Spis treści
Jak do tego doszło?
Przyczyną naruszenia było błędne działanie serwera, związane z jego wcześniejszym restartem. Samo naruszenie spowodowane było jednak działaniem podmiotu przetwarzającego (dalej jako „procesor”). Procesor, mając informację, że serwer nie działa prawidłowo, zrestartował go, jednak po restarcie nie zweryfikował prawidłowości konfiguracji zabezpieczeń.
Bezpośrednią przyczyną zdarzenia był jednorazowy błąd pracownika procesora, który polegał na pomyleniu nazwy stosowanego skryptu (literówka), co przy restarcie serwera skutkowało brakiem włączenia zapory firewall, chroniącej dane przed nieuprawnionym dostępem.
Lepiej czytać e-maile uważnie
Warto też zauważyć, że pierwsze informacje na temat zostały przekazane ID Finance przez zewnętrznych specjalistów, jednak początkowo nie wywołały one zainteresowania administratora (https://zaufanatrzeciastrona.pl/post/dane-i-hasla-ponad-260-tysiecy-klientow-wyciekly-z-polskiej-firmy-pozyczkowej/). Być może szybsza reakcja zapobiegłaby sytuacji, kiedy to baza danych została pobrana i usunięta przez nieustalony podmiot trzeci, który wystąpił do spółki z żądaniem zapłaty pieniędzy w zamian za jej zwrot. Pierwsza informacja o incydencie wpłynęła do ID Finance drogą mailową 3 marca 2020 r., zaś zgłoszenie naruszenia do organu nadzorczego nastąpiło dopiero 14 marca 2020 r.
O naruszeniu trzeba informować zainteresowanych skutecznie
Co ciekawe, w konsekwencji zgłoszenia naruszenia do PUODO organ ten wezwał spółkę m.in. do przedstawienia oceny skuteczności dotarcia zawiadomienia o naruszeniu do osób, których dane dotyczą, drogą e-mailową oraz wyjaśnienia, w jaki sposób spółka zapewniła tym osobom skuteczne przekazanie dodatkowych informacji o naruszeniu w ramach funkcjonowania infolinii oraz adresu e-mail, o których była mowa w zawiadomieniu skierowanym do tych osób. Oznacza to, że samo wysłanie informacji to dla Urzędu za mało.
Przyczyna naruszenia w kontekście wcześniejszego audytu procesora
W toku postępowania PUODO zwrócił się również do ID Finance o wyjaśnienie, czy audyt procesora przeprowadzony w związku z wejściem w życie RODO obejmował procedury związane z uruchamianiem nowych serwerów, ich konfigurowaniem, resetowaniem i ostateczną weryfikacją, a także czy spółka dostrzegła ryzyka związane ze stosowaniem procedur uruchamiania skryptów do konfiguracji zapory sieciowej. Zgodnie z twierdzeniem spółki, błędu ludzkiego, który spowodował naruszenie, nie sposób było przewidzieć i uniknąć pomimo uwzględnienia różnych czynników ryzyka.
Normalnym scenariuszem postępowania było automatyczne uruchamianie skryptu, co zapewniało stosowanie wszystkich zabezpieczeń, zaś incydent wystąpił w związku z manualnym restartem serwera, gdzie predefiniowane ustawienia nie zostały uruchomione. ID Finance wyjaśnił również, że procesor zrealizował zadania, o których była mowa w raporcie z audytu przeprowadzonego przez administratora.
Stwierdzenie naruszenia a jego zgłoszenie – terminy
Co istotne, w toku postępowania administracyjnego, pomimo stwierdzonych przez Prezesa UODO nieprawidłowości, które miały wpływ na naruszenie ochrony danych i jego spóźnione stwierdzenie, Prezes UODO nie dopatrzył się naruszenia art. 33 ust. 1 RODO. Treść tego przepisu obliguje administratora do zawiadomienia organu nadzorczego o naruszeniu ochrony danych osobowych po spełnieniu dwóch kumulatywnych przesłanek – kiedy następuje stwierdzenie naruszenia, które skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. W ocenie PUODO, zgodnie z motywem 87 RODO, wykładni RODO należy dokonywać m.in. przez pryzmat zdolności administratora do sprawnego i szybkiego stwierdzania naruszenia ochrony danych osobowych za pomocą stosownych środków technicznych i organizacyjnych. Zatem z tego tytułu stwierdzono naruszenie obowiązków nałożonych na Spółkę. W konsekwencji, Prezes UODO umorzył postępowanie administracyjne w zakresie naruszenia art. 33 ust. 1 RODO.
Mówiąc prościej – w ocenie PUODO nie doszło do sytuacji, w której spółka zbyt długo zwlekałaby ze zgłoszeniem naruszenia, licząc od momentu jego stwierdzania, lecz że czas do momentu stwierdzenia naruszenia był zbyt długi. Opóźnienie było w stwierdzeniu, nie w zgłoszeniu naruszenia.
Procesor zawinił, ale nie naruszył umowy
Warto też zwrócić uwagę, że w toku postępowania Prezes UODO nie dopatrzył się okoliczności, które pozwoliłyby stwierdzić, że procesor nie zapewniał wystarczających gwarancji dla bezpieczeństwa danych osobowych oraz nie udostępniał administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO bądź uniemożliwiał Spółce przeprowadzanie audytów, w tym inspekcji.
Jakie przepisy naruszyła ID Finance?
W ocenie organu nakładającego karę, spółka naruszyła:
- art. 5 ust. 1 lit. f RODO – zasadę integralności i poufności danych,
- art. 25 ust. 1 RODO – obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu skutecznej realizacji zasad ochrony danych oraz nadania przetwarzaniu niezbędnych zabezpieczeń; spółka nie była w stanie odpowiednio szybko zareagować na informację o stwierdzonych nieprawidłowościach, jak również nie weryfikowała cyklicznie procesora,
- art. 32 ust. 1 lit. b RODO – obowiązek zapewnienia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- art. 32 ust. 1 lit. d RODO – obowiązek regularnego testowania, mierzenia i oceniania skuteczności zabezpieczeń,
- art. 32 ust. 2 RODO – obowiązek uwzględnienia ryzyka wiążącego się z przetwarzaniem przy projektowaniu i ocenianiu stosowanych zabezpieczeń.
ID Finance zaskarżyło decyzję do sądu
ID Finance zaskarżyła wydaną decyzję do sądu administracyjnego, a ten ją uchylił. W skardze spółka zarzuciła PUODO m.in. błędną wykładnię art. 32 RODO (obowiązek zapewnienia odpowiedniego stopnia bezpieczeństwa) i w konsekwencji błędne przyjęcie, że jest on adresowany wyłącznie do administratora. Zdaniem spółki, taka wykładnia art. 32 RODO stała w sprzeczności z art. 83 ust. 4 lit. a RODO, który przewiduje odpowiedzialność za naruszenie art. 32 RODO zarówno po stronie administratora, jak i procesora. Mówiąc krótko, PUODO pominął udział procesora w omyłkowym udostępnieniu danych osobowych. ID Finance wskazała również, że jako podmiot z branży finansowej, niemający odpowiedniej wiedzy informatycznej, nie była w stanie samodzielnie zabezpieczyć od strony technicznej posiadanych danych, dlatego skorzystała z pomocy profesjonalnego podwykonawcy, zawierając z nim wcześniej odpowiednią umowę powierzenia.
Bezpłatna wiedza o RODO.
Korzystaj do woli!
ID Finance zwróciła również w skardze uwagę, że PUODO błędnie ocenił, iż przetwarzanie haseł klientów do konta w postaci jawnej przyczyniło się do omyłkowego ujawnienia ich danych. Według spółki, omyłkowe ujawnienie nastąpiło wskutek uruchomienia, przez pracownika procesora, serwera z nieprawidłową konfiguracją (bez zapory firewall) i że doszłoby do ujawnienia danych również wtedy, gdyby hasła były zaszyfrowane.
Spółka zarzuciła również organowi nadzorczemu, że sama możliwość poniesienia szkody przez osobę, której dane zostały objęte naruszeniem, nie powinna stanowić okoliczności obciążającej dla spółki, a dopiero realnie poniesiona szkoda. Oprócz zarzutów merytorycznych, pojawiły się również inne, dotyczące okoliczności wziętych lub przeciwnie – nie wziętych pod uwagę przy ustalaniu wysokości kary.
Odpowiedź UODO na skargę
Warto też zwrócić uwagę na kontrargumenty PUODO. Organ niejako zarzucił spółce próbę zrzucenia odpowiedzialności na procesora. Wskazał też, że przeprowadzone u procesora audyty nie miały związku z faktem, że upłynęło dużo czasu pomiędzy uzyskaniem przez spółkę informacji o naruszeniu a jego zgłoszeniem do organu. Organ wskazał też, że w świetle art. 32 ust. 1 RODO odpowiedzialność administratora za zapewnienie bezpieczeństwa nie zostaje wyłączona dzięki zawarciu umowy powierzenia. Odnośnie terminu zgłoszenia naruszenia organ powołał się również na stanowisko doktryny, zgodnie z którym „poprzez stwierdzenie naruszenia należy rozumieć uzyskanie przez administratora wiedzy o okolicznościach faktycznych, które mogłyby zostać zakwalifikowane jako spełniające przesłanki określone w przepisie art. 4 pkt 12. Nie jest natomiast decydujący moment, kiedy administrator dokonał takiej subsumpcji. Należy przy tym pamiętać, że zgodnie z motywem 87 administrator powinien wprowadzić takie środki technicznej ochrony, by być w stanie od razu stwierdzać naruszenia ochrony danych osobowych.” (Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz.)
Podsumowując, czas uruchamiania wdrożonych procedur/wyjaśniania naruszenia świadczył o rażącym niedbalstwie administratora, które doprowadziło do incydentu w postaci pobrania danych z serwera w dniu 9 marca 2020 r.
Wyrok WSA w Warszawie
Sąd uznał skargę za zasadną, wskazując, że RODO rozkłada obowiązki pomiędzy administratora i procesora, przy czym niektóre przepisy są adresowane do administratora (art. 5 ust. 2 RODO), a inne jednocześnie do administratora i procesora (art. 32 ust. 1 i 2). Co ważne, brak zamieszczenia obowiązków procesora wymienionych w art. 28 RODO w samej umowie powierzenia nie zmienia ich charakteru – nadal są to obowiązki o charakterze publicznoprawnym. W ocenie sądu, nałożenie zarówno na ADO, jak i procesora, obowiązku zapewnienia bezpieczeństwa danych (art. 32 ust. 1 RODO) nie implikuje konieczności podejmowania przez te podmioty działań tego samego rodzaju. Na ADO i procesorze ciążą obowiązki w zakresie ich indywidualnego uczestnictwa w procesie przetwarzania danych. W przypadku powierzenia egzekwowanie odpowiedzialności za naruszenia nie może nie brać pod uwagę obowiązków obu podmiotów uczestniczących w przetwarzaniu i nie uwzględniać ich indywidualnego przyczynienia się do powstania naruszenia.
Co ciekawe, sąd stwierdził, że przepisy RODO nie formułują wprost prawnego obowiązku podjęcia działań zmierzających do niezwłocznego stwierdzenia naruszenia. W ocenie sądu, PUODO wywiódł dla ADO obowiązek niezwłocznego stwierdzenia naruszenia z art. 32 ust. 1 i 2 RODO, gdy tymczasem przepisy te odnoszą się również do procesora. Sąd zwrócił uwagę na art. 28 ust. 3 lit. f RODO, który obliguje procesora do udzielania ADO pomocy w jego poczynaniach mających na celu stwierdzenie naruszenia. Sąd stwierdził, że postawienie zarzutu niedopełnienia obowiązku niezwłocznego stwierdzenia naruszenia tylko jednemu z podmiotów (ADO/procesor) byłoby uzasadnione, gdyby powstanie naruszenia nie miało związku z działaniem/zaniechaniem drugiego z nich.
Ostateczne sąd uznał, że nie można postawić zarzutów niedopełnienia obowiązków wyłącznie ID Finance, a naruszenie nie miało bezpośredniego związku z działaniem lub zaniechaniem ADO i nie miał on bezpośredniego wpływu na powstanie naruszenia, jak również nie był wyłącznie odpowiedzialny za zwłokę w stwierdzeniu naruszenia.
Podsumowanie
Rozstrzygnięcie sądu może nieco zaskakiwać. Chronologia wydarzeń wyglądała bowiem tak, że pierwszą informację o możliwym naruszeniu ID Finance otrzymała 3 marca, 9 marca dane zostały przez nieuprawnioną osobę pobrane, zaś do zgłoszenia naruszenia doszło 13 marca. Nie ulega wątpliwości, że gdyby sprawę udało się wyjaśnić i podjąć kroki zaradcze w okresie od 3 marca do 8 marca, to dane nie mogłyby zostać pobrane 9 marca. Choć Sąd w swym rozstrzygnięciu wskazał, że wszystko, co mogła zrobić spółka ID Finance to naciskać na procesora w celu uzyskania wyjaśnień, jednak można się zastanawiać, czy właśnie nie o to w RODO chodzi – żeby tak uregulować stosunki z procesorem, aby maksymalnie szybko uzyskać od niego wyjaśnienia. W każdym razie, wyrok jest ważnym głosem w dyskusji nad realnym rozkładem odpowiedzialności pomiędzy ADO i procesorem, co w ocenie autora potwierdza też, że umowa powierzenia przetwarzania nie jest wyłącznie formalnością.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Czy brak w umowie powierzenia wymaganych przez art. 28 RODO elementów sprawia, że nie obowiązują one procesora?