Nie zawsze winny wyłącznie administrator, czyli wnioski z wyroku sądu ws ID Finance

W marcu 2020 r. w spółce ID Finance Poland Sp. z o.o., której przedmiotem działalności jest udzielanie pożyczek finansowych z wykorzystaniem serwisu internetowego moneyman.pl, doszło do naruszenia, w wyniku którego wyciekły dane osobowe 140 699 klientów spółki. Wyciek obejmował takie dane jak: imię i nazwisko, poziom wykształcenia, adres e-mail, dane dotyczące zatrudnienia, adres e-mail osoby, której klient chce polecić pożyczkę, dane dotyczące zarobków, dane dotyczące stanu cywilnego, numer telefonu (stacjonarnego, komórkowego, wcześniej używanego numeru telefonu), numer PESEL, narodowość, numer NIP, hasło, miejsce urodzenia, adres korespondencyjny, adres zameldowania, numer telefonu do miejsca pracy oraz numer rachunku bankowego. W wyniku naruszenia na spółkę została nałożona kara w wysokości 1 069 850 zł.

Jak do tego doszło?

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Przyczyną naruszenia było błędne działanie serwera, związane z jego wcześniejszym restartem. Samo naruszenie spowodowane było jednak działaniem podmiotu przetwarzającego (dalej jako „procesor”). Procesor, mając informację, że serwer nie działa prawidłowo, zrestartował go, jednak po restarcie nie zweryfikował prawidłowości konfiguracji zabezpieczeń.

 Bezpośrednią przyczyną zdarzenia był jednorazowy błąd pracownika procesora, który polegał na pomyleniu nazwy stosowanego skryptu (literówka), co przy restarcie serwera skutkowało brakiem włączenia zapory firewall, chroniącej dane przed nieuprawnionym dostępem.

Lepiej czytać e-maile uważnie

Warto też zauważyć, że pierwsze informacje na temat zostały przekazane ID Finance przez zewnętrznych specjalistów, jednak początkowo nie wywołały one zainteresowania administratora (https://zaufanatrzeciastrona.pl/post/dane-i-hasla-ponad-260-tysiecy-klientow-wyciekly-z-polskiej-firmy-pozyczkowej/). Być może szybsza reakcja zapobiegłaby sytuacji, kiedy to baza danych została pobrana i usunięta przez nieustalony podmiot trzeci, który wystąpił do spółki z żądaniem zapłaty pieniędzy w zamian za jej zwrot. Pierwsza informacja o incydencie wpłynęła do ID Finance drogą mailową 3 marca 2020 r., zaś zgłoszenie naruszenia do organu nadzorczego nastąpiło dopiero 14 marca 2020 r.

O naruszeniu trzeba informować zainteresowanych skutecznie

Co ciekawe, w konsekwencji zgłoszenia naruszenia do PUODO organ ten wezwał spółkę m.in. do przedstawienia oceny skuteczności dotarcia zawiadomienia o naruszeniu do osób, których dane dotyczą, drogą e-mailową oraz wyjaśnienia, w jaki sposób spółka zapewniła tym osobom skuteczne przekazanie dodatkowych informacji o naruszeniu w ramach funkcjonowania infolinii oraz adresu e-mail, o których była mowa w zawiadomieniu skierowanym do tych osób. Oznacza to, że samo wysłanie informacji to dla Urzędu za mało.

Przyczyna naruszenia w kontekście wcześniejszego audytu procesora

W toku postępowania PUODO zwrócił się również do ID Finance o wyjaśnienie, czy audyt procesora przeprowadzony w związku z wejściem w życie RODO obejmował procedury związane z uruchamianiem nowych serwerów, ich konfigurowaniem, resetowaniem i ostateczną weryfikacją, a także czy spółka dostrzegła ryzyka związane ze stosowaniem procedur uruchamiania skryptów do konfiguracji zapory sieciowej. Zgodnie z twierdzeniem spółki, błędu ludzkiego, który spowodował naruszenie, nie sposób było przewidzieć i uniknąć pomimo uwzględnienia różnych czynników ryzyka.

Normalnym scenariuszem postępowania było automatyczne uruchamianie skryptu, co zapewniało stosowanie wszystkich zabezpieczeń, zaś incydent wystąpił w związku z manualnym restartem serwera, gdzie predefiniowane ustawienia nie zostały uruchomione. ID Finance wyjaśnił również, że procesor zrealizował zadania, o których była mowa w raporcie z audytu przeprowadzonego przez administratora.

Funkcja IOD - to się dobrze przekazuje

Stwierdzenie naruszenia a jego zgłoszenie – terminy

Co istotne, w toku postępowania administracyjnego, pomimo stwierdzonych przez Prezesa UODO nieprawidłowości, które miały wpływ na naruszenie ochrony danych i jego spóźnione stwierdzenie, Prezes UODO nie dopatrzył się naruszenia art. 33 ust. 1 RODO. Treść tego przepisu obliguje administratora do zawiadomienia organu nadzorczego o naruszeniu ochrony danych osobowych po spełnieniu dwóch kumulatywnych przesłanek – kiedy następuje stwierdzenie naruszenia, które skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. W ocenie PUODO, zgodnie z motywem 87 RODO, wykładni RODO należy dokonywać m.in. przez pryzmat zdolności administratora do sprawnego i szybkiego stwierdzania naruszenia ochrony danych osobowych za pomocą stosownych środków technicznych i organizacyjnych. Zatem z tego tytułu stwierdzono naruszenie obowiązków nałożonych na Spółkę. W konsekwencji, Prezes UODO umorzył postępowanie administracyjne w zakresie naruszenia art. 33 ust. 1 RODO.  

Mówiąc prościej – w ocenie PUODO nie doszło do sytuacji, w której spółka zbyt długo zwlekałaby ze zgłoszeniem naruszenia, licząc od momentu jego stwierdzania, lecz że czas do momentu stwierdzenia naruszenia był zbyt długi. Opóźnienie było w stwierdzeniu, nie w zgłoszeniu naruszenia.

Procesor zawinił, ale nie naruszył umowy

Warto też zwrócić uwagę, że w toku postępowania Prezes UODO nie dopatrzył się okoliczności, które pozwoliłyby stwierdzić, że procesor nie zapewniał wystarczających gwarancji dla bezpieczeństwa danych osobowych oraz nie udostępniał administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO bądź uniemożliwiał Spółce przeprowadzanie audytów, w tym inspekcji.

Jakie przepisy naruszyła ID Finance?

W ocenie organu nakładającego karę, spółka naruszyła:

  • art. 5 ust. 1 lit. f RODO – zasadę integralności i poufności danych,
  • art. 25 ust. 1 RODO – obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu skutecznej realizacji zasad ochrony danych oraz nadania przetwarzaniu niezbędnych zabezpieczeń; spółka nie była w stanie odpowiednio szybko zareagować na informację o stwierdzonych nieprawidłowościach, jak również nie weryfikowała cyklicznie procesora,
  • art. 32 ust. 1 lit. b RODO – obowiązek zapewnienia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • art. 32 ust. 1 lit. d RODO – obowiązek regularnego testowania, mierzenia i oceniania skuteczności zabezpieczeń,
  • art. 32 ust. 2 RODO – obowiązek uwzględnienia ryzyka wiążącego się z przetwarzaniem przy projektowaniu i ocenianiu stosowanych zabezpieczeń.

ID Finance zaskarżyło decyzję do sądu

ID Finance zaskarżyła wydaną decyzję do sądu administracyjnego, a ten ją uchylił. W skardze spółka zarzuciła PUODO m.in. błędną wykładnię art. 32 RODO (obowiązek zapewnienia odpowiedniego stopnia bezpieczeństwa) i w konsekwencji błędne przyjęcie, że jest on adresowany wyłącznie do administratora. Zdaniem spółki, taka wykładnia art. 32 RODO stała w sprzeczności z art. 83 ust. 4 lit. a RODO, który przewiduje odpowiedzialność za naruszenie art. 32 RODO zarówno po stronie administratora, jak i procesora. Mówiąc krótko, PUODO pominął udział procesora w omyłkowym udostępnieniu danych osobowych. ID Finance wskazała również, że jako podmiot z branży finansowej, niemający odpowiedniej wiedzy informatycznej, nie była w stanie samodzielnie zabezpieczyć od strony technicznej posiadanych danych, dlatego skorzystała z pomocy profesjonalnego podwykonawcy, zawierając z nim wcześniej odpowiednią umowę powierzenia.

Bezpłatna wiedza o RODO.
Korzystaj do woli!

Webinary, artykuły, poradniki, szkolenia, migawki i pomoc. Witaj w bazie wiedzy ODO 24.
WCHODZĘ W TO
Co więcej, ID Finance przeprowadziła u procesora, u którego faktycznie doszło do naruszenia, audyty bezpieczeństwa (co nie jest wszak częstą na rynku praktyką – przyp. aut.), z których żaden nie wykazał nieprawidłowości w działaniu procesora, a czego zdaniem spółki Prezes UODO nie wziął pod uwagę przy nakładaniu kary.

ID Finance zwróciła również w skardze uwagę, że PUODO błędnie ocenił, iż przetwarzanie haseł klientów do konta w postaci jawnej przyczyniło się do omyłkowego ujawnienia ich danych. Według spółki, omyłkowe ujawnienie nastąpiło wskutek uruchomienia, przez pracownika procesora, serwera z nieprawidłową konfiguracją (bez zapory firewall) i że doszłoby do ujawnienia danych również wtedy, gdyby hasła były zaszyfrowane.

Spółka zarzuciła również organowi nadzorczemu, że sama możliwość poniesienia szkody przez osobę, której dane zostały objęte naruszeniem, nie powinna stanowić okoliczności obciążającej dla spółki, a dopiero realnie poniesiona szkoda. Oprócz zarzutów merytorycznych, pojawiły się również inne, dotyczące okoliczności wziętych lub przeciwnie – nie wziętych pod uwagę przy ustalaniu wysokości kary.

Odpowiedź UODO na skargę

Warto też zwrócić uwagę na kontrargumenty PUODO. Organ niejako zarzucił spółce próbę zrzucenia odpowiedzialności na procesora. Wskazał też, że przeprowadzone u procesora audyty nie miały związku z faktem, że upłynęło dużo czasu pomiędzy uzyskaniem przez spółkę informacji o naruszeniu a jego zgłoszeniem do organu. Organ wskazał też, że w świetle art. 32 ust. 1 RODO odpowiedzialność administratora za zapewnienie bezpieczeństwa nie zostaje wyłączona dzięki zawarciu umowy powierzenia. Odnośnie terminu zgłoszenia naruszenia organ powołał się również na stanowisko doktryny, zgodnie z którym „poprzez stwierdzenie naruszenia należy rozumieć uzyskanie przez administratora wiedzy o okolicznościach faktycznych, które mogłyby zostać zakwalifikowane jako spełniające przesłanki określone w przepisie art. 4 pkt 12. Nie jest natomiast decydujący moment, kiedy  administrator dokonał takiej subsumpcji. Należy przy tym pamiętać, że zgodnie z motywem 87 administrator powinien wprowadzić takie środki technicznej ochrony, by być w stanie od razu stwierdzać naruszenia ochrony danych osobowych.” (Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz.)

Podsumowując, czas uruchamiania wdrożonych procedur/wyjaśniania naruszenia świadczył o rażącym niedbalstwie administratora, które doprowadziło do incydentu w postaci pobrania danych z serwera w dniu 9 marca 2020 r.

Wyrok WSA w Warszawie

Sąd uznał skargę za zasadną, wskazując, że RODO rozkłada obowiązki pomiędzy administratora i procesora, przy czym niektóre przepisy są adresowane do administratora (art. 5 ust. 2 RODO), a inne jednocześnie do administratora i procesora (art. 32 ust. 1 i 2). Co ważne, brak zamieszczenia obowiązków procesora wymienionych w art. 28 RODO w samej umowie powierzenia nie zmienia ich charakteru – nadal są to obowiązki o charakterze publicznoprawnym. W ocenie sądu, nałożenie zarówno na ADO, jak i procesora, obowiązku zapewnienia bezpieczeństwa danych (art. 32 ust. 1 RODO) nie implikuje konieczności podejmowania przez te podmioty działań tego samego rodzaju. Na ADO i procesorze ciążą obowiązki w zakresie ich indywidualnego uczestnictwa w procesie przetwarzania danych. W przypadku powierzenia egzekwowanie odpowiedzialności za naruszenia nie może nie brać pod uwagę obowiązków obu podmiotów uczestniczących w przetwarzaniu i nie uwzględniać ich indywidualnego przyczynienia się do powstania naruszenia.

Co ciekawe, sąd stwierdził, że przepisy RODO nie formułują wprost prawnego obowiązku podjęcia działań zmierzających do niezwłocznego stwierdzenia naruszenia. W ocenie sądu, PUODO wywiódł dla ADO obowiązek niezwłocznego stwierdzenia naruszenia z art. 32 ust. 1 i 2 RODO, gdy tymczasem przepisy te odnoszą się również do procesora. Sąd zwrócił uwagę na art. 28 ust. 3 lit. f RODO, który obliguje procesora do udzielania ADO pomocy w jego poczynaniach mających na celu stwierdzenie naruszenia. Sąd stwierdził, że postawienie zarzutu niedopełnienia obowiązku niezwłocznego stwierdzenia naruszenia tylko jednemu z podmiotów (ADO/procesor) byłoby uzasadnione, gdyby powstanie naruszenia nie miało związku z działaniem/zaniechaniem drugiego z nich.

Ostateczne sąd uznał, że nie można postawić zarzutów niedopełnienia obowiązków wyłącznie ID Finance, a naruszenie nie miało bezpośredniego związku z działaniem lub zaniechaniem ADO i nie miał on bezpośredniego wpływu na powstanie naruszenia, jak również nie był wyłącznie odpowiedzialny za zwłokę w stwierdzeniu naruszenia.

Podsumowanie

Rozstrzygnięcie sądu może nieco zaskakiwać. Chronologia wydarzeń wyglądała bowiem tak, że pierwszą informację o możliwym naruszeniu ID Finance otrzymała 3 marca, 9 marca dane zostały przez nieuprawnioną osobę pobrane, zaś do zgłoszenia naruszenia doszło 13 marca. Nie ulega wątpliwości, że gdyby sprawę udało się wyjaśnić i podjąć kroki zaradcze w okresie od 3 marca do 8 marca, to dane nie mogłyby zostać pobrane 9 marca. Choć Sąd w swym rozstrzygnięciu wskazał, że wszystko, co mogła zrobić spółka ID Finance to naciskać na procesora w celu uzyskania wyjaśnień, jednak można się zastanawiać, czy właśnie nie o to w RODO chodzi – żeby tak uregulować stosunki z procesorem, aby maksymalnie szybko uzyskać od niego wyjaśnienia. W każdym razie, wyrok jest ważnym głosem w dyskusji nad realnym rozkładem odpowiedzialności pomiędzy ADO i procesorem, co w ocenie autora potwierdza też, że umowa powierzenia przetwarzania nie jest wyłącznie formalnością.  

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Czy brak w umowie powierzenia wymaganych przez art. 28 RODO elementów sprawia, że nie obowiązują one procesora?

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia

Outsourcing funkcji Inspektora Ochrony Danych (IOD)

Outsourcing, czyli przekazanie funkcji IOD to sprawdzony sposób na optymalizację procesów i kosztów.

Zobacz więcej
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".

Czy umowy powierzenia zawieramy raz w roku czy musimy auaktualniać?

Lorem Ipsum is simply dummy text of the printing and typesetting industry. Lorem Ipsum has been the industry's standard dummy text ever since the 1500s, when an unknown printer took a galley of type and scrambled it to make a type specimen book. It has survived not only five centuries, but also the leap into electronic typesetting, remaining essentially unchanged.

Lorem Ipsum is simply dummy text of the printing and typesetting industry. Lorem Ipsum has been the industry's standard dummy text ever since the 1500s, when an unknown printer took a galley of type and scrambled it to make a type specimen book. It has survived not only five centuries, but also the leap into electronic typesetting, remaining essentially unchanged.

R.pr. Katarzyna Szczypińska