W marcu 2020 r. ktoś pobrał bazę danych 140 tys. klientów spółki ID Finance Poland, która oferowała szybkie pożyczki internetowe przez stronę moneyman.pl.
Plik usunięto z serwera, pozostawiając natomiast żądanie zapłacenia określonej kwoty za jego przywrócenie. Firma zgłosiła wyciek prezesowi Urzędu Ochrony Danych Osobowych, a ten, po przeprowadzeniu postępowania, nałożył na nią karę ponad 1 mln zł za brak wystarczających środków technicznych i organizacyjnych, które zapobiegłyby nieuprawnionemu dostępowi do danych. Wojewódzki Sąd Administracyjny w Warszawie uchylił tę decyzję. Uznał bowiem, że winę za wyciek ponosiła białoruska firma, której powierzono przetwarzanie danych (procesor).
- Rozstrzygnięcie jest niezwykle istotne w kontekście podejścia UODO do pozycji administratora i podmiotu przetwarzającego. Dotychczas najczęściej przyjmowano, że cała odpowiedzialność jest po stronie administratora. Mam nadzieję, że ten wyrok zmieni to podejście. Wielu administratorów nie jest samowystarczalnych, nie zna się na bezpieczeństwie danych i właśnie dlatego zawiera umowy powierzenia danych podmiotom, które się w tym specjalizują. To jednak oznacza często, że bezpośredni wpływ administratorów na bezpieczeństwo jest mocno ograniczony. Dlatego też powinna być badana realna odpowiedzialność każdego z tych podmiotów za konkretne naruszenia - komentuje Michał Kluska, adwokat z kancelarii Domański Zakrzewski Palinka, który reprezentował ukaraną firmę.
Wyciek spowodował pracownik białoruskiej firmy informatycznej utrzymującej serwer z danymi ID Finance. Po jego zrestartowaniu pomylił skrypt i nie uruchomił zapory, która uniemożliwiała dostęp do bazy danych. Zagrożenie wykrył rosyjski specjalista od cyberbezpieczeństwa, który powiadomił polską spółkę. Ta przesłała wiadomość białoruskiej firmie przetwarzającej dane z zastrzeżeniem, że nie jest w stanie zweryfikować jej wiarygodności ani tego, czy nie jest to forma smart phisingu. Procesor nie zareagował. W efekcie dane pozostały niezabezpieczone i w końcu pobrane przez osobę nieuprawnioną.
Niepotrzebna zwłoka
Według UODO winę za wyciek ponosiła ID Finance, która po pierwszej informacji powinna podjąć zdecydowane działania.
„Zapewnienie odpowiedniego bezpieczeństwa danym powinno być przedmiotem szczególnej troski administratora, a każdy sygnał o ewentualnych nieprawidłowościach przedmiotem wnikliwej analizy. W ocenie prezesa UODO administrator, po otrzymaniu wiadomości (...) nie kierował się ww. zasadami. (…) Ze zgromadzonego materiału dowodowego nie wynika, by administrator podejmował inne działania zmierzające do szybkiego stwierdzenia naruszenia, oprócz skierowania krótkiego pytania do dyrektora” - napisano w uzasadnieniu decyzji.
Zaznaczono w niej, że gdyby nie zwłoka administratora oraz to, że nie potraktował on pierwszego sygnału o naruszeniu bezpieczeństwa z należytą uwagą, to do wycieku prawdopodobnie w ogóle by nie doszło.
Zdaniem Michała Kluski argumentacja ta całkowicie pomijała fakt, że to białoruska spółka specjalizowała się w hostingu i to jej pracownicy mieli wiedzę techniczną na temat niezbędnych zabezpieczeń. ID Finance jako firma finansowa nie znała się na tym i właśnie dlatego zawarła umowę powierzenia danych z profesjonalnym podmiotem. Dopełniła staranności przy jego wyborze, sprawdzając, że firma z Mińska obsługuje od lat wiele firm z różnych rejonów świata. Miała więc prawo oczekiwać, że zasygnalizowany problem zostanie rzetelnie sprawdzony. Skoro nie otrzymała żadnej wiadomości zwrotnej, to mogła zakładać, że wszystko jest w porządku.
Winny procesor
Sąd podzielił argumentację ID Finance. Jego zdaniem prezes UODO całkowicie pominął rolę białoruskiego procesora.
- Organ wypowiadając się w kwestii niezwłocznego podjęcia działań zmierzających do stwierdzenia naruszenia, wiązał ten obowiązek wyłącznie z administratorem. Tymczasem w treści art. 32 RODO nie ograniczono się wyłącznie do administratora, jest tam mowa także o podmiocie przetwarzającym - mówiła w ustnych motywach sędzia sprawozdawca Karolina Kisielewicz. - W procesie przetwarzania danych, podczas którego doszło do naruszenia, bezspornie uczestniczyły dwa podmioty. Ich obowiązki i prawa pozostały we wzajemnej zależności. Nie można tu pominąć roli podmiotu przetwarzającego, a organ cytując w swej decyzji art. 32 RODO wygumkował słowo „przetwarzający”, odnosząc ten przepis wyłącznie do administratora danych - dodała.
W orzeczeniu przywołano wspomniany już art. 32 RODO (patrz: grafika), ale zwrócono też uwagę na art. 28 ust. 3 pkt c. Przepis ten jednoznacznie wskazuje, że obowiązki związane ze stosowaniem odpowiednich technicznych i organizacyjnych środków bezpieczeństwa ciążą zarówno na administratorze, jak i na procesorze. Obrazu tego dopełnia art. 83 RODO, zgodnie z którym odpowiedzialności podlegają obydwa te podmioty.
- Organ wymierzając karę jednemu z podmiotów uczestniczących w procesie przetwarzania danych, nie może pomijać udziału drugiego z nich - podkreślił sąd. - Pierwotną przyczyną naruszenia był błąd pracownika podmiotu przetwarzającego, dlatego w ocenie sądu, to ten podmiot przede wszystkim powinien niezwłocznie stwierdzić naruszenie i powiadomić administratora. Czy był to błąd zlekceważony, czy niezauważony, całkowicie obciąża on podmiot przetwarzający. Tymczasem organ przerzucił tę odpowiedzialność na ID Finance - zaznaczył.
Nie wiadomo, czy UODO zdecyduje się na skargę kasacyjną.
- Ewentualne dalsze działania podejmiemy po zapoznaniu się z pisemnym uzasadnieniem wyroku sądu - poinformował nas rzecznik prasowy Adam Sanocki.
Co mówi RODO / Dziennik Gazeta Prawna - wydanie cyfrowe

orzecznictwo

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 5 października 2021 r., sygn. akt II SA/Wa 528/21 www.serwisy.gazetaprawna.pl/orzeczenia