Decyzja

Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256) oraz art. 7 ust. 1 i 2 oraz art. 60 ustawy z dnia  10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na Dom Dziecka […] w S., administracyjnej kary pieniężnej za naruszenie przepisu art. 58 ust. 1 lit. a) i e) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) (zwanego dalej „Rozporządzeniem 2016/679”), polegające na nieudzieleniu informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań, Prezes Urzędu Ochrony Danych Osobowych,

umarza postępowanie

UZASADNIENIE

Do Urzędu Ochrony Danych Osobowych […] stycznia 2019 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych, złożone przez Dyrektora Domu Dziecka […] w S. (zwanego dalej także: „Administratorem”). Naruszenie, mające miejsce […] stycznia 2019 r. o godz. [...], polegało na uzyskaniu przez osobę nieupoważnioną nieuprawnionego dostępu do poczty elektronicznej Administratora o adresie: […], na której przechowywano niezaszyfrowane informacje oraz dokumenty zawierające dane osobowe podopiecznych oraz pracowników placówki, jak również podmiotów z nią współpracujących. Naruszenie nastąpiło na skutek złamania zabezpieczeń przez niezidentyfikowaną osobę, logującą się do poczty elektronicznej Administratora z nieznanego adresu IP komputera. Jak bezspornie ustalono, nieuprawniony użytkownik odczytał treść jednej wiadomości e-mail, której zawartość nie skutkowała – zdaniem Administratora – wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W związku z powyższym osoby, których dane osobowe mogły zostać ujawnione nie zostały powiadomione  o naruszeniu. Niemniej, w chwili dokonania zgłoszenia, Administratornie nie był w stanie jednoznacznie ocenić czy osoba, która uzyskała dostęp do jego poczty elektronicznej przeglądała dokumenty bądź informacje zawierające dane osobowe, stanowiące treść pozostałych wiadomości e-mail przechowywanych na skrzynce lub ich załączników. Administrator wskazał, że naruszenie dotyczyło łącznie 104 osób, a zakres danych osobowych dotkniętych naruszeniem obejmował: imiona oraz nazwiska, imiona rodziców, daty urodzenia, adresy zamieszkania, adresy e-mail, imiona i nazwiska opiekunów prawnych oraz dane szczególnych kategorii,  tj. dane dotyczące zdrowia oraz treść postanowień sądowych w sprawach nieletnich. Zaistniały incydent nosił znamiona czynu zabronionego, w związku z czym Administrator […] stycznia 2019 r. zawiadomił o zdarzeniu właściwe organy ścigania. W ramach działań zmierzających  do usunięcia naruszenia, Administator zmienił hasło dostępu do poczty elektronicznej oraz zadeklarował zamiar skorzystania ze wsparcia informatycznego w celu wykrycia złośliwego oprogramowania oraz ustalenia ewentualnych, dodatkowych zabezpieczeń. Nadto, Administrator zasygnaliwował wprowadzenie szyfrowania dokumentów przesyłanych drogą elektroniczną, przeprowadzenie dodatkowego szkolenia z zakresu ochrony danych osobowych dla pracowników Domu Dziecka oraz przeprowadzenie analizy zagrożeń i ryzyka.

W związku z koniecznością uzupełnienia zgłoszenia i pozyskania informacji dodatkowych, niezbędnych organowi ochrony danych do oceny opisywanego naruszenia, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także: „Prezesem UODO”), w ramach wszczętego postępowania administracyjnego o sygn. […], pismem z […] grudnia 2019 r. wezwał Administratora do udzielenia – w terminie 7 dni – następujących wyjaśnień:

1. w jakim terminie przeprowadzone zostało szkolenie z zakresu ochrony danych osobowych skierowane do pracowników zatrudnionych w placówce Administratora;
2. czy wprowadzone zostały dodatkowe zabezpieczenia systemów informatycznych;
3. czy przeprowadzona została analiza ryzyka oraz;
4. czy zostało zakończone postępowanie przygotowawcze prowadzone przez Komisariat Policji w S., a jeśli tak to z jakim skutkiem, w szczególności czy ustalono  do jakiej korespondencji uzyskała dostęp osoba, która zalogowała się na pocztę służbową Administratora.

Jednocześnie, Administrator pouczony został o tym, że brak złożenia wyjaśnień w wyżej wymienionym zakresie może skutkować nałożeniem administracyjnej kary pieniężnej zgodnie  z art. 83 ust. 5 lit. e) Rozporządzenia 2016/679. Wzmiankowane pismo, przesłane  za pośrednictwem elektronicznej Platformy Usług Administracji Publicznej (ePUAP) na adres indywidualnej skrzynki podawczej Administratora, tj. […], zostało prawidłowo doręczone Administratorowi […] grudnia 2019 r. o godz. 11:32, co potwierdza wygenerowane automatycznie przez system urzędowe poświadczenie przedłożenia (UPP) przedmiotowej korespondencji. Pomimo prawidłowości doręczenia wezwania, Administrator nie udzielił na nie żadnej odpowiedzi, wobec czego Prezes UODO ponownie pismem z […] stycznia 2020 r., zwrócił się do niego o złożenie stosownych wyjaśnień, tym jednak razem zakreślając 3-dniowy termin na ustosunkowanie się do tak sformułowanego żądania. Przedmiotowe pismo, doręczone Administratorowi za pośrednictwem platformy ePUAP w dniu nadania o godz. [...], również pozostało bez odpowiedzi.   

W związku z powyższym, Prezes UODO wszczął z urzędu niniejsze postępowanie  o sygn. DKE.561.4.2020.[…] w przedmiocie nałożenia na Dom Dziecka […] w S. administracyjnej kary pieniężnej za naruszenie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, polegające na nieudzieleniu informacji niezbędnych Prezesowi Urzędu Ochrony Danych do realizacji jego zadań, tj. do merytorycznego rozstrzygnięcia sprawy o sygn. […]. O wszczęciu postępowania Administrator poinformowany został pismem z […] maja 2020 r., doręczonym mu za pośrednictwem platformy ePUAP. Jednocześnie […] czerwca 2020 r. (po uprzednim telefonicznym uzgodnieniu z pracownikiem Administratora, Panią B. R.) informacja o wszczęciu postępowania przekazana została Administratorowi za pośrednictwem poczty elektronicznej na wskazany przez niego adres e-mail: […].

W reakcji na pismo informujące o wszczęciu postępowania administracyjnego o sygn. DKE.561.4.2020.[…] Administrator pismem z […] czerwca 2020 r., przesłanym za pośrednictwem polskiego operatora pocztowego, wniósł o odstąpienie od nałożenia kary. Jednocześnie, wyżej wymieniony złożył obszerne wyjaśnienia do sprawy o sygn. […] oraz wskazał przyczyny uprzedniego braku współpracy z organem nadzorczym, podnosząc w szczególności, że:

1. Administrator nie ustosunkował się w zakreślonym przez Prezesa UODO terminie  do pism kierowanych do niego w sprawie o sygn. […], albowiem nie posiadał wiedzy o przedmiotowej korespondencji. Pierwszą informację o przesłanych za pośrednictwem e-PUAP wezwaniach do złożenia wyjaśnień z […] grudnia 2019 r. oraz […] stycznia 2020 r. Administrator pozyskał dopiero w toku wszczętego z urzędu postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej.
2. Niezwłocznie po powzięciu powyższej wiadomości, chcąc wyjaśnić powody braku możliwości odbioru korespondencji kierowanej na adres elektronicznej skrytki podawczej, Administrator zwrócił się o wsparcie techniczne działu informatycznego organu nadrzędnego. Po przeprowadzeniu stosownych czynności sprawdzających ustalono, iż na indywidualnym koncie Administratora w e-PUAP ustawiona była tzw. skrzynka „Domyślna” – stąd logując się na elektroniczną skrzynkę podawczą Administrator posiadał bezpośredni podgląd wyłącznie tych wiadomości, które trafiały na skrzynkę „Domyślną” (spośród których ostatnia datowana była na dzień […] lutego 2019 r.), nie posiadał natomiast w oknie głównym podglądu na korespondencję kierowaną do innych skrytek. Dopiero wskutek opisywanej interwencji informatycznej Administrator dowiedział się o możliwości zmiany dotychczasowych parametrów skrzynki poprzez wybór „SkładuESP”. Zmiana ustawień zezwoliła na stwierdzenie,  iż w skrytce znajdowały się przekazywane wcześniej i prawidłowo doręczone Administratorowi pisma Prezesa UODO. Brak specjalistycznej wiedzy z zakresu obsługi platformy e-PUAP oraz stałego wsparcia informatycznego spowodował brak możliwości ich wcześniejszego odczytania, a co za tym idzie – terminowego ustosunkowania się do ich treści.
3. Najbardziej prawdopodobną przyczyną zaistniałego stanu rzeczy była aktualizacja skrzynki e-PUAP, powodująca zmianę ustawień i automatyczne wyświetlanie w oknie głównym przeglądarki korespondencji wpływającej do skrzynki „Domyślnej”. Brak odpowiedzi na pisma kierowane do Administratora nie wynikał zatem ze złej woli, zaniedbania bądź lekceważenia obowiązku dostarczenia Prezesowi UODO informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia sprawy o sygn. […] – a jedynie z braku świadomości i niewiedzy Administratora, że jakakolwiek korespondencja w tej sprawie była do niego kierowana za pomocą skrzynki e-PUAP. Powyższe potęguje fakt, że dotychczasowe kontakty z organem nadzorczym, dotyczące naruszenia będącego przedmiotem postępowania o sygn. […], odbywały się bądź to telefonicznie, bądź w drodze korespondencji przesyłanej za pośrednictwem polskiego operatora pocztowego.
4. Ustosunkowując się do pytań organu nadzorczego, zawartych w pismach z […] grudnia 2019 r. oraz […] stycznia 2020 r. Administrator wskazał, że szkolenie z zakresu ochrony danych osobowych zostało przeprowadzone dla pracowników zatrudnionych w jednostce Administratora […] lutego 2019 roku (na dowód czego Administrator przedstawił poświadczoną na zgodność z oryginałem kopię listy obecności uczestniczących w szkoleniu osób).
5. Natychmiast po stwierdzeniu naruszenia, tj. […] stycznia 2019 r. zmieniono hasło dostępu do poczty elektronicznej Administratora o adresie: […], wdrożono szyfrowanie dokumentów przesyłanych drogą elektroniczną oraz wprowadzono osobne konta dla użytkowników korzystających z ogólnego konta e-mail Domu Dziecka […] w S.
6. Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony danych osobowych, uniemożliwiające osobom nieuprawnionym dostęp do przetwarzanych danych, polegające na: wprowadzeniu monitoringu zewnętrznego i wewnętrznego jednostki, zastosowaniu programów antywirusowych, wprowadzeniu haseł zabezpieczających do systemów operacyjnych i dziedzinowych, a ponadto: wdrożeniu w jednostce polityki zmiany haseł, procedury dostępu do systemów informatycznych, procedury określającej zasady korzystania z Internetu oraz poczty elektronicznej, nadaniu pracownikom upoważnień do przetwarzania danych osobowych, wprowadzeniu polityki czystego biurka, polityki kluczy czy wdrożeniu bezpiecznych sposobów przechowywania dokumentów. Poza w/w środkami Administrator powołał również Inspektora Ochrony Danych, wdrożył w jednostce Politykę Ochrony Danych Osobowych oraz przeprowadził […] czerwca 2019 r. analizę ryzyka.
7. Postępowanie karne, zainicjowane zawiadomieniem o podejrzeniu popełnienia przestępstwa złożonym przez Administratora w Komisariacie Policji w S. nie zostało prawomocnie zakończone. Wyrokiem Sądu Rejonowego w M. z […] stycznia 2020 r., zapadłym w sprawie o sygn. akt […], sprawca naruszenia, Pan K. P., został uznany za winnego zarzucanego mu czynu zabronionego z art. 267 § 1 k.k. Jednocześnie, z uwagi na nieznaczny stopień społecznej szkodliwości czynu, sąd warunkowo umorzył postępowanie karne wobec oskarżonego na okres jednego roku próby, orzekając wobec niego  obowiązek zapłaty nawiązki w kwocie 300 zł na rzecz Administratora.

Do pisemnych wyjaśnień z […] czerwca 2020 r. Administrator załączył szereg dowodów, potwierdzających prawdziwość przedstawianych przez niego twierdzeń, w postaci m.in. poświadczonych za zgodność z oryginałem kopii zarządzeń dyrektora Domu Dziecka w S., w tym: zarządzenia nr […] z […] lipca 2018 r. w sprawie wyznaczenia Inspektora Ochrony Danych, zarządzenia nr […] z […] września 2018 r. w sprawie wprowadzenia Polityki Ochrony Danych, zarządzenia nr […] z […] grudnia 2018 r. w sprawie wprowadzenia Regulaminu funkcjonowania, obsługi i eksploatacji monitoringu wizyjnego na terenie domu dziecka, zarządzenia nr […] z […] kwietnia 2019 r. w sprawie wprowadzenia aktualizacji upoważnień do przetwarzania danych osobowych, zarządzenia nr […] z […] grudnia 2019 w sprawie aktualizacji Rejestru czynności przetwarzania danych osobowych oraz notatki z […] czerwca 2019 r. dokumentującej wykonaną analizę ryzyka.

Po zapoznaniu się z całością materiału dowodowego zebranego w niniejszej sprawie, Prezes Urzędu Ochrony Danych zważył, co następuje.

Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO, jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679, na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO uprawniony jest m. in. do prowadzenia postępowań w sprawie stosowania przepisów omawianego aktu prawnego (art. 57 ust. 1 lit. h)), w tym postępowań związanych z oceną naruszeń ochrony danych osobowych, zgłaszanych Prezesowi UODO przez administratorów danych, stosownie do treści art. 33 Rozporządzenia 2016/679. Dla umożliwienia realizacji tak określonych zadań, Prezesowi UODO przysługuje szereg określonych uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań  (art. 58 ust. 1 lit. a)) oraz uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e)). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu  do danych i informacji, o których mowa powyżej, skutkujące naruszeniem uprawnień organu określonych w art. 58 ust. 1 (w tym uprawnienia do uzyskania danych i informacji niezbędnych do realizacji jego zadań), podlegać zaś może – zgodnie z art. 83 ust. 5 lit e) in fine Rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o.” – administracyjnej karze pieniężnej w wysokości do 100 000 złotych.

Jednocześnie, stosownie do treści art. 16 ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2020 r. poz. 346 z późn. zm.), podmioty publiczne, organizując przetwarzanie danych w systemie teleinformatycznym, są obowiązane zapewnić możliwość przekazywania danych również w postaci elektronicznej przez wymianę dokumentów elektronicznych związanych  z załatwianiem spraw należących do ich zakresu działania, wykorzystując informatyczne nośniki danych lub środki komunikacji elektronicznej. Z kolei art. 16 ust. 1a ww. aktu prawnego nakłada na podmioty publiczne obowiązek udostępnienia elektronicznej skrzynki podawczej, spełniającej standardy określone i opublikowane na ePUAP przez ministra właściwego do spraw informatyzacji oraz zapewnienia jej obsługi.

Tym samym, Dom Dziecka […] w S., będący jednostką budżetową działającą na zasadach określonych w ustawie o finansach publicznych – co wynika ze Statutu ww. podmiotu, nadanego Uchwałą nr […] Rady Powiatu w M. z […] czerwca 2006 r. – obowiązany był, jako podmiot publiczny, do bieżącej obsługi elektronicznej skrzynki podawczej ePUAP oraz udzielenia odpowiedzi na kierowane do niego tym kanałem komunikacji wezwania do złożenia wyjaśnień w postępowaniu administracyjnym, prowadzonym przez Prezesa UODO pod sygn. […].

Jakkolwiek Administrator nie ustosunkował się do treści pism z […] grudnia 2019 r. oraz […] stycznia 2020 r. i nie udzielił w zakreślonym przez organ nadzorczy terminie informacji niezbędnych do merytorycznego rozpoznania ww. sprawy, wskazać należy, że działanie to nie miało charakteru umyślnego, ani nie było nakierowane na celowe utrudnienie Prezesowi UODO wykonywania jego zadań. Administrator nie miał bowiem wiedzy o przesyłanej za pośrednictwem ePUAP korespondencji, nakładającej na niego obowiązek podjęcia określonego działania, a przede wszystkim współpracy z organem ochrony danych. Brak reakcji na kierowane do Administratora pisma powodowany był nieznajomością funkcjonalności platformy ePUAP i prawdopodobną aktualizacją systemu, która mogła mieć istotny wpływ  na ustawienia skrzynki odbiorczej, nie wynikała natomiast ze złej woli Administratora. Dowodem na powyższe jest okoliczność, iż niezwłocznie po powzięciu informacji o  obowiązku złożenia wyjaśnień – co nastąpiło dopiero w toku postępowania, zmierzającego do nałożenia administracyjnej kary pieniężnej – Administrator szczegółowo wyjaśnił przyczyny, dla których uprzednio nie wywiązał się z określonego przepisami Rozporządzenia 2016/679 obowiązku współpracy z organem nadzorczym, a nadto złożył wyczerpujące wyjaśnienia w postępowaniu  o sygn. […], których brak legł u podstaw wszczęcia niniejszego postępowania. Wskazać również należy, iż korespondencja prowadzona z organem nadzorczym dotyczyła zgłoszonego przez Administratora naruszenia ochrony danych osobowych, o którym ten zawiadomił Prezesa UODO w ciągu 72 godzin od jego stwierdzenia, przekazując wszelkie informacje, którymi dysponował, wymagane w świetle art. 33 ust. 3 Rozporządzenia 2016/679. Zważywszy na fakt, iż Administrator dokonał zgłoszenia dobrowolnie, w zgodzie z obowiązującymi przepisami prawa, brak jest podstaw by sądzić, iż następczo celowo uchylał się od przekazania Prezesowi UODO dalszych informacji, niezbędnych do oceny przedmiotowego naruszenia. Wobec faktu dostarczenia w piśmie z […] czerwca 2020 r. wszelkich danych niezbędnych do merytorycznego rozpoznania sprawy o sygn. […], należy zatem stwierdzić, iż odpadła przyczyna uzasadniająca wszczęcie  z urzędu postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej za naruszenie art. 58 ust. 1 lit. a) i e) Rozporządzenia 2016/679, polegające na nieudzieleniu informacji niezbędnych Prezesowi Urzędu Ochrony Danych do realizacji jego zadań.

Z powyższych względów należało stwierdzić, że postępowanie prowadzone w niniejszej sprawie stało się bezprzedmiotowe, wobec czego należało je umorzyć na podstawie  art. 105 § 1 k.p.a.

Zgodnie z wyżej powołanym przepisem, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. Jak wynika ze wskazanej regulacji, stwierdzenie bezprzedmiotowości postępowania stanowi obligatoryjną przesłankę jego umorzenia i nie jest zależne od woli organu owo postępowanie prowadzącego. Przesłanka umorzenia postępowania może istnieć jeszcze przed jego wszczęciem, co zostanie ujawnione dopiero w toczącym się postępowaniu, a może ona powstać także w czasie trwania postępowania, a więc w sprawie już zawisłej przed organem administracyjnym (jak miało  to miejsce w opisywanym w niniejszej sprawie stanie faktycznym). Jednocześnie w literaturze przedmiotu wskazuje się, że: „Bezprzedmiotowość postępowania może być wynikiem zmiany stanu faktycznego sprawy. Postępowanie musi być uznane za bezprzedmiotowe wskutek ustania stanu faktycznego podlegającego uregulowaniu przez organ administracji w drodze decyzji (por. uzasadnienie wyroku NSA z 29 września 1987 r., IV SA 220/87, ONSA 1987, nr 2, poz. 67”  - Przybysz Piotr Marek. Art. 105. W: Kodeks postępowania administracyjnego. Komentarz aktualizowany. System Informacji Prawnej LEX, 2019).

W tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi  do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia  jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy,  w tym zwolnienie od kosztów sądowych.