Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 12 pkt 2, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz z art. 57 ust. 1 lit. a) i f) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 1 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana P. J., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez N. S.A., Prezes Urzędu Ochrony Danych Osobowych:

odmawia uwzględnienia wniosku.

UZASADNIENIE

W dniu [...] lipca 2016 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie Urzędu Ochrony Danych Osobowych) wpłynęła skarga P. J., zwanego dalej również ,,Skarżącym”, na nieprawidłowości w procesie przetwarzanie jego danych osobowych przez N. S.A., zwaną dalej również ,,Spółką”.

Z treści złożonej skargi wynika, że związana jest ona z atakiem hakerskim na stronę [...], w wyniku którego dane osobowe Skarżącego w postaci nr telefonu zostały upublicznione w Internecie. W treści skargi Skarżący wskazał, że Spółka nie udzieliła mu informacji o tym (cyt.) ,,(…) jakie dane osobowe znajdowały się lub nadal znajdują się w zbiorze danych osobowych N. S.A. oraz (…) które z tych danych były lub nadal są przetwarzane przez N. S.A. lub podmioty współpracujące i kapitałowo powiązane”. Mając na uwadze dokonane naruszenie Skarżący wniósł o wszczęcie postępowania administracyjnego względem Spółki celem sprawdzenia sposobu zabezpieczenia jego danych osobowych oraz szczegółowego ustalenia w jaki sposób osoby nieuprawnione miały dostęp do danych gromadzonych przez Spółkę.

Na podstawie materiału dowodowego zgromadzonego w przedmiotowej sprawie ustalono następujący stan faktyczny.

1. W dniu [...] lipca 2016 r. Skarżący otrzymał wiadomość tekstową od Spółki, zawierającą informację o pozyskaniu przez nieuprawnione osoby trzecie jego numeru telefonu [...] ze zbiorów danych Spółki oraz o jego upublicznieniu w sieci Internet.

2. W związku z otrzymaną informacją Skarżący [...] lipca 2016 r. skierował do Spółki e-mail, w którym wniósł o m.in.: wskazanie jakie dane osobowe Skarżącego znajdowały lub nadal znajdują się w zbiorze danych osobowych Spółki i które z tych danych były lub nadal są przez nią przetwarzane, wskazanie sposobu zabezpieczenia przez Spółkę danych osobowych Skarżącego przed dostępem osób trzecich oraz wyjaśnienie w jaki sposób osoby trzecie znalazły się w ich posiadaniu. Skarżący zażądał kontaktu z Administratorem Bezpieczeństwa Informacji, zwanym dalej ,,ABI”, w sprawie naruszenia jego danych. Wobec faktu, że numer telefonu Skarżącego służy do dokonywania transakcji bankowych, ponieważ na numer ten przychodzą kody autoryzacyjne z banku, Skarżący wniósł o wskazanie możliwości sposobu zabezpieczenia poufności przesyłanych danych w postaci cyfrowej.

3. W odpowiedzi na powyższą wiadomość pracownik Centrum Obsługi Technicznej Spółki wysłał w dniu [...] lipca 2016 r. e-mail, w którym poinformował Skarżącego, że jego dane osobowe w zakresie numeru telefonu zostały naruszone w związku z atakiem hakerskim na stronę [...]. Naruszenie dotyczyło wyłącznie danych z formularza zgłoszeniowego, tj. numeru telefonu Skarżącego, zawartego na stronie [...] a nie z systemów Spółki. Spółka poinformowała, że wszystkie inne dane osobowe Skarżącego są bezpieczne. Wskazała, że w związku wysłaniem do osób stosownego komunikatu o naruszeniu danych osobowych, odpadła konieczność kontaktu z nimi ze strony ABI. Spółka poinformowała, że m.in. podejmuje działania zmierzające do usunięcia danych z sieci i współpracuje z organami ścigania. Odnośnie żądania co do wskazania możliwości sposobu zabezpieczenia poufności przesyłanych danych w postaci cyfrowej Spółka poinformowała, aby Skarżący skontaktował się z bankiem w celu ustalenia czy niebezpiecznym dla jego konta jest fakt posiadania przez osoby trzecie jego numeru telefonu bez żadnych innych danych.

5. W wiadomości elektronicznej z [...] lipca 2016 r. Skarżący wobec otrzymanej od Spółki informacji o braku konieczności kontaktu ze strony ABI, ponownie zażądał wyjaśnienia w jaki sposób jego dane osobowe zostały zabezpieczone w zbiorach Spółki. Wniósł również o wskazanie metody szyfrowania jego danych osobowych oraz o wskazanie sposobu zadośćuczynienia za zaistniałe naruszenie jego dóbr osobistych.

6. Jak wynika z pisma z [...] sierpnia 2016 r. (znak: [...]) załączonego do skargi Spółka poinformowała Skarżącego, że m.in. przetwarza jego dane osobowe w zakresie adresu e-mail i numeru telefonu w celu archiwizacji i prowadzenia postępowań przed GIODO, Prokuraturą (Spółka złożyła doniesienie o popełnieniu przestępstwa) oraz Prezesem Urzędu Komunikacji Elektronicznej. Zaznaczyła, że przetwarza dane od [...] listopada 2014 r. i pozyskała je bezpośrednio od Skarżącego w związku z wypełnieniem formularza ofertowego, a dane przetwarzane są zarówno w wersji papierowej jak i elektronicznej. Spółka przekazała Skarżącemu informację, że [...] lipca 2016 r. ok. g.: [...] w wyniku ataku hakerskiego zostały naruszone dane osobowe abonentów Spółki oraz jej potencjalnych klientów będących osobami fizycznymi. W wyniku ataku hakerzy uzyskali dostęp do danych użytkowników przekazywanych za pośrednictwem serwisu [...], w tym danych osobowych Skarżącego. Tak bezprawnie uzyskane dane zostały następnie opublikowane w sieci Internet. Jednocześnie Spółka poinformowała Skarżącego, że stosuje środki techniczne i organizacyjne zgodne z wymogami określonymi w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 124). Środki te zapewniają ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczają dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

7. W piśmie z [...] września 2020 r. Spółka poinformowała Prezesa Urzędu Ochrony Danych Osobowych, że dane osobowe Skarżącego zostały pozyskane na podstawie jego zgody, tj. w oparciu o przesłankę z art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – Dz. U. z 2016 r., poz. 922, zwanej dalej również ,,ustawą z 1997 r.”. Skarżący w celu skorzystania z usług Spółki udostępnił za pośrednictwem formularza kontaktowego dostępnego na stronie internetowej [...] swój numer telefonu. Spółka wskazała, że przetwarza dane osobowe Skarżącego w następującym zakresie: imię, nazwisko, adres, adres-email oraz numer telefonu. Dane przetwarzane są na podstawie art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 1 z późn. zm.), zwanego dalej również ,,RODO”, dla celów dowodowych oraz obrony praw administratora w związku z korespondencją prowadzoną ze Skarżącym, a także w związku z postępowaniem wyjaśniającym prowadzonym przed GIODO. Spółka wyjaśniła, że [...] lipca 2016 r. miał miejsce atak hakerski na stronę internetową [...] w wyniku którego cyberprzestępcy uzyskali dostęp do danych osób potencjalnych klientów i udostępnili je w Internecie. W związku z tym, że Skarżący za pośrednictwem formularza kontaktowego udostępnił swój numer telefonu – sprawcy weszli w posiadanie tego numeru. Spółka poinformowała, że zgłosiła naruszenie do GIODO [...] lipca 2016 r., a [...] lipca 2016 r. wysłała zgłoszenia uzupełniające. Spółka zabezpiecza dane osobowe Skarżącego przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych, w szczególności związanych z kontrolą i monitoringiem dostępu, zarządzaniem kopiami zapasowymi, zabezpieczeniami przed nieuprawnionym dostępem, a także środki organizacyjne, w szczególności związane z wdrożeniem odpowiednich polityki, procedur i instrukcji.

8. W związku z atakiem hakerskim na stronę [...], Generalny Inspektor Ochrony Danych Osobowych przeprowadził w Spółce kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (sygn. [...]. Kontrola ta wykazała, że wobec szeroko podjętych działań naprawczych mających na celu wyeliminowanie podobnych zdarzeń w przyszłości, Spółka nie narusza przepisów o ochronie danych osobowych. Na wskazane wyżej działania składały się m.in.:

1) przystąpienie do programu Ministerstwa Cyfryzacji w zakresie reagowania na incydenty cyberbezpieczeństwa o nazwie [...] zwane [...],

2) rozpoczęcie wdrożenia rozwiązania dostarczanego przez Agencję Bezpieczeństwa Wewnętrznego […] o nazwie [...] polegającego m.in. na monitorowaniu ruchu z adresacji N., w tym do strony o adresie [...] oraz podjęto współpracę z ABW,

3) zaktualizowanie dokumentów o nazwach: „Polityka bezpieczeństwa danych osobowych N. S.A.” oraz „Instrukcja zarządzania systemem informatycznym N. S.A.”,

4) powołanie Zespołu do Spraw Zgłaszania Incydentów [...], prowadzenie „Rejestr naruszeń” oraz uruchomienie dedykowanej skrzynki mailowej [...] gdzie spływają zgłoszenia incydentów,

5) zastosowanie rozwiązania [...] polegającego na skanowaniu dostępnych serwisów N. znajdujących się w sieci N.,

6) uruchomienie dedykowanej strony internetowej [...], gdzie umieszczona została treść komunikatu o naruszeniu danych oraz podano adres mailowy [...] pod którym można było zwracać się do  Spółki celem podania jakie dane zostały upublicznione,

7) opracowanie „Poradnika” zawierającego sugestie związane z minimalizacją skutków naruszenia danych osobowych, jakie miało miejsce wskutek ataku hakerskiego na serwis [...],

8) przemodelowanie systemu [...],

Ponadto w trakcie postępowania kontrolnego ustalono, że audyt przeprowadzony dla Spółki przez P. Sp. z o.o., w kwestii podatności serwisu [...] na atak hakerski wykazał, że błąd w strukturze kodu ww. serwisu, który doprowadził do wycieku danych, nie leżał po stronie Spółki.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Na wstępie wskazać należy, że z dniem 25 maja 2018 r., wraz z wejściem w życie ustawy  z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.), Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zwaną dalej również ,,ustawą z 1997 r.”, zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.), zwanego dalej również ,,Kpa”. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych, zwanym dalej również ,,GIODO”, przed 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).

Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „RODO”.

W czasie, gdy miało miejsce zdarzenie opisane przez Skarżącego, obowiązywała ustawa z 1997 r. Ww. ustawa określała zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy).

Zgodnie z treścią art. 36 ustawy z 1997 r. administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (ust. 1). Ponadto administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1 (ust. 2).

Z powyższego przepisu wynika, że jednym z podstawowych obowiązków spoczywających na administratorze jest obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym.

Podkreślenia wymaga fakt, że zgodnie z art. 18 ust. 1 pkt 1 ustawy z 1997 r., w przypadku naruszenia przepisów o ochronie danych osobowych GIODO, z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności 1) usunięcie uchybień; 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych; 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe; 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego; 5) zabezpieczenie danych lub przekazanie ich innym podmiotom; 6) usunięcie danych osobowych. Przy czym należy tu wskazać, że dokonywana przez GIODO (obecnie Prezesa UODO) ocena podstaw do zastosowania w konkretnym przypadku art. 18 ust. 1 ustawy z 1997 r. jest uzasadniona i potrzebna tylko o tyle, o ile Spółka nie usunęłaby uchybień w przetwarzaniu danych.

W związku z zarzutem Skarżącego dotyczącym braku realizacji obowiązku informacyjnego przez Spółkę, należy zaznaczyć, że Spółka obowiązek taki względem Skarżącego zrealizowała w piśmie z [...] sierpnia 2016 r. (znak: [...], a więc już po złożeniu przez niego skargi.

Odnosząc się natomiast do żądania Skarżącego dotyczącego informacji o sposobie zabezpieczenia przez Spółkę jego danych (w tym podanie zastosowanej metody ich szyfrowania), należy wskazać, że informacja taka jest informacją poufną, wchodzącą w skład dokumentacji wewnętrznej, a jej ujawnienie zagraża właściwej ochronie danych osobowych. Zapoznanie osób trzecich ze szczegółami rozwiązań w zakresie bezpieczeństwa danych i architekturą systemów zastosowanych do ich przetwarzania może ułatwić cyberprzestępcom ingerencję w te systemy (np. zatrzymania pracy lub niekontrolowaną modyfikację systemu, przejęcie, zniekształcenie lub usunięcie danych w nim zawartych) poprzez ominięcie zastosowanych zabezpieczeń lub ich „złamanie”. Informacje te udostępniane są jedynie ograniczonemu kręgowi osób w związku z powierzonymi im przez administratora danych zadaniami. Osoby te są zobowiązane do zachowania ich w tajemnicy.

Poczynione w toku niniejszego postępowania ustalenia wskazały, że opisane przez Skarżącego naruszenie polegające nieuprawnionym dostępie do jego danych osobowych w postaci nr telefonu, na skutek ataku hakerskiego na stronę [...], w istocie miało miejsce. Niemniej decydujące znaczenie dla rozstrzygnięcia w niniejszej sprawie ma fakt, że w ocenie Prezesa Urzędu Spółka podjęła właściwe środki zaradcze w celu wyeliminowania takich zdarzeń w przyszłości. Ocena ta znajduje uzasadnienie w przeprowadzonej w Spółce przez Generalnego Inspektora Ochrony Danych Osobowych kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, która wykazała, że Spółka nie narusza przepisów o ochronie danych osobowych w zakresie zabezpieczenia danych osobowych.

Z uwagi na powyższe, Prezes Urzędu Ochrony Danych Osobowych nie miał w niniejszej sprawie podstaw do zastosowania nakazu wynikającego z art. 18 ustawy z 1997 r.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200,00 zł. Strona ma prawo ubiegać się o prawo pomocy, w tym zwolnienie od kosztów sądowych.