Streszczenie decyzji PUODO z dnia 21.8.2020 r. o nałożeniu kary administracyjnej na SGGW

Dnia 8.9.2020 r. UODO opublikował informację nt. nałożenia administracyjnej kary pieniężnej w wysokości 50 tyś zł (w przypadku podmiotu publicznego górne zagrożenie wynosi 100 tyś zł, podmiot prywatny za podobne naruszenie powinien spodziewać się wyższej kary) na SGGW. Pełna treść decyzji również jest dostępna na stronie UODO pod linkiem https://www.uodo.gov.pl/decyzje/ZSO%C5%9AS.421.25.2019

Powodem wszczęcia postępowania administracyjnego, było zgłoszenie przez Uczelnię naruszenia bezpieczeństwa, polegającego na kradzieży prywatnego laptopa pracownika Uczelni, na którym przetwarzane były dane osobowe kandydatów, w celu przeprowadzenia czynności rekrutacyjnych. Uczelnia nie miała świadomości, że dane osobowe kandydatów są przetwarzane na prywatnym laptopie pracownika, ponieważ Polityka Bezpieczeństwa nie przewidywała takiej możliwości, na Uczelni nie obowiązywała koncepcja BYOD (Bring Your Own Device), a sam pracownik nie informował Uczelni o tym fakcie. Uczelnia zaś nie posiadała funkcjonalności systemu informatycznego, która automatycznie informowałaby o pobraniu danych na zewnętrzny nośnik. O przetwarzaniu poza upoważnieniem dowidziała się więc dopiero po kradzieży laptopa. Wtedy to zgłosiła incydent do UODO.

Uzasadnienie decyzji jest dość obszerne, zawarte jest na ponad 40 stronach i dostarcza wielu cennych wskazówek. Poniżej przedstawiam w punktach według mnie najważniejsze.

  1. Istotnym dokumentem składającym się na politykę ochrony danych jest plan utrzymania zgodności oraz prowadzenia audytów wewnętrznych, w tym m.in. zasady monitorowania i audytu procedur wewnętrznych.
  2. Kontrola przestrzegania przepisów o ochronie danych, którą administrator ma obowiązek przeprowadzać cyklicznie, powinna kończyć się opracowaniem raportu i rekomendacji. Raport z przeprowadzonego audytu stanowi podstawę wdrożenia procedur.
  3. Istnienie w systemie informatycznym, służącym do przetwarzania danych osobowych, funkcjonalności umożliwiającej eksport danych osobowych na nośnik zewnętrzny, co do występowania której administrator miał świadomość, przy braku dowodów na weryfikację tej operacji przetwarzania, świadczy o tym że ryzyko nie zostało oszacowane w sposób rzetelny i obiektywny.
  4. Brak umieszczenia daty czy podpisu na dokumencie stanowiącym analizę ryzyka naraża administratora na zarzut braku wykazania dokonywania oceny ryzyka cyklicznie albo w określonych terminach, stale lub okresowo, co w konsekwencji stanowi o naruszeniu obowiązków z art. 24 ust. 1 i art. 32 ust. 1 w związku z art. 5 ust. 2 rodo.
  5. Administrator odpowiada za nieprzestrzeganie procedur przez pracowników. Oceniając skuteczność zastosowanych środków powinien m.in. badać obieg danych osobowych w organizacji.Przetwarzając dane osobowe w systemie informatycznym, który umożliwia ich niekontrolowany eksport, powinien ustalić czy nie naraża się w ten sposób m.in. na naruszenie dwóch podstawowych zasad ochrony danych osobowych, tj. zasady ograniczonego przechowywania i zasady poufności, okoliczności te powinny stanowić przedmiot analizy ryzyka.
  6. Rozliczalność w systemach informatycznych jest realizowana w formie automatycznie generowanych zapisów (tzw. logów) zawierających określony zestaw informacji umożliwiający stwierdzenie kto, kiedy, jakie operacje, w odniesieniu do jakich danych wykonał w systemie. Szczegółowość zapisów logów jest kwestią indywidualną, uzależnioną od zaimplementowanych funkcjonalności oraz zadań użytkownika. Administrator powinien przenalizować, biorąc pod uwagę zakres, kontekst i cele przetwarzania, na jakim poziomie szczegółowości powinny być rejestrowane zdarzenia w celu zachowania zgodności przetwarzania danych w organizacji z przepisami o ochronie danych osobowych.
  7. Podjęcie działań naprawczych w trakcie i po kontroli UODO stanowi okoliczność łagodzącą wpływającą na wymiar kary, jednak nie obezwładnia zarzutu naruszenia przepisów.
  8. Błędy IOD obciążają administratora.
  9. IOD powinien ustalać priorytety swojej pracy, kierować się podejściem selektywnym i pragmatycznym, tj. koncentrować się na aspektach przetwarzania pociągających za sobą większe ryzyko.
  10. Administrator powinien być w stanie wykazać monitorowanie procesu szkolenia, w tym dysponować potwierdzeniem odbycia szkoleń.
  11. Administrator jako pracodawca powinien korzystać z instrumentów prawnych pozwalających na zmobilizowanie pracownika do uczestniczenia w szkoleniu, zwłaszcza, że stanowi ono jego obowiązek służbowy.
  12. Rodo oraz uodo nie statuują szczególnej odpowiedzialności inspektora ochrony danych. Inspektor w związku z wykonywaniem swoich zadań ponosi odpowiedzialność bezpośrednio przed podmiotem, który go wyznaczył, a zatem przed administratorem danych lub podmiotem przetwarzającym. Podstawa tej odpowiedzialności zależy od stosunku prawnego jaki łączy administratora z iod.
  13. PUODO umorzy postępowanie w zakresie w jakim nieuwzględnienie wymagań rodo, które przed wydaniem decyzji zostało naprawione, nie miało wpływu na wystąpienie naruszenia ochrony danych (na incydent) – w konsekwencji fakt taki nie stanowi podstawy wymiaru kary.
  14. Okoliczności wpływające obciążająco i mające wpływ na wymiar nałożonej kary finansowej:

Zakres danych osobowych naruszonych przez nieuwzględnienie wymogów prawa,

– Brak pełnej wiedzy o przepływach danych w organizacji i czas w jakim ten stan niezgodności z prawem miał miejsce tj. od początku stosowania rodo.

  1. Okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj.:

– zlecenie przez administratora kontroli wewnętrznej w celu ustalenia okoliczności naruszenia,

– skierowanie wniosku o wszczęcie postępowania wyjaśniającego przez rzecznika dyscyplinarnego ds. nauczycieli akademickich,

zorganizowanie spotkań z pracownikami w sprawie przedmiotowego naruszenia, a także spotkań z przedstawicielami Rady Uczelnianej Samorządu Studentów i studentami,

– opublikowanie na stronie internetowej SGGW komunikatu o naruszeniu ochrony danych osobowych zawierającego także informacje o możliwych sposobach ograniczenia negatywnych skutków naruszenia oraz możliwości monitorowania aktywności kredytowej w BIK oraz innych instytucjach,

– wysłanie za pośrednictwem poczty elektronicznej zawiadomień o naruszeniu ochrony danych osobowych do osób rekrutujących się na studia w roku akademickim 2019/2020, a także studentów Uczelni za pośrednictwem systemu informatycznego,

– skierowanie do Ministra Nauki i Szkolnictwa Wyższego pisma informującego o przedmiotowym naruszeniu i podjętych przez Uczelnię działaniach,

– skierowanie zawiadomienia do prokuratury o podejrzeniu popełnienia przestępstwa przez pracownika,

Spełnienie znamion czynu zabronionego z art. 107 uodo, tylko wyjątkowo może być oceniane jako przestępstwo. W tym zakresie polecam lekturę https://www.linkedin.com/pulse/stosowanie-regulacji-karnej-do-przetwarzania-zakresem-habrowski/?trackingId=6oC6wF2TmqsoFjMfmU%2FnXw%3D%3D

– skierowaniu do instytucji udzielających pożyczek i kredytów (w tym instytucji udzielających tzw. chwilówek) oraz operatorów telekomunikacyjnych i wszystkich banków znajdujących się na stronie KNF (drogą elektroniczną) informacji dotyczącej zdarzenia z prośbą o wyjątkową ostrożność przy przyjmowaniu wniosków,

– ograniczono dostęp do Systemu Obsługi Kandydatów dla Uczelnianej i Wydziałowych Komisji Rekrutacyjnych wyłącznie do terenu budynku – ograniczenie techniczne/systemowe do wydzielonej podsieci,

– wprowadzono indywidualny numer identyfikacyjny (DOID) jako identyfikator kandydata w SOK,

– umożliwiono członkom Komisji Rekrutacyjnych korzystanie z systemu SOK wyłącznie z komputerów przygotowanych do obsługi rekrutacji przez Centrum Informatyczne SGGW,

– ograniczono zawartości raportów, z których korzystają Komisje Rekrutacyjne wyłącznie do informacji niezbędnych do podjęcia decyzji kwalifikacyjnych (żaden z powyższych raportów nie zawiera numeru PESEL, numerów dokumentów tożsamości (paszport/karta Polaka), adresu, daty urodzenia, numeru indeksu, itp.),

– dokonano wydzielenia specjalnego zasobu w celu przekazywania w formie bezpiecznej informacji podlegającej przeniesieniu z Systemu Obsługi Kandydatów do Wirtualnego Dziekanatu SGGW bez konieczności przekazywania ich pocztą elektroniczną,

– korespondencja z wydziałowymi komisjami rekrutacyjnymi — o ile jest niezbędna — zawierająca dane osobowe osób przyjętych na studia odbywa się przy użyciu szyfrowanych plików,

ograniczono kopiowanie danych na dyski zewnętrzne dla pracowników administracji posiadających dostęp do najważniejszych systemów informatycznych, w których przetwarzane są dane osobowe, wprowadzono metody trwałego usuwania danych z nośników przy przekazywaniu komputerów pomiędzy jednostkami organizacyjnymi wykorzystując dedykowane oprogramowanie oraz zaktualizowano „Standard konfiguracji komputerowej stacji roboczej” wprowadzający obowiązek stosowania dodatkowych zabezpieczeń,

– rozpoczęto wdrażanie na komputerach (w szczególności przenośnych) rozwiązanie umożliwiające szyfrowanie dysków komputerów oraz nośników zewnętrznych oraz wdrażanie wspólnej domeny całej Uczelni i dodanie do niej wszystkich komputerów użytkowanych przez pracowników Uczelni co poprzez centralne i jednolite zarządzanie, znacząco podniesie bezpieczeństwo użytkowników i zasobów cyfrowych,

– przeprowadzono w ramach poszczególnych jednostek organizacyjnych SGGW analizę zgodności systemów przetwarzających dane osobowe z: Polityką Bezpieczeństwa, Instrukcją zarządzania systemem informatycznym oraz rozporządzeniem 2016/679 wraz z wnioskami i rekomendacjami służącymi poprawie bezpieczeństwa informatycznego,

– zabezpieczono środki finansowe w 2020 r. na realizację zaplanowanych działań zwiększających poziom bezpieczeństwa informatycznego,

– trwają prace nad aktualizacją środków organizacyjnych zmierzające do implementacji kompleksowej polityki ochrony danych osobowych wraz z procedurami,

– podjęto działania zmierzające do aktualizacji analizy ryzyka dla procesu rekrutacji kandydatów na studia,

– określono plan naprawczy ustalający priorytety w działaniach administratora w zakresie maksymalizacji skuteczności środków technicznych i organizacyjnych,

– zatrudniono osobę na stanowisku specjalisty ds. ochrony danych osobowych,

– zaplanowano przeprowadzenie szkoleń e-learningowych dla pracowników SGGW kończących się testem sprawdzającym i generowaniem raportów, potwierdzających odbycie szkolenia i uzyskany wynik,

– pełna współpraca ze strony administratora,

– brak dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej, niemniej już samo naruszenie poufności danych stanowi szkodę niemajątkową (krzywdę),

nie zostało stwierdzone, żeby Uczelnia uprzednio dopuściła się naruszenia przepisów rozporządzenia 2016/679, które miałoby istotne znaczenie dla niniejszego postępowania.

Jak widać uzasadnienie zawiera liczne wskazówki, które można wykorzystać w codziennej praktyce. Mają one charakter uniwersalny i każdy administrator powinien brać je pod uwagę, projektując własny system ochrony danych osobowych, co oczywiście nie oznacza, że należy je implementować bezrefleksyjnie w oderwaniu od sposobu funkcjonowania, wielkości danej organizacji i ryzyk jakie są konsekwencją jej działalności.