bowiem do ujawnienia podatności w funkcjonowaniu systemu.  

Podkreślić należy, iż badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.

Wskazane w przedstawionej analizie ryzyka zagrożenie w postaci „nieuprawniony dostęp osób trzecich lub nieuprawnione ujawnienie danych osobom trzecim” nie powinno zostać określone przez Spółkę Virgin na poziomie „Nie dotyczy”, ponieważ zdarzenie to może zaistnieć w  każdej organizacji, z powodu wielu różnych przyczyn, natomiast odpowiedź „Nie dotyczy” byłaby zasadna w sytuacji, gdyby Spółka Virgin nie przetwarzała w tym procesie danych osobowych. Natomiast, jak wynika z materiału dowodowego ustalonego w toku kontroli oraz postępowania administracyjnego, właśnie to zagrożenie zmaterializowało się, poprzez wykorzystanie niezidentyfikowanej przez administratora podatności istniejącej w procesie przetwarzania danych osobowych […] w związku z zaistniałym naruszeniem danych osobowych abonentów usług przedpłaconych.

Przyjęcie wartości „Średnie/rzadka” oraz ocena na poziomie „2” dla zagrożenia „brak badania podatności systemów informatycznych” również świadczy o powierzchownym podejściu do ryzyka naruszenia praw lub wolności osób fizycznych przez Spółkę Virgin Przyjęta ocena powinna odzwierciedlać realną sytuację panującą w danej organizacji i opierać się przede wszystkim na faktach, stwierdzonych podczas badania tej sytuacji, przeprowadzonego w formie audytu, sprawdzenia bądź na podstawie stwierdzonego stanu faktycznego. Jak natomiast wynika z  zebranego podczas przeprowadzonej kontroli materiału dowodowego, w roku 2019 nie był w  Spółce Virgin przeprowadzony przegląd stosowanych środków technicznych i organizacyjnych, co samo w sobie dyskwalifikuje dokonaną ocenę na tym poziomie, zaś jak wskazano powyżej, incydentalnie podejmowane działania nie wyczerpują znamion regularności.

Powyższe ustalenia pozwalają na jednoznaczne stwierdzenie, iż przeprowadzona analiza ryzyka miała na celu jedynie wykazanie, iż nie występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a co za tym idzie, że nie jest konieczne wdrażanie dodatkowych środków technicznych i organizacyjnych. Takie podejście spowodowało jednak brak prawidłowej oceny zagrożeń dla procesu przetwarzania danych osobowych abonentów usług przedpłaconych [….] i w konsekwencji niewłaściwe ich zabezpieczenie, czego efektem było naruszenie danych osobowych.

Zwrócić należy uwagę również na to, że przedstawiona analiza ryzyka została przeprowadzona w maju 2018 r., a zatem przez okres ponad półtoraroczny (od maja 2018 r. do grudnia 2019 r.) Spółka nie podejmowała żadnych działań w celu weryfikacji przyjętych w niej założeń i ocen. Tymczasem, podobnie jak inne środki organizacyjne, również analiza ryzyka powinna podlegać okresowym przeglądom i uaktualnieniom, zaś jak wynika z zebranego materiału, kolejną analizę ryzyka dla procesu […] przeprowadzono dopiero […] grudnia 2019 r., a więc już po wystąpieniu naruszenia danych osobowych. Podkreślić należy, że każde sprawdzenie, audyt bądź przegląd musi opierać się na kompletnych i  rzetelnych informacjach. Funkcjonowanie jakiejkolwiek organizacji, zwłaszcza w sferze ochrony danych osobowych, nie może opierać się na nierzetelnych bądź nierealnych podstawach, zaś lekceważenie wartości podstawowych informacji skutkować może, jak wskazano wyżej, fałszywym poczuciem bezpieczeństwa oraz nie podjęciem przez administratora danych działań, do których jest zobligowany, co z kolei skutkować może, jak w  przedmiotowym przypadku, naruszeniem ochrony danych osobowych, powodującym ze względu na zakres danych osobowych podlegających naruszeniu, wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2826/19 z dnia 26 sierpnia 2020 r. „(…) czynności o charakterze techniczno – organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych.”, który do pogląd organ przyjmuje za własny.

Zatem brak rzetelnie przeprowadzonej analizy ryzyka, w połączeniu z brakiem regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków technicznych i  organizacyjnych mających zapewnić bezpieczeństwo przetwarzania doprowadził, co należy ponownie podkreślić, do naruszenia danych osobowych, ale i przesądza o naruszeniu przez Spółkę Virgin obowiązków spoczywających na administratorze danych, wynikających z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679.

Odnosząc się natomiast do przedłożonych kopii uzyskanych […] lipca 2020 r. certyfikatów: ISO/IEC 27001:2013 poświadczającego wdrożenie i utrzymywanie przez Spółkę Virgin systemu zarządzania bezpieczeństwem informacji w zakresie usług świadczonych przez operatora telekomunikacyjnego oraz ISO/IEC 27701:2019 poświadczającego wdrożenie i  utrzymywanie przez Spółkę Virgin systemu zarządzania danymi osobowymi jako rozszerzenie ISO/IEC 27001:2013 oraz ISO/IEC 27002:2013 o zarządzanie prywatnością w zakresie usług świadczonych przez operatora telekomunikacyjnego i złożonych w tym zakresie wyjaśnień, należy uznać, że Spółka Virgin w  toku postępowania usunęła uchybienie w postaci braku procedur zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków w prowadzonej przez Spółkę Virgin dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne.

Jak wskazała Spółka Virgin w złożonych wyjaśnieniach, wymogi utrzymania certyfikatów zgodności systemu zarządzania z wdrożonymi normami oznaczają m.in. objęcie funkcjonowania systemu zarządzania bezpieczeństwa informacji i ochrony danych corocznym audytem wewnętrznym prowadzonym przez Spółkę Virgin, jak i zewnętrznym niezależnej instytucji wydającej certyfikat. Powyższe oznacza, że Spółka Virgin wdrożyła rozwiązania zapewniające regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków zapewniających bezpieczeństwo przetwarzania danych. Wdrożenie tych rozwiązań nastąpiło jednak dopiero […]  lipca 2020 r., a więc po upływie znacznego czasu od wystąpienia naruszenia danych osobowych abonentów usług przedpłaconych.

Odnosząc się do wyjaśnień Spółki Virgin i wskazanych w nich okoliczności, że w chwili wprowadzania do swojej działalności zmian wymaganych ustawą o działalności antyterrorystycznej nie była zobowiązana do przestrzegania zasady ochrony danych w fazie projektowania, o której mowa w art. 25 ust. 1 rozporządzenia 2016/679, Prezes Urzędu zwraca uwagę, że jak podkreśla się w motywie 171 rozporządzenia 2016/679 (motywy zawierają uzasadnienie przepisów części normatywnej aktu, jakim jest rozporządzenie), przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Zgodnie z brzmieniem art. 99 ust. 1 rozporządzenia 2016/679, wskazane rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej i ma zastosowanie od 25 maja 2018 r. (art. 99 ust. 2). Zatem z dniem 24 maja 2016 r. rozporządzenie 2016/679 weszło w życie z obowiązkiem stosowania bezpośrednio od dnia 25 maja 2018 r. Europejski prawodawca pozostawił administratorom danych dwuletni okres na zaprojektowanie istniejących systemów przetwarzania danych aby spełniały wymogi rozporządzenia 2016/679.

Mając na uwadze to, że systemy B i A funkcjonują od 2014 r., Spółka Virgin w okresie dwóch lat od wejścia w życie rozporządzenia 2016/679 była obowiązana do zaprojektowania systemów by na dzień rozpoczęcia stosowania rozporządzenia 2016/679 stosować środki techniczne spełniające wymogi art. 25 ust. 1 rozporządzenia 2016/679.

Europejska Rada Ochrony Danych (EROD) w Wytycznych nr 4/2019 dotyczących artykułu 25 „Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych”, wersja 2.0, przyjętych 20 października 2020 r., wskazuje, że „obowiązek utrzymania, przeglądu i aktualizacji, w miarę potrzeby, operacji przetwarzania dotyczy również wcześniej istniejących systemów. Oznacza to, że dotychczasowe systemy zaprojektowane przed wejściem w życie RODO należy poddawać przeglądom i konserwacji, aby zapewnić wdrożenie środków i zabezpieczeń, które w skuteczny sposób wdrażają zasady i prawa osób, których dane dotyczą, jak określono w niniejszych wytycznych”.

Podkreślenia również wymaga, że powołany art. 25 ust. 1 rozporządzenia 2016/679 pomimo nazwania wskazanego w nim obowiązku administratora jako „ochrona danych w fazie projektowania” dotyczy nie tylko etapu projektowania, ale także samego etapu przetwarzania danych. Wdrażanie zabezpieczeń stanowi bowiem ciągły proces, a nie tylko jednorazowe działanie administratora. Wymienione w nim środki, jak „minimalizacja danych” czy też „pseudonimizacja”, są tylko przykładem środków, które powinny zostać zastosowane w  celu spełnienia wymogu realizacji zasad ochrony danych oraz nadania przetwarzaniu niezbędnych zabezpieczeń, by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą. EROD w powołanych wytycznych wyjaśnia, że „środki techniczne i organizacyjne oraz niezbędne zabezpieczenia mogą być rozumiane w szerokim znaczeniu jako dowolna metoda lub środek, które administrator może zastosować w procesie przetwarzania. Sformułowanie odpowiednie oznacza, że środki i niezbędne zabezpieczenia powinny być dostosowane do osiągnięcia zamierzonego celu, to znaczy, że muszą one skutecznie realizować zasady ochrony danych. Wymóg dotyczący odpowiedniości jest zatem ściśle związany z wymogiem dotyczącym skuteczności. Środkiem technicznym lub organizacyjnym oraz zabezpieczeniem może być dowolne działanie, począwszy od zastosowania zaawansowanych rozwiązań technicznych, po podstawowe przeszkolenie pracowników. Przykłady, które mogą okazać się odpowiednie, w zależności od kontekstu i ryzyka związanego z danym przetwarzaniem, obejmują pseudonimizację danych osobowych; przechowywanie danych osobowych dostępnych w ustrukturyzowanym formacie, powszechnie nadającym się do odczytu maszynowego; umożliwienie osobom, których dane dotyczą ingerencji w przetwarzanie; dostarczanie informacji na temat przechowywania danych osobowych; dysponowanie systemami wykrywania złośliwego oprogramowania; szkolenie pracowników w zakresie podstawowej higieny pracy w cyberprzestrzeni; wdrażanie systemów zarządzania prywatnością i bezpieczeństwem informacji, zobowiązujących umownie podmioty przetwarzające do wdrożenia określonych praktyk w zakresie minimalizacji danych itp.”

Spółka Virgin w wyjaśnieniach podniosła, że na tym etapie postępowania nie zostało wykazane kim był atakujący. Sposób wykorzystania podatności wskazywał, że atakujący miał wcześniej dostęp do systemu i wiedział, jak skonstruować odpowiednie zapytanie. Obecnie Spółka Virgin nie wie, czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć. W ocenie Spółki Virgin wykazanie, czy doszło do udostępnienia danych osobie nieuprawnionej leży po stronie Prezesa Urzędu.

Odnosząc się do powyższego twierdzenia Spółki Virgin, że po stronie Prezesa Urzędu leży wykazanie, czy doszło do udostępnienia danych osobie nieuprawnionej, zaakcentować należy, że Prezes Urzędu nie ma w swoich kompetencjach uprawnień do prowadzenia postępowania zmierzającego do wykrycia sprawcy czynu zabronionego i oceny, czy doszło do jego popełnienia, te przysługują bowiem organom ścigania, gdyż to one są uprawnione do prowadzenia takiego postępowania i oceny, czy doszło do popełnienia czynu zabronionego oraz do kwalifikacji czynu zabronionego. Do kompetencji Prezesa Urzędu należy natomiast ocena, czy administrator danych przetwarza dane zgodnie z wymogami wynikającymi z przepisów o ochronie danych osobowych  oraz odpowiedzialności administratora danych za przetwarzanie danych w sposób naruszający te przepisy.

Wskazać zatem ponownie należy, że obowiązkiem każdego administratora jest przetwarzanie danych zgodnie z zasadami określonymi art. 5 rozporządzenia 2016/679, w tym przypadku zgodnie z art. 5 ust. 1 lit. f). Przy czym stosownie do art. 5 ust. 2 rozporządzenia 2016/679 jest on odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (rozliczalność). Zobowiązuje to administratora do zachowania staranności zarówno przy nadawaniu upoważnień do przetwarzania danych, jak i również przy cofaniu upoważnień względem byłego pracownika, zleceniobiorcy czy wykonawcy. Okoliczności podjęcia decyzji o rozwiązaniu więzi prawnej łączącej z pracownikiem, zleceniobiorcą czy wykonawcą, mogą podnosić ryzyko wystąpienia prób nieuprawnionego dostępu do zasobów podmiotu. Stałe zatem monitorowanie systemów informatycznych jest obowiązkiem administratora zapewniającym wywiązanie się z wymogów nałożonych przepisami art. 32 ust. 1 lit. b) i d) rozporządzenia 2016/679. To po stronie Spółki Virgin leżał obowiązek wykazania przed organem nadzorczym, iż wdrożyła odpowiednie środki bezpieczeństwa danych i zabezpieczyła dane przed dostępem osób nieupoważnionych, np. tych których upoważnienie wygasło, jak również wykazanie, że podjęła wszelkie możliwe działania, aby nie doszło do naruszenia poufności danych i nie ponosi odpowiedzialności za to naruszenie.

Twierdzenie Spółki Virgin, że nie wie, czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć, potwierdza, iż wdrożone przez nią środki techniczne i organizacyjne mające zapewnić bezpieczeństwo danych były niewystarczające. Brak wiedzy na temat tych informacji stanowi również dowód na to, że Spółka Virgin nie panowała nad procesem przetwarzania danych, co stanowi o naruszeniu zasady rozliczalności. Powyższe potwierdza orzeczenie WSA w Warszawie z dnia 10 lutego 2021 r., sygn. II SA/Wa 2378/20: „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych .” Podobnie kwestię zasady rozliczalności interpretuje WSA w Warszawie w wyroku z dnia 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19: „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679 .”

Powyższe świadczy, iż prawidłowe są ustalenia Prezesa Urzędu, że Spółka Virgin nie wdrożyła w  sposób prawidłowy wymogów rozporządzenia 2016/679 w zakresie określonym art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679, co doprowadziło do naruszenia danych osobowych abonentów usług przedpłaconych. Konsekwencją naruszenia przywołanych przepisów rozporządzenia 2016/679 jest także naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679 oraz zasady rozliczalności, o  której mowa w art. 5 ust. 2 rozporządzenia 2016/679.

Podsumowując, pomimo usunięcia przez Spółkę Virgin uchybień w zakresie zapewnienia bezpieczeństwa przetwarzanych danych, w tym podatności systemów informatycznych służących do przetwarzania danych osobowych abonentów usług przedpłaconych, będącej przyczyną naruszenia poufności danych osobowych, zaistniały przesłanki uzasadniające zastosowanie wobec Spółki Virgin przysługujących Prezesowi Urzędu uprawnień do nałożenia administracyjnej kary pieniężnej za naruszenie zasady poufności danych (art. 5 ust. 1 lit. f) rozporządzenia 2016/679), a w konsekwencji zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679) w związku z naruszeniem obowiązków administratora przy wdrażaniu środków technicznych i organizacyjnych w trakcie przetwarzania danych, w celu skutecznej realizacji zasad ochrony danych (art. 25 ust. 1 rozporządzenia 2016/679); obowiązków w zakresie zapewnienia poufności, integralności, dostępności i  odporności systemów i usług przetwarzania danych (art. 32 ust. 1 lit. b) rozporządzenia 2016/679); obowiązku regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania (art. 32 ust. 1 lit. d) rozporządzenia 2016/679) oraz obowiązku uwzględnienia ryzyka wiążącego się z  przetwarzaniem, wynikającego z nieuprawnionego dostępu do przetwarzanych danych osobowych (art. 32 ust. 2 rozporządzenia 2016/679).

Skorzystanie przez Prezesa Urzędu z przysługującego mu uprawnienia wynika przede wszystkim z  faktu, iż administrator uchybił podstawowym zasadom przetwarzania danych, tj. zasadzie poufności, a także zasadzie rozliczalności, stanowiącej o bezwzględnym obowiązku wykazania przed Prezesem Urzędu przestrzegania przepisów rozporządzenia 2016/679. 

Na podstawie art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a) – h) oraz lit. j) tego rozporządzenia administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. 

Decydując o nałożeniu na Spółkę P4, następcę prawnego Spółki Virgin, administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) – k) rozporządzenia 2016/679 – wziął pod uwagę i uznał za obciążające następujące okoliczności sprawy mające wpływ na wymiar nałożonej kary:

 

1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, (art. 83 ust. 2 lit. a rozporządzenia 2016/679) -stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679, którego skutkiem było uzyskanie nieuprawnionego dostępu do przetwarzanych przez Spółkę Virgin danych przez osobę bądź osoby nieuprawnione, a w konsekwencji naruszenie poufności danych ponad 100 tys. abonentów usług przedpłaconych Spółki Virgin, ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko wystąpienia szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone. Samo naruszenie poufności danych już stanowi dla tych osób szkodę niemajątkową (krzywdę). Abonenci, których imię i nazwisko, numer PESEL czy numer dokumentu tożsamości pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Naruszenie przez Spółkę Virgin obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieuprawnionym, pociąga bowiem za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osób, których dane zostały naruszone np. przy użyciu numeru PESEL w celu nawiązania stosunków prawnych lub zaciągnięcia zobowiązań w imieniu osób, których dane pozyskano w sposób bezprawny, czy też wykorzystania danych do niechcianych działań marketingowych wykorzystując numer telefonu. Ponadto w stosunku do abonentów dotkniętych naruszeniem poufności ich danych w dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się ich danymi osobowymi, albowiem dane te zostały pozyskane przez osobę lub osoby nieuprawnione w sposób nielegalny w wyniku działań o charakterze przestępnym.

Znaczący wpływ na wagę i charakter naruszenia ma również okoliczność, że Spółka Virgin, a obecnie jej następca prawny Spółka P4, przetwarza dane na skalę masową. Masowe przetwarzanie musi się wiązać z wyższym poziomem odpowiedzialności administratora i z wyższym poziomem należytej staranności wymaganej od niego, gdyż nieodpowiednie zabezpieczenie danych może skutkować negatywnymi konsekwencjami dla wielu osób. Należytą staranność należy oceniać przy uwzględnieniu przedmiotu i charakteru prowadzonej działalności (vide wyrok SN z 25 września 2002 r., sygn. akt I CKN 971/00: „należyta staranność dłużnika w prowadzonej przez niego działalności gospodarczej, którą określa się przy uwzględnieniu zawodowego charakteru tej działalności, nie oznacza staranności wyjątkowej, lecz dostosowanej do działającej osoby, przedmiotu, jakiego działanie dotyczy, oraz okoliczności, w jakich działanie to następuje”). Spółka P4, następca prawny Spółki Virgin, przetwarza dane osobowe na dużą skalę (w związku ze świadczeniem usług telekomunikacji bezprzewodowej) wyłącznie z wykorzystaniem środowiska informatycznego jako podstawowej formy jej działalności, co pociąga za sobą zwiększenie zakresu odpowiedzialności za wdrożenie środków organizacyjnych i technicznych służących zabezpieczeniu przetwarzanych danych. Należy zaznaczyć, że naruszenie obowiązków administratora (brak odpowiednich środków technicznych i organizacyjnych) nie dotyczyło tylko i wyłącznie osób dotkniętych wyciekiem ich danych osobowych, a nawet też nie wszystkich posiadanych w tym czasie w ich bazie danych osobowych. Naruszenie to stwarzało ryzyko dla wszystkich osób będących klientami Spółki Virgin w całym okresie trwania naruszenia, zarówno przed, jak i po wycieku danych. Nie bez znaczenia zatem przy ustalaniu wysokości kary miał czas trwania naruszenia. Brak odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku trwał bowiem od dnia rozpoczęcia stosowania rozporządzenia 2016/679, to jest od […] maja 2018 r., a usunięty został ostatecznie - w trakcie postępowania zakończonego wydaniem niniejszej decyzji – wraz z uzyskaniem przez Spółkę Virgin w dniu 22 lipca 2020 r. certyfikatów ISO/IEC 27001:2013, ISO/IEC 27701:2019, ISO/IEC 27001:2013 oraz ISO/IEC 27002:2013, poświadczających wdrożenie procedur zapewniających regularne testowanie, mierzenie i ocenianie skuteczności przyjętych środków w prowadzonej przez Spółkę Virgin dokumentacji opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i  techniczne.

2. Umyślny lub nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679) - nieuprawniony dostęp do danych osobowych abonentów usług przedpłaconych Spółki Virgin stał się możliwy na skutek niedochowania należytej staranności przez Spółkę Virgin i niewątpliwie stanowi o nieumyślnym charakterze naruszenia. Niemniej jednak Spółka P4, następca prawny Spółki Virgin, jako administrator ponosi odpowiedzialność za stwierdzone nieprawidłowości w procesie przetwarzania danych. Na negatywną ocenę zasługuje fakt, że Spółka Virgin, pomimo iż zakładała, że system będzie weryfikował zgodność […], nie przeprowadziła testu pod kątem poprawności działania systemu zgodnie z założonymi wymaganiami. Jednocześnie twierdzenia Spółki Virgin, że nie wie, czy i jakimi uprawnieniami mógł dysponować atakujący oraz jakiego okresu mogło owo uprawnienie dotyczyć, świadczą, że wdrożone przez Spółkę Virgin środki techniczne i organizacyjne, mające zapewnić bezpieczeństwo danych, były niewystarczające, a Spółka Virgin nie panowała nad procesem przetwarzania danych. Należy podkreślić, że Spółki Virgin nie obciążają bezprawne działania osób trzecich, tj. osoby lub osób o nieustalonej tożsamości odpowiedzialnej za atak i z tego tytułu nie ponosi ona odpowiedzialności. Spółkę obciąża rażące zaniedbanie przy wdrażaniu systemu oraz procedur zapewniających regularne testowanie, które przyczyniło się do wystąpienia naruszenia danych osobowych, a w konsekwencji naruszenia poufności danych. Za takim stanowiskiem organu (uznaniem za okoliczność obciążającą nieumyślnego – wynikającego z niedochowania należytej staranności – charakteru naruszenia) opowiedział się także Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 15 lutego 2022 r. sygn. akt II SA/Wa 3309/21 wskazując „Co się tyczy nałożonej kary pieniężnej, to w ocenie tut. Sądu działania Prezesa UODO były uprawnione. […] Nadto organ uzasadnił niezmiernie szczegółowo zarówno konieczność kary, jak i jej wysokość wskazując na: […] - nieumyślny charakter naruszenia (nieuprawniony dostęp do danych osobowych osób, wobec których były podejmowane działania przez kuratora, stał się możliwy na skutek niedochowania należytej staranności przez Prezesa Sądu.

3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit g rozporządzenia 2016/679) -  dane osobowe, do których dostęp uzyskała nieznana i nieuprawniona osoba trzecia, wprawdzie nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich zakres: numer telefonu oraz w przypadku 4522 osób imię i nazwisko, numer PESEL, numer i seria dokumentu tożsamości; w stosunku do 108702 osób imię i nazwisko oraz nr PESEL; w stosunku do 10167 osób imię i nazwisko oraz numer i seria dokumentu tożsamości wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W tym miejscu należy podkreślić, iż w szczególności nieuprawnione ujawnienie takiej kategorii danych jak nr PESEL (w połączeniu z imieniem i nazwiskiem), którego wyciek dotyczy jak wyżej wskazano ponad 100 tys. abonentów, może realnie i negatywnie wpływać na ochronę praw lub wolności osób fizycznych. Numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Fakt, że naruszenie dotyczyło ok. 13,62 % wszystkich danych (rekordów), które znajdowały się w tym czasie w bazie Spółki Virgin, nie pomniejsza ryzyka kradzieży tożsamości lub oszustwa dotyczącego tożsamości, czy straty finansowej dla ponad 100 tys. osób dotkniętych naruszeniem poufności ich danych osobowych w zakresie numeru PESEL. Nie ma innej, tak konkretnej danej, która by w sposób jednoznaczny identyfikowała osobę fizyczną.  Nie bez powodu nr PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Nr PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuję osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie.

Skala zjawiska nie jest obojętna dla przyjęcia możliwości wystąpienia wysokiego ryzyka w niniejszej sprawie. Z ostatniego raportu infoDOK (który przygotowywany jest w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i we współpracy m.in. z Policją oraz Federacją Konsumentów, dostępnego pod linkiem: https://zbp.pl/Aktualnosci/Wydarzenia/Raport-InfoDOK-Q42021) wynika, że w I kwartale tego roku odnotowano 1 915 prób wyłudzeń kredytów i pożyczek. Oznacza to średnio 21 prób wyłudzeń dziennie. Każdego dnia próbowano na cudze nazwiska wyłudzić łącznie 575 tys. zł. Z kolei w IV kwartale 2021 r. próbowano wyłudzić 2 075 kredytów, na łączną kwotę 91,3 mln zł. To 24 mln zł więcej niż w 2020 r., a cały rok 2021 r. pod względem liczby oraz kwot był znacząco bardziej niebezpieczny od poprzedniego: 17% wzrost liczby prób wyłudzeń oraz 32% wzrost łącznych kwot.

Zwrócić również należy uwagę na materiał Biura Informacji Kredytowej S.A. opublikowany pod adresem: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci - „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”.

Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 1 lipca 2022 r. sygn. akt II SA/Wa 4143.21 „W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą”.

 

Ustalając wysokość administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uwzględnił jako okoliczności łagodzące, mające wpływ na obniżenie wysokości wymierzonej kary następujące przesłanki:

1. Działania podjęte przez Spółkę w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) - Spółka Virgin skierowała do osób dotkniętych naruszeniem poufności ich danych osobowych zawiadomienia o naruszeniu ich danych osobowych, zawierające wszystkie wymagane zgodnie z art. 34 ust. 2 rozporządzenia 2016/679 informacje. Spółka Virgin bezpośrednio po wykryciu naruszenia bezpieczeństwa danych, jeszcze przed wszczęciem postępowania administracyjnego podjęła konkretne i szybkie działania, których efektem było usunięcie tego naruszenia. W  szczególności Spółka Virgin usunęła z systemu informatycznego wykorzystaną przez osobę lub osoby nieuprawnione jego podatność na naruszenie ochrony przetwarzanych w systemie danych osobowych abonentów. Mimo wysokiego ryzyka wystąpienia szkód majątkowych lub niemajątkowych dla osób, których dane zostały w sposób bezprawny pozyskane przez osobę nieuprawnioną,  podjęcie przez Spółkę Virgin szybkich działań mających na celu zabezpieczenie danych przed ich pobraniem przyczyniło się do ograniczenia liczby osób dotkniętych naruszeniem bezpieczeństwa ich danych, co należy uznać jako okoliczność łagodzącą, ponieważ zawężenie liczby osób dotkniętych naruszeniem świadczy o działaniach podjętych w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą. W konsekwencji działania podjęte przez Spółkę Virgin przyczyniły się do zawężenia skali naruszenia i ograniczyły wyciek danych, jak oświadczyła Spółka Virgin, do 13,62% wszystkich rekordów znajdujących się w jej bazie.

2. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679) –Spółka Virgin w sposób prawidłowy wywiązywała się z ciążących na niej obowiązków procesowych zarówno w trakcie postępowania kontrolnego, jak i w postępowaniu administracyjnym zakończonym wydaniem niniejszej decyzji, ponadto w pełnym zakresie zrealizowała zalecenia Prezesa Urzędu w związku ze zgłoszonym naruszeniem dotyczące uzupełnienia powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu.

3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679) – nie stwierdzono wcześniejszych poprzedzających niniejsze postępowanie naruszeń przepisów rozporządzenia 2016/679 przez Spółkę Virgin. 

Żadnego wpływu na fakt zastosowania przez Prezesa Urzędu w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności, to jest:

1. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679) – w przyjętych w dniu 3 października 2017 r. Wytycznych Grupy Roboczej ds. Ochrony Danych Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 wskazano, że – rozpatrując tę przesłankę – „organ nadzorczy musi odpowiedzieć na pytanie, w jakim stopniu administrator «zrobił wszystko, czego można by było oczekiwać», zważywszy na charakter, cele lub zakres przetwarzania oraz w świetle obowiązków nałożonych na niego przez rozporządzenie”.

            Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Spółkę Virgin przepisów art. 25 ust. 1, art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2 rozporządzenia 2016/679. W jego ocenie na spółce tej (aktualnie na jej następcy prawnym – Spółce P4) ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych jej klientów. Oczywistym jest, że w  rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Spółka Virgin nie „zrobiła wszystkiego, czego można by było od niej oczekiwać”; nie wywiązała się tym samym z nałożonych na nią przepisami art. 25 i 32 rozporządzenia 2016/679 obowiązków. W  niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia; nie jest jedynie czynnikiem wpływającym – łagodząco lub obciążająco – na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Spółkę P4 administracyjnej kary pieniężnej.

2. Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) – naruszenie ochrony danych osobowych zgłoszone zostało Prezesowi UODO przez Spółkę Virgin. Spółka Virgin dokonując tego zgłoszenia realizowała ciążący na niej obowiązek prawny, o którym mowa w art. 33 rozporządzenia 2016/679. Realizacja ciążących na administratorze obowiązków prawnych jest neutralna i sama w sobie nie stanowi okoliczności łagodzącej. Grupa Robocza Art. 29 w Wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 (WP 253 17/PL) podkreśla, iż „Zgodnie z rozporządzeniem administrator ma obowiązek zawiadomić organ nadzorczy o naruszeniu ochrony danych osobowych. Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący”.

3. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) – w niniejszej sprawie wobec Spółki Virgin nie zastosowano wcześniej środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679.

4. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust 2 lit. j rozporządzenia 2016/679) – Spółka Virgin nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji, o  których mowa w przepisach rozporządzenia 2016/679.

5. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679) - nie stwierdzono, aby w związku z naruszeniami Spółka Virgin uzyskała jakiekolwiek korzyści finansowe, czy też uniknęła jakichkolwiek strat finansowych.

 Uwzględniając wszystkie omówione wyżej okoliczności, Prezes UODO uznał, iż nałożenie administracyjnej kary pieniężnej na Spółkę P4, następcę prawnego Spółki Virgin, jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych Spółce Virgin naruszeń. Stwierdzić należy, iż zastosowanie w niniejszej sprawie jakiegokolwiek innego środka naprawczego przewidzianego w art. 58 ust. 2 rozporządzenia 2016/679, w szczególności zaś poprzestanie na upomnieniu (art. 58 ust. 2 lit. b), nie byłoby proporcjonalne do stwierdzonych nieprawidłowości w procesie przetwarzania danych osobowych oraz nie gwarantowałoby tego, że Spółka P4, następca prawny Spółki Virgin, w przyszłości nie dopuści się podobnych zaniedbań.

 Odnosząc się do wysokości wymierzonej Spółce P4, następcy prawnemu Spółki Virgin, administracyjnej kary pieniężnej, Prezes UODO uznał, iż w ustalonych okolicznościach niniejszej sprawy – tj. wobec stwierdzenia naruszenia kilku przepisów rozporządzenia 2016/679 (zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f), a odzwierciedlonej w postaci obowiązków określonych w  art. 25 ust. 1,  art. 32 ust. 1 lit. b) i lit. d) oraz art. 32 ust. 2, co w konsekwencji oznacza naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) – zastosowanie znajdzie zarówno art. 83 ust. 4 lit. a) rozporządzenia 2016/679, przewidujący m.in. za naruszenie obowiązków administratora, o  których mowa w art. 25 i 32 rozporządzenia 2016/679, możliwość nałożenia administracyjnej kary pieniężnej w wysokości do 10 000 000 EUR (w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego), jak również art. 83 ust. 5 lit. a) rozporządzenia 2016/679, zgodnie z którym naruszenia m.in. podstawowych zasad przetwarzania, o których mowa m.in. w art. 5 tego rozporządzenia, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR (w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z  poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa).

Wobec powyższego, stosownie do treści art. 83 ust. 3 rozporządzenia 2016/679, Prezes UODO określił całkowitą wysokość administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze naruszenie. W  przedstawionym stanie faktycznym za najpoważniejsze należy uznać naruszenie zasady poufności określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a w konsekwencji zasady rozliczalności określonej art. 5 ust. 2 rozporządzenia 2016/679. Przemawia za tym poważny charakter i waga naruszenia, długotrwały czas naruszenia przepisów rozporządzenia 2016/679 oraz kategoria danych, których dotyczy naruszenie poufności.

 Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) w związku z art. 83 ust. 3 rozporządzenia 2016/679 oraz w związku z art. 103 ustawy o ochronie danych osobowych, za naruszenia opisane w sentencji niniejszej decyzji nałożył na Spółkę P4, następcę prawnego Spółki Virgin – stosując średni kurs euro na dzień 28 stycznia 2022 r. (1 EUR = 4,5697 PLN) – administracyjną karę pieniężną w kwocie 1.599.395,00 PLN (co stanowi równowartość 350.000,00 EUR).

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

W ocenie Prezesa Urzędu nałożona na Spółkę P4, następcę prawnego Spółki Virgin, administracyjna kara pieniężna jest proporcjonalna zarówno do powagi naruszenia (skutkującego naruszeniem jednej z podstawowych zasad, na których oparty jest w rozporządzeniu 2016/679 system ochrony danych osobowych – zasady poufności danych), jak i do wielkości administratora, którą to wielkość – mierzoną jego obrotem – należy rozpatrywać w nierozerwalnym związku za względami na skuteczność kary i na jej odstraszający charakter.

W toku postępowania Spółka Virgin przedstawiła sprawozdanie finansowe Virgin Mobile Polska Sp. z o.o. za 2021 r., zgodnie z którym przychody ze sprzedaży netto wyniosły 95.578.126,00 zł. (słownie: dziewięćdziesiąt pięć milionów pięćset siedemdziesiąt osiem tysięcy sto dwadzieścia sześć złotych), co stanowi równowartość 20.915.623,80 EURO wg średniego kursu euro z 28 stycznia 2022 r.

Zważywszy na przedstawione wyniki finansowe, stwierdzić należy, że orzeczona administracyjna kara pieniężna nie będzie dla Spółki P4 nadmiernie dotkliwa. Wskazać należy, że orzeczona przez Prezesa UODO kwota kary - 1.599.395,00 zł stanowi jedynie 1,67% obrotu osiągniętego przez Virgin Mobile Polska Sp. z o.o. w 2021 r. Jednocześnie kara będzie skuteczna (osiągnie cel jakim jest ukaranie administratora za najpoważniejsze naruszenie o poważnych skutkach) i odstraszająca na przyszłość (albowiem doprowadzi do stanu, w którym Spółka P4, następca prawny Spółki Virgin, stosowała będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych). Skuteczność kary równoważna jest zatem gwarancji tego, iż Spółka P4, następca prawny Spółki Virgin, od momentu zakończenia niniejszego postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.

Kara w niższej wysokości przy wysokich obrotach, jakie osiągnęła Spółka Virgin, mogłaby być w praktyce niezauważalna i mogłaby zostawić pole do kalkulowania, czy dla tej organizacji koszty administracyjnych kar pieniężnych nie byłyby niższe niż nakłady na ochronę danych osobowych.

 Prezes UODO wskazuje ponadto, że nałożona na Spółkę P4, następcę prawnego Spółki Virgin, administracyjna kara pieniężna spełnia w szczególności kryterium proporcjonalności kary w rozumieniu wypracowanym w orzecznictwie TSUE (na gruncie prawa konkurencji i w stosunku do decyzji Komisji Europejskiej, ale mającym zdaniem Prezesa UODO ogólniejsze zastosowanie): „[…] zasada proporcjonalności wymaga, aby akty wydawane przez instytucje Unii nie przekraczały granic tego, co jest stosowne i konieczne do realizacji uzasadnionych celów, którym służą dane przepisy, przy czym tam, gdzie istnieje możliwość wyboru spośród większej liczby odpowiednich rozwiązań, należy stosować najmniej dotkliwe, a wynikające z tego niedogodności nie mogą być nadmierne w stosunku do zamierzonych celów […] (zob. wyrok z dnia 12 grudnia 2012 r., Electrabel / Komisja, T‑332/09, EU:T:2012:672, pkt 279 i przytoczone tam orzecznictwo)” (zob. wyrok z 26 października 2017 r. w sprawie T-704/14 Marine Harvest ASA przeciwko KE, ust. 580).

 Wysokość kary została zatem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia administracyjnej kary pieniężnej pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej Spółki P4, jako następcy prawnego Spółki Virgin.

W ocenie Prezesa UODO, administracyjna kara pieniężna spełni w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę Virgin przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczyni się do zapobiegania w przyszłości naruszania obowiązków administratora danych wynikających z przepisów o ochronie danych osobowych, zarówno przy przetwarzaniu danych przez samego administratora, jak i w stosunku do podmiotów działających na jego zlecenie.

W ocenie Prezesa Urzędu, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – zwłaszcza zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.

Mając powyższe na uwadze Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w  sentencji niniejszej decyzji.



[1] Ustawa z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz. U. z 2022 r. poz. 1467).

[2] Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2022 r. poz. 329) dalej p.p.s.a.

[3] Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2022 r. poz. 2000), zwana dalej „Kpa”.

2022-12-07 Metadane artykułu
Podmiot udostępniający: Departament Kontroli i Naruszeń
Wytworzył informację: Jan Nowak 2022-11-16
Wprowadził‚ informację: Anna Żuber 2022-12-07 11:13:00
Ostatnio modyfikował: Ewelina Janczylik-Foryś 2022-12-12 11:34:04