Wróć do: Decyzje UODO

Sygnatura

DKN.5131.12.2022

Decyzja UODO DKN.5131.12.2022

Status

nonfinal

Data publikacji
13 lipca 2026

Treść rozstrzygnięcia

Decyzja DKN.5131.12.2022 Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1691) w związku z art. 7 i art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 ze zm.) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. b) w związku z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3, art. 32 ust. 1 i 2, art. 35 oraz art. 38 ust. 1, rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), dalej „rozporządzenie 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez R. (…) w F. przy (…) oraz K. (…) sp. z o.o. z siedzibą w H. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych, I. stwierdzając naruszenie przez R. (…) w F. przy (…) przepisu art. 28 ust. 1 rozporządzenia 2016/679 poprzez brak odpowiedniej weryfikacji zarówno przed, jak i po zawarciu umowy powierzenia przetwarzania danych osobowych, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, a w konsekwencji korzystanie z usług podmiotu przetwarzającego, który takich gwarancji nie zapewniał, udziela R. (…) w F. przy (…), upomnienia; II. stwierdzając naruszenie przez R. (…) w F. przy (…) przepisów art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na braku wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzania za pomocą systemu poczty elektronicznej, jako wewnętrznego systemu obiegu dokumentacji, danych osobowych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, jak również ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, co skutkowało naruszeniem zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/279 oraz zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/6/79, udziela R. (…) w F. przy (…) upomnienia; III. stwierdzając naruszenie przez R. (…) w F. (…) przepisu art. 35 ust. 1 w zw. z art. 35 ust. 3 rozporządzenia 2016/679, polegające na przetwarzaniu danych osobowych za pomocą systemu poczty elektronicznej, jako wewnętrznego systemu obiegu dokumentacji, niezgodnie z rozporządzeniem 2016/679 poprzez brak przeprowadzenia oceny skutków dla ochrony danych, udziela R. (…) w F. (…), upomnienia; IV. stwierdzając naruszenie przez K. (…) sp. z o.o. z siedzibą w H. przy ul. (…) przepisów art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 lit. c) rozporządzenia 2016/679, polegające na braku wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających bezpieczeństwo przetwarzania powierzonych danych osobowych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, jak również uwzględniającej ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, udziela K. (…) sp. z o.o. z siedzibą w H. przy ul. (…), upomnienia; V. w pozostałym zakresie postępowanie umarza. Uzasadnienie 1. R. (…) w F., zwany dalej również „Administratorem” lub „Szpitalem”, 30 grudnia 2021 r. dokonał zgłoszenia (a 5 stycznia 2022 r. uzupełnienia zgłoszenia) Prezesowi Urzędu Ochrony Danych Osobowych, zwanemu dalej także „Prezesem UODO”, naruszenia ochrony danych osobowych. Zgłoszenie zostało zarejestrowane przez Prezesa UODO pod sygn. DKN.5130.12926.2021. Naruszenie ochrony danych osobowych polegało na nieuprawnionym przejęciu skrzynki e-mail Administratora, utrzymywanej na serwerach K. (…) Sp. z o.o. z siedzibą w H., zwanego dalej również „Podmiotem przetwarzającym” lub „K. (…)”, i naruszeniu poufności danych osobowych tam zgromadzonych. 2. Przedmiotowe zgłoszenie naruszenia ochrony danych osobowych stało się dla Prezesa UODO impulsem do dokonania oceny realizacji przez Administratora spoczywających na nim obowiązków wynikających z przepisów rozporządzenia 2016/679 dotyczących właściwego zabezpieczenia danych oraz organizacji systemu ochrony danych osobowych. 3. Wobec powyższego, pismami z 11 stycznia 2022 r., 27 stycznia 2022 r. (wiadomość e-mail) oraz 14 lutego 2022 r. Prezes UODO zwrócił się do Administratora o udzielenie dodatkowych wyjaśnień oraz przedstawienie dowodów na ich potwierdzenie. Administrator udzielił wyjaśnień pismami z 18 stycznia 2022 r., 28 stycznia 2022 r. (wiadomość e-mail) i 21 lutego 2022 r. W związku ze złożonymi wyjaśnieniami Prezes UODO 11 marca 2022 r. wszczął postępowanie administracyjne w zakresie możliwości naruszenia przez R. (…) w F., jako administratora danych, oraz K. (…) S.A. (na dzień wydania decyzji K. (…) Sp. z o.o.) z siedzibą w H., jako podmiotu przetwarzającego, obowiązków wynikających z art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1 i 3, art. 32 ust. 1 i 2, art. 35 oraz art. 38 ust. 1 rozporządzenia 2016/679 (sygn. pisma DKN.5131.12.2022). 4. W odpowiedzi Administrator pismem z 21 marca 2022 r. oraz Podmiot przetwarzający pismem z 11 kwietnia 2022 r. udzielili dodatkowych wyjaśnień oraz przedstawili dowody na ich potwierdzenie. Ponadto, Prezes UODO pismami z 21 kwietnia 2022 r. 17 sierpnia 2022 r., 3 grudnia 2025 r. i 31 grudnia 2025 r. wezwał Administratora do złożenia dodatkowych wyjaśnień i dowodów na ich potwierdzenie, na które Szpital odpowiedział pismami z 6 maja 2022 r., 31 sierpnia 2022 r., 10 grudnia 2025 r. i 9 stycznia 2026 r. Podobnie Prezes UODO pismem z 21 kwietnia 2022 r. wezwał Podmiot przetwarzający do złożenia dodatkowych wyjaśnień i dowodów na ich potwierdzenie, na które otrzymał odpowiedź pismem z 11 maja 2022 r. 5. Na podstawie powyżej wskazanego zgłoszenia naruszenia ochrony danych osobowych, uzupełnionego zgłoszenia, powyższych pism oraz dowodów do nich załączonych, Prezes UODO ustalił następujący stan faktyczny. I. Stan faktyczny. 1. Naruszenie ochrony danych osobowych. 6. Administrator w dniu 23 grudnia 2021 r. na konto pocztowe jednego z użytkowników - pracownika (…), otrzymał wiadomości e-mail informującą o włamaniu na skrzynkę pocztową e-mail (…). Atakujący, informując m.in. o przejęciu skrzynki pocztowej, wskazał na prawidłowe hasło do powyższego konta „(…)”. W tym samym dniu Administrator dokonał zmiany hasła oraz sprawdził przedmiotowy adres e-mail na stronie https://haveibeenpwned.com, nie stwierdzając naruszenia dla tego konta. Ponadto, dokonał zgłoszenia incydentu do CERT NASK oraz uzyskał logi systemowe od Podmiotu przetwarzającego. Na podstawie ww. logów Administrator m.in. ustalił, że konto e-mail (…) zostało wykorzystywane do rozsyłania spamu. 7. 27 grudnia 2021 r. Administrator na podstawie uzyskanej odpowiedzi od CERT NASK stwierdził, że 10 grudnia 2021 r. z adresu (…) pobrano całą zawartość skrzynki pocztowej. W wiadomości otrzymał również pełne zestawienia adresów IP oraz liczby pobranych wiadomości. 8. Dokonując zgłoszenia naruszenia ochrony danych osobowych administrator wskazał na następujący zakres danych objętych naruszeniem: nazwiska, imiona, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, adres e-mail, numer telefonu, miejsce zatrudnienia. Dalej wyjaśnił, że na przejętym koncie e-mail znajdowały się między innymi dane osobowe dotyczące zapisów na wykonywanie szczepienia przesłane w formie niezabezpieczonej hasłem, dane osobowe pacjentów oraz korespondencja wewnętrzna Administratora. W większości przypadków korespondencja obejmowała jedynie numer PESEL oraz termin szczepienia. Jak wyjaśnił Administrator, na podstawie nadawcy wiadomości otrzymanych od podmiotów zewnętrznych można było także ustalić miejsce zatrudnienia osoby, która miała zostać zaszczepiona. W wiadomościach otrzymywanych bezpośrednio od szczepionych pacjentów oprócz numeru PESEL, daty szczepienia i możliwości przypisania adresu e-mail, często podawane były również inne dane, takie jak nr telefonu, czy też adres zamieszkania. 9. Na podstawie analizy zawartości przejętej skrzynki e-mail Administrator ustalił, że naruszenie ochrony danych osobowych dotyczyło (…) osób, które mogą zostać zidentyfikowane w związku z ujawnieniem ich danych osobowych. Szpital uznając, że w związku z naruszeniem atrybutu poufności danych osobowych może wystąpić wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w trybie art. 34 rozporządzenia 2016/679, zawiadomił powyższe osoby o naruszeniu ochrony ich danych osobowych. 2. Powierzenie przetwarzania danych osobowych. 10. Administrator utrzymywał konta pocztowe u zewnętrznego dostawcy. Zakup „(…)”, opisanej również przez Administratora jako: „Hosting strony” oraz „Usługi wsparcia IT”, został zrealizowany na podstawie zapytania ofertowego. Zapytanie skierowano do czterech dostawców, jedyną pełną ofertę przedstawił K. (…). Sp. z o.o., któremu zdecydowano się udzielić zamówienia na podstawie zapytania ofertowego z 19 lipca 2019 r. i zawrzeć „Umowę główną”. Termin płatności faktury został oznaczony na 9 sierpnia 2019 r. 11. Następnie w celu wykonania świadczenia ww. usług, opisanej również przez Podmiot przetwarzający jako: „(…)” i „(…)”, Administrator zawarł z K. (…) Sp. z o.o., jako podmiotem przetwarzającym, umowę powierzenia przetwarzania danych osobowych. Przedmiotowa umowa obowiązywała w okresie trwania „Umowy głównej”, o której mowa w pkt 10 uzasadnienia decyzji. Jak wynika z § 2 pkt 1 umowy powierzenia przetwarzania danych osobowych, zakresem tej umowy zostały objęte dane osobowe sklasyfikowanej jako: a) zbiór danych: dane kontrahentów, dane pacjentów, dane pracowników, dane osób ubiegających się o zatrudnienie; b) rodzaje danych: imię, nazwisko, e-mail, nr PESEL, dane dowodu osobistego (paszportu), miejsce zamieszkania (adres do korespondencji), imiona rodziców, data urodzenia, wykształcenie, przebieg dotychczasowego zatrudnienia, nr telefonu, nr ubezpieczenia. Zakresem umowy objęte zostały również dane osobowe stanowiące szczególną kategorię danych osobowych, sklasyfikowane jako: a) zbiór danych: informacje o stanie zdrowia; b) rodzaj danych: imię nazwisko, nr tel., nr PESEL, nr ubezpieczenia, termin wizyt medycznych, leczenie, historia choroby, dokumentacja obrazowa. 12. Jak wynika z treści umowy powierzenia przetwarzania danych osobowych, Podmiot przetwarzający oświadczył, że stosuje środki bezpieczeństwa spełniające wymogi rozporządzenia 2016/679 oraz uzyskał stosowną certyfikację w zakresie ochrony danych osobowych ISO/IEC 27001. Ponadto, jak wynika z § 3 pkt 6 ww. umowy, Podmiot przetwarzający stosuje w celu przetwarzania powierzonych mu danych osobowych środki techniczne i organizacyjne (w rozumieniu art. 32 rozporządzenia 2016/679) adekwatne do rodzaju powierzonych mu danych osobowych, zgodnie z opisem tych danych dokonanym przez Administratora w § 2 ust. 1 umowy. 13. Administrator opracował i wdrożył „Politykę (…)” (dalej jako: „Polityka współpracy”), której wydanie II obowiązywało od 24 stycznia 2019 r. (treść polityki stanowi załącznik do pisma Administratora z 10 grudnia 2025 r.). 14. Jak wynika z pkt 3.1 c) i d) Polityki współpracy, system zarządzania bezpieczeństwem informacji w relacji do zewnętrznych usługodawców powinien obejmować w szczególności uwzględnienie relacji z dostawcami w analizie ryzyka (…) oraz nadzór nad bezpieczeństwem informacyjnym procesów lub zamówień, których wykonanie zlecono na zewnątrz. Natomiast zgodnie z rozdziałem (…) tego dokumentu „(…)” - (…) „(…)”, obowiązkiem podmiotu zewnętrznego jest ustanowienie odpowiedniego procesu zarządzania hasłami w systemach mających styczność z informacjami należącymi do Szpitala z uwzględnieniem m.in. następujących zasad: „(…)”. 15. Zgodnie z pkt (…) Polityki współpracy, podmiot zewnętrzny powinien zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych osobowych spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. W szczególności m.in. „Dostawca / Wykonawca zobowiązuje się do spełniania wymagań zapisów RODO w zakresie przeprowadzenia analizy ryzyka, z zagwarantowanym prawem Zamawiającego do rozliczalności tego obowiązku wobec Dostawcy / Wykonawcy”. 16. Jak wyjaśnił Administrator, powyższa Polityka współpracy „nie miała zastosowania przy zawarciu umowy powierzenia przetwarzania danych osobowych z Podmiotem przetwarzającym”. 17. We „Wniosku (…)”, zatwierdzonym przez Administratora z dniem 25 lipca 2019 r. (stanowiącym załącznik nr 1 do Regulaminu postępowania w sprawach udzielania zamówień publicznych, których wartość nie przekracza wyrażonej w złotych równowartości kwoty (…) euro), przedmiot zamówienia „(…)” został szczegółowo opisany jako: „(…)” 18. Jak wynika z dalszej treści ww. wniosku, w przypadku gdy zamówienie obejmuje powierzenie przetwarzania danych osobowych przez wykonawcę, do wniosku załączany jest arkusz szacowania ryzyka. Arkusz szacowania ryzyka nie został załączony, jak również nie został przesłany Prezesowi UODO. 19. Na pytanie Prezesa UODO z pisma z 14 lutego 2022 r., „w jaki sposób administrator zapewniał zgodność przetwarzania danych osobowych z przepisami art. 28 i 32 rozporządzenia 2016/679 w związku z utrzymywaniem kont poczty elektronicznej u zewnętrznego dostawcy, w tym od jak dawna trwa współpraca oraz czy sposób wyboru dostawcy uwzględniał treść w/w przepisów”, Administrator wyjaśnił, że „zakup został zrealizowany na podstawie zapytania ofertowego w dniu (…). W celu zapewnienia zgodności przetwarzania danych osobowych z przepisami została zawarta umowa powierzenia przetwarzania danych osobowych z dostawcą K. (…)”. 20. Ponadto, pismem z 21 marca 2022 r. Administrator wskazał, że wdrożył certyfikowaną normę ISO/IEC 27001. Wyjaśnił, że dla Szpitala bardzo istotne w zakresie wykazania stosowania należytych środków bezpieczeństwa przez Podmiot przetwarzający było także uzyskanie przez niego stosowanej certyfikacji w zakresie bezpieczeństwa informacji ISO/IEC 27001. 3. Analiza ryzyka przed wystąpieniem naruszenia ochrony danych osobowych. 21. Administrator pismem z 10 grudnia 2025 r. wyjaśnił, że przed naruszeniem ochrony danych osobowych zgłoszonym Prezesowi UODO 30 grudnia 2021 r. została przeprowadzona analiza ryzyka i zidentyfikowano ryzyka, które w ocenie Administratora „mogą się zmaterializować przy wykorzystaniu poczty elektronicznej, jednakże w analizie nie wskazano wprost K. (…)”. Wraz z przedmiotowym pismem Szpital przesłał zarządzenie nr (…) Dyrektora R. (…) w F. z dnia 25 lutego 2021 r. w sprawie wprowadzenia (…) wraz z metodologią oceny ryzyka oraz wypełniony formularz analizy ryzyka. Formularz odpowiada treści wzoru załącznika do ww. „Procedury (…)”. 22. Jak wynika z pkt (…) „Procedury (…)”, identyfikację ryzyka przeprowadzają co najmniej raz w roku dyrekcja Szpitala na poziomie strategicznym oraz właściciele procesów na poziomie operacyjnym. Do identyfikacji ryzyka wykorzystywany jest „(…)”, który stanowi załącznik do ww. metodologii. 23. Jak wynika z wypełnionego „(…)”, Administrator ustalił następujące ryzyka, które dotyczyły zasobu w postaci poczty e-mail: „wysłanie poczty elektronicznej do niewłaściwych odbiorców”, „otwieranie poczty od nieznanych nadawców”, „utrata hasła do komputera, poczty e-mail, innych plików z danymi”, „brak dostępu do poczty elektronicznej”, „poczta służbowa zawierająca spamy od nieznanych nadawców”, „możliwość zainfekowania komputera przez wirusy przy otwarciu poczty e-mail”, „przekierowanie informacji w formie e-mail do innych użytkowników”, „możliwość zainfekowania komputera przez wirusy przy otwieraniu poczty e-mail”, „możliwość zainfekowania komputerów poprzez wirusy przesyłane pocztą e-mail”, „otwieranie poczty od nieznanych dostawców ułatwia zainstalowanie złośliwego oprogramowania”, „możliwość przejęcia własnego sprawozdania z badania, także przesłanego pocztą elektroniczną”, „dostęp do informacji chronionych ze względu na pomyłkę w adresie poczty e-mail” - dla powyższych „ryzyk” w formularzu zostały zaproponowane czynności, jakie należy podjąć, aby zminimalizować ryzyko. 24. Ponadto, w formularzu, w zakładce zatytułowanej „Ryzyko (Stare)”, zidentyfikowano w odniesieniu do poczty e-mail ryzyko nr (…) „brak zapewnienia należytego zabezpieczania przetwarzanych w systemie poczty e-mail informacji oraz brak zapewnienia rozliczalności”. Jako zaproponowane czynności, które należałoby podjąć w celu minimalizacji ryzyka, wskazano: „(…)”. Dla powyższego ryzyka prawdopodobieństwo ustalono na poziom 2 („średnie” - „wystąpienia zdarzenia jest prawdopodobne, może mieć miejsce w określonych przypadkach”) w skali od 1 do 4 oraz „wpływ na prawa i wolności osób fizycznych” na poziomie 4 („bardzo wysoki”) w skali od 1 do 4. Jako datę dokonanego przeglądu wskazano 14 maja 2021 r., a jako datę kolejnego przeglądu 31 sierpnia 2021 r. Natomiast jako „Sposób postępowania z ryzykiem nieakceptowalnym (wysokim) wskazano "redukcja ryzyka"”, co odpowiadało przyjętej metodyce szacowania ryzyka. Ogólny końcowy poziom ryzyka został określony jako „(…)”, a więc jako najwyższy poziom ryzyka w matrycy, na której przewidziano jeszcze „Ryzyko akceptowalne (niskie)” oraz „Ryzyko do monitorowania (średnie)”, zgodnie z przyjętą metodyka (pkt 5.9.11). 4. Ocena skutków dla ochrony danych. 25. Na pytanie Prezesa UODO, „Czy w związku z przetwarzaniem danych osobowych za pomocą poczty elektronicznej, w okresie przed wystąpieniem przedmiotowego naruszenia danych osobowych, została przeprowadzona ocena skutków dla ochrony danych?” Administrator wyjaśnił, że pośród materiałów „zagregowanych na zasobach archiwalnych znajdujących się pod kontrolą Szpitala nie odnaleziono oceny skutków wykonanej przed grudniem 2021 r.”. 26. Jak wynika z pkt 5.9.9. „Procedury szacowania ryzyka”, „Dokonując oceny wpływu na prawa i wolności osób fizycznych ustalić należy, czy będzie dochodziło do przetwarzania danych osobowych oraz czy projekt będzie stwarzał z dużym prawdopodobieństwem wysokie ryzyko naruszenia praw lub wolności osób. Jeżeli ryzyko jest wysokie, to wtedy wymagane jest przeprowadzenie Oceny Skutków Przetwarzania”. 27. Również w związku z wprowadzeniem dedykowanego adresu poczty elektronicznej jako kanału komunikacyjnego dla zgłoszeń do szczepienia przeciw COVID-19, Administrator nie dokonał oceny skutków wdrożenia takiego rozwiązania dla ochrony danych. Ponadto jak wyjaśnił, „Założenie poczty (…) w naszej placówce, jak i w innych (…) było niezbędne do prowadzenia programu szczepień. Zapisy dotyczyły bardzo dużych grup osób, najpierw medyków, kolejno nauczycieli, grupy 1B ich weryfikacji poprzez podanie numeru Pesel i miejsca zatrudnienia, a następnie dane tych osób wysyłane były do systemu gabinet.gov.pl. Zgłoszenia chętnych na szczepienie były wysyłane drogą mailową przez NFZ zaszyfrowane oraz bezpośrednio do (…) przez placówki medyczne, dyrektorów szkół, przedszkoli oraz przez osoby uprawnione w tym czasie zgodnie z Narodowym Programem Szczepień. Priorytetowym celem było zaszczepienie jak największej liczby osób uprawnionych w najszybszym możliwym czasie”. 5. Środki bezpieczeństwa stosowane przed wystąpieniem naruszeniem ochrony danych osobowych. 28. Administrator posiadał i utrzymywał certyfikaty: certyfikat (…) od (…) oraz certyfikat (…) od (…). 29. Administrator z dniem 23 lipca 2021 r. wdrożył VII Wydanie „Instrukcji bezpiecznej pracy podczas przetwarzania danych”. Powyższa procedura określała zasady korzystania z kont poczty elektronicznej Administratora, postępowania ze zgromadzonymi na nich danymi osobowymi (w tym zasady retencji), przydzielania dostępu do tych kont, a także metody uwierzytelniania, zasady stosowania poufnych informacji uwierzytelniających, ich rodzajów oraz stopnia skomplikowania haseł. Powyższe zasady określone w „Instrukcji bezpiecznej pracy podczas przetwarzania danych” zostały opisane m.in. w pkt 2 - Procedury nadawania, zmiany i odbierania uprawnień do systemów informatycznych, pkt 3 - Stosowane metody i środki uwierzytelniające oraz procedury związane z ich zarzadzaniem i użytkowaniem i pkt 6 - Procedura korzystania z poczty elektronicznej. Procedura korzystania z poczty elektronicznej zawierała m.in. następujące punkty i wymagania: w przypadku korzystania z poczty e-mail poza siedzibą Szpitala lub z urządzeń nie będących własnością Szpitala za należyte zabezpieczenie przetwarzanych informacji odpowiada użytkownik (pkt 6.16); na skrzynce mailowej nie powinny znajdować się między innymi takie informacje i dane jak - dokumentacja medyczna (pkt 6.1); wszystkie pozostałe dokumenty i pliki zawierające dane osobowe muszą zostać umieszone w bezpiecznym folderze na dysku sieciowym i skasowane ze skrzynki (pkt 6.2); w przypadku konieczności przesłania chronionych danych powinny one być zaszyfrowane (pkt 6.4); użytkownik, z chwilą przystąpienia do pracy w systemie informatycznym, otrzymuje hasło początkowe i jest zobowiązany zmienić je natychmiast po rozpoczęciu pracy, na sobie tylko znany ciąg co najmniej ośmiu znaków zawierających małe i wielkie litery oraz cyfry lub znaki specjalne (pkt 3.3); hasło należy zmieniać nie rzadziej niż raz na 30 dni, nowe hasło nie może być powtórzeniem wcześniej stosowanych haseł (pkt 3.4). 30. Ponadto, została opracowana broszura „(…)”, w której zostały opisane m.in. wymagania dotyczące haseł. Administrator w 2020 r. wydawał również inne broszury informacyjne dotyczące bezpieczeństwa danych osobowych: „(…)”, „(…)”, „(…)”, „(…)”, „(…)” oraz oznaczone miesiącem listopad - „(…)”. 31. Jak wyjaśnił Administrator, przestrzeganie zasad stosowania należytych zabezpieczeń, w tym powyższych procedur, weryfikował m.in. poprzez przeprowadzenie audytów wewnętrznych oraz zewnętrznych w zakresie przestrzegania norm ISO 27001 i ISO 9001, audytów „RODO”, zewnętrznych audytów związanych z cyberbezpieczeństwem oraz przeprowadzanie testów socjotechnicznych. W systemach informatycznych ustanowione były wymagania co do minimalnych wymagań struktury i długości haseł. Jedynie użytkowany system poczty elektronicznej (w ramach którego doszło do naruszenia ochrony danych osobowych) nie umożliwiał m.in. ustalenia siły stosowanych haseł, jak również dokonania jakiejkolwiek weryfikacji (np. w zakresie siły zastosowanych haseł, czy też ostatniej ich zmiany). 32. Ponadto Administrator przeprowadzał szkolenia w odpowiedzi m.in. na stwierdzone podczas audytów zagrożenia opisane w pkt 46 i 47 uzasadnienia decyzji. 33. Do pracowników Administratora kierowane były wiadomości e-mail o występujących zagrożeniach związanych z cyberbezpieczeństwem oraz stosowaniu odpowiednich zabezpieczeń. Na dowód powyższego Administrator przedstawił przykładowe wiadomości: – 2015.02.06 (…); – 2015.05.14 (…); – 2019.03.28 (…); – 2019.06.06 (…); – 2020.03.18 (…); – 2020.06.01 (…); – 2020.07.09 (…); – 2020.10.29 (…); – 2020.11.18 (…); – 2021.03.05 (…); – 2021.03.29 (…); – 2021.04.23 (…); – 2021.04.29 (…); – 2021.06.11 (…). 6. Działania podejmowane w celu zmniejszenia prawdopodobieństwa wystąpienia naruszenia ochrony danych osobowych w przyszłości. 34. Administrator przeprowadzając postępowanie wyjaśniające mające na celu ustalenie, w jaki sposób doszło do uzyskania danych do logowania do skrzynki pocztowej o adresie (…) oraz jakie były okoliczności, źródło i przyczyny powstania naruszenia ochrony danych osobowych, wskazał, że dostęp do konta został uzyskany najprawdopodobniej poprzez złamanie hasła dostępowego. 35. Jednocześnie wskazał, że nie jest prawdopodobne, aby hasło zostało pozyskane poprzez ataki socjotechniczne. Za uzasadnieniem powyższego, w ocenie Szpitala, przemawiała duża świadomość użytkownika przejętego adresu e-mail w zakresie ryzyka związanego z phishingiem, potwierdzona między innymi poprzez dokonywanie wcześniejszych zgłoszeń incydentów dotyczących podejrzanych wiadomości e-mail oraz przeprowadzonych szkoleń i kampanii informacyjnych. Również na komputerze tego użytkownika przeprowadzono pełne, manualne skanowanie oprogramowaniem antywirusowym C. (…) z dostępnym rozszerzeniem D. (…). Ponadto, oprogramowanie dostosowane jest do ciągłego skanowania plików systemów w czasie rzeczywistym oraz posiada uruchomione zabezpieczenia: (…). Na wszystkich komputerach w domenie zaimplementowany jest filtr WWW, uniemożliwiający przeglądanie portali niezwiązanych z profilem Szpitala. Analiza stacji roboczej nie wykazała żadnych nieprawidłowości. 36. Administrator ustalił także, że czynnikiem zwiększającym ryzyko naruszenia było słabe zabezpieczenie użytkowanego serwera pocztowego K. (…), jako przykład wskazując na brak blokowania się konta po wpisaniu kilkakrotnie błędnego hasła, zastosowanie słabego hasła zabezpieczającego oraz nadmiarowe przechowywanie informacji na skrzynce pocztowej, co jak wyjaśnił Administrator było spowodowane m.in. koniecznością szybkiego dostępu do danych rejestrowanych w trybie pilnym na szczepienia przeciwko COVID-19. 37. Ze względu na konieczność wyeliminowania istniejących zagrożeń w odniesieniu do użytkowanego systemu poczty e-mail, w celu minimalizacji ryzyka, Administrator podjął decyzję o zmianie systemu poczty elektronicznej. Realizacja powyższego rozpoczęła się we wrześniu 2021 r. Jak poinformował Administrator, używana infrastruktura Szpitala była mocno wyeksploatowana, uniemożliwiało to wdrożenie wspieranych i bezpiecznych systemów poczty elektronicznej. Natomiast „Szpital buduje nową serwerownię, wraz z jej kompletnym wyposażeniem. Wartość zadania 7 milionów złotych”. 38. Ponadto, poczta elektroniczna była wykorzystywana w miejsce elektronicznego systemu zarządzania dokumentacją. Wobec powyższego, Szpital podjął decyzję o wdrożeniu takiego systemu. 14 marca 2022 r. Administrator zwrócił się do Wojewody (…) o zawarcie umowy/porozumienia na nieodpłatne udostępniania systemu elektronicznego zarządzania dokumentacją EZD PUW oraz udzielenie wsparcia wdrożeniowo-utrzymaniowego. 39. Administrator dokonał zmiany „Wniosku użytkownika poczty e-mail o zwiększenie pojemności konta e-mail”, wprowadzonego zarządzeniem nr 22/2022 z dnia 9 lutego 2022 r. Zgodnie z nową treścią ww. wniosku, wnioskodawca - użytkownik składał oświadczenie, że nie będzie przechowywał na skrzynce pocztowej informacji zawierających dane osobowe, m.in. dokumentacji medycznej. Ponadto zobowiązywał się, że wszystkie pliki zawierające dane osobowe będzie bezzwłocznie usuwał po ich zamieszczeniu na dysku sieciowym, a w przypadku konieczności przesyłania chronionych danych będzie je szyfrował, a hasło przekazywał innym kanałem komunikacji. 40. Po naruszeniu ochrony danych osobowych Administrator, zgodnie z przyjętą metodyką, przeprowadził analizę ryzyka w celu ustalenia odpowiednich do ryzyka środków bezpieczeństwa dla danych osobowych. 41. Na podstawie przeprowadzonej analizy ryzyka Administrator ustalił m.in. następujące zagrożenie, dla którego przyjął wysokie ryzyko: „dostęp do informacji przez osoby nieupoważnione (włamanie na skrzynkę mailową)”. W celu zminimalizowania prawdopodobieństwa ryzyka w analizie wskazano na „usuwanie na bieżąco odebranych wiadomości, zmiana hasła na bezpieczniejsze, zgłaszanie wszelkich nieprawidłowości w działaniu poczty do działu IT, zabezpieczenie systemu poczty, komunikacja przez inne dostępne systemy informatyczne”. Jak poinformował Administrator, ryzyko zostało zminimalizowane poprzez zabezpieczenie i usunięcie wiadomości z konta oraz konfigurację ustawień (…), bezzwłoczną zmianę hasła dostępu oraz bieżące zgłaszanie wszelkich nieprawidłowości pracownikom działu IT. Powyższe działania zostały potwierdzone przeglądem okresowym z 19 stycznia 2022 r. Szpital ponadto zidentyfikował zagrożenie w postaci „możliwość włamania ze względu na ograniczenia techniczne dostawcy”. Jako czynności minimalizujące ryzyko wskazano: „zmianę dostawcy usługi, który zapewni większe bezpieczeństwo, wymuszanie silnych haseł oraz okresowej zmiany jak również migracji do Z. (…). Koszt jaki wiąże się minimalizacją ryzyka do poziomu akceptowalnego to ok 300 tyś. zł na 5 lat”. Ponadto zidentyfikowano zagrożenie, które oceniono na średnim poziomie ryzyka, dotyczące „możliwości włamania na skrzynkę poczty e-mail ze względu na czynnik ludzki”, gdzie w celu zmniejszenia prawdopodobieństwa wystąpienia ryzyka wskazano „zalecenie użytkowania protokołu (…) do odbierania e-maili oraz okresowe szkolenie pracowników z zakresu zagrożeń występujących w internecie”. 42. Od 21 marca 2022 r. u Administrator obowiązywało zaktualizowane VIII wydanie „Instrukcji bezpiecznej pracy podczas przetwarzania danych”. 43. Do pracowników Administratora zostały wysłane wiadomości e-mail informujące o występujących zagrożeniach związanych z cyberbezpieczństwem oraz stosowaniu odpowiednich zabezpieczeń, tj. 28 grudnia 2021 r. „Zabezpieczenia kont pocztowych e-mail” oraz 15 stycznia 2022 r. poradnik „Kompleksowo o hasłach”. 7. Regularne testowanie mierzenie i oceniania skuteczności środków bezpieczeństwa oraz rola Inspektora Ochrony Danych dla zapewnienia bezpieczeństwa przetwarzanych danych. 44. Jak wyjaśnił Administrator, „Zakres oraz sposób przeprowadzonych audytów zmieniał się w zależności od możliwości pozyskania zakresu danych do audytu z serwera pocztowego w danym okresie. Najczęściej IOD dokonywał audytów sprawdzeń wszystkich kont pocztowych użytkowników np. na podstawie wykazu użytkowników z panelu administracyjnego serwera, danych z prowadzonego przez pracowników Działu Zarządzania Systemami IT rejestru użytkowników systemów informatycznych oraz wywiadu przeprowadzonego z administratorami serwerów. Sprawdzenia były dokonywane systematycznie od 2016 r. z częstotliwością przynajmniej jeden audyt/sprawdzenie w roku” oraz „Audytami były objęte wszystkie adresy mailowe łącznie ze skrzynką (…) w okresie jej funkcjonowania”. 45. Administrator wraz z pismem z 21 lutego 2022 r. przesłał raporty z przeprowadzonych przez Inspektora Ochrony Danych następujących audytów: „Raport (…)” z 19 października 2018 r., „Raport (…)” z 23 kwietnia 2019 r., „Raport (…)” z 6 sierpnia 2019 r., „Raport (…)” z 28 stycznia 2020 r., „Raport (…)” z 8 lutego 2021 r. oraz „Raport (…)” z 5 stycznia 2022 r. 46. Jak wynika z „Raportu (…)” z 19 października 2018 r., IOD stwierdził m.in. nieprawidłowość polegającą na skompromitowaniu hasła do konta e-mail byłego pracownika Administratora, które zostało zablokowane w 2017 r. W treści audytu wskazano, „że ze względu na przejęcie hasła można ustalić, iż nie była zachowana jego należyta struktura (co najmniej 8 znaków, cyfry i/lub znaki specjalne oraz małe i wielkie litery) oraz częstotliwość zmian co było głównym powodem przejęcia konta”. Inspektor Ochrony Danych udzielił szerokich zaleceń, w tym m.in. poinformowanie użytkowników o występującym ryzyku („shakowania kont e-mail”) oraz konieczności „stosowania odpowiednich haseł, zmiany haseł co najmniej co 3 miesiące, nie przechowywaniu na poczcie archiwalnych wiadomości, konieczności szyfrowania wiadomości zawierających dane chronione, natychmiastowym usuwaniu niezaszyfrowanych wiadomości zawierających dane chronione”. Ponadto wskazał na: bezzwłoczne usuwanie kont e-mail osób zwolnionych i zablokowanych kont e-mail, usuwanie przez użytkowników zbędnych wiadomości e-mail z serwera pocztowego, usuwanie przez pracowników (…) wiadomości wysłanych/odebranych przed dniem wskazanym w zaleceniu z wszystkich kont pocztowych, ograniczenie pojemności kont pocztowych indywidualnych użytkowników, zwiększenie ich pojemności jedynie na pisemny wniosek zatwierdzony przez Administratora oraz przeprowadzenie powtórnych sprawdzeń i przedstawienie raportów. 47. Jak wynika z „Raportu (…)” z 23 kwietnia 2019 r., audyt został przeprowadzony przez Inspektora Ochrony Danych w związku z planowaną zmianą dostawcy usług poczty e-mail oraz (jak zostało to zasygnalizowane w raporcie), bardzo wysokie zagrożenie w zakresie bezpieczeństwa przetwarzania danych na serwerach pocztowych Szpitala oraz bardzo częste „ataki hakerskie” na systemy poczty e-mail. W ramach audytu sprawdzono (…) kont e-mail (wszystkie konta pocztowe) oraz porównano status kont użytkowników w serwerze pocztowym z prowadzonym wykazem upoważnień do przetwarzania danych. W raporcie zostały wskazane stwierdzone nieprawidłowości i zalecenia. 48. 6 sierpnia 2019 r. Inspektor Ochrony Danych w związku z planowaną migracją poczty e-mail na inny serwer pocztowy oraz planowane przeprowadzenie audytu kont pocztowych przedstawił szczegółowe rekomendacje. Jak wyjaśnił Inspektor Ochrony Danych w podsumowaniu rekomendacji, „wdrażanie przedstawionych propozycji pozwoli między innymi usprawnić zarządzanie kontami pocztowymi poprzez ujednolicenie nazewnictwa, czy przypisanie do danych komórek organizacyjnych oraz utworzyć przejrzystą listę kontaktów z adresami e-mail, pozwoli także podnieść bezpieczeństwo poprzez zablokowanie nieużytkowanych kont e-mail zabezpieczonych niezmienianym od dłuższego czasu hasłem”. 49. Jak wynika z „Raportu (…)” z 28 stycznia 2020 r., audyt został przeprowadzony w związku z błędami powstałymi przy przenoszeniu poczty e-mail na nowy serwer pocztowy „(…)”. IOD wskazał na błędy, powody ich wystąpienia, skutki oraz sposoby ich usunięcia. 50. Jak wynika z „Raportu (…)” z 8 lutego 2021 r., celem przeprowadzonego audytu było sprawdzenie poprawności zarządzania pocztą e-mail oraz uprawnieniami użytkowników kont e-mail. Podczas audytu „zarządzania panelem administracyjnym” inspektor ochrony danych stwierdził szereg „ograniczeń wykorzystywanego systemu poczty e-mail mogących powodować brak należytej ochrony przetwarzania danych”, w tym m.in. „brak możliwości wymuszenia zmiany hasła oraz brak informacji w systemie o zmianie haseł przez użytkownika”, „możliwość logowania się do poczty poza siecią szpitalną z różnych urządzeń posiadających dostęp do internetu. Podatność może zostać wykorzystana do umyślnego pozyskania danych ze Szpitala jak również podnosi ryzyko nieuprawnionego dostępu do nienależycie zabezpieczonych kont pocztowych”, „możliwość zainstalowania poczty na niewłaściwie zabezpieczonych klientach poczty e-mail zainstalowanych na urządzeniach poza szpitalem (komputery, laptopy, tablety, smartfony), do których dostęp mogą mieć osoby nieuprawnione”, „brak filtrowania przesyłanych / otrzymywanych / przechowywanych wiadomości w celu wykrycia wiadomości pochodzących np. z systemu (…) lub/i zawierających dane poufne np. nr PESEL”, „brak możliwości prostej weryfikacji kont e-mail na które dokonywane jest przekierunkowanie z kont wspólnych” („e-maile wysyłane na konta wspólne mogą dalej trafiać na konta e-mail osób nieupoważnionych”) oraz „brak możliwości prostego zablokowania nieaktywnych kont e-mail i odblokowania”. W podsumowaniu audytu inspektor udzielił zaleceń wskazując, że „ze względu na ograniczenia funkcjonalne użytkowanego aktualnie serwera pocztowego wymagane jest przeprowadzenia analizy rynku w celu sprawdzenia możliwości modernizacji dotychczas użytkowanego serwera pocztowego, porównanie z innymi dostępnymi na rynku systemami, przeprowadzenie analizy kosztowej oraz oceny ryzyka”. Ponadto, udzielił konkretnych zaleceń w postaci m.in.: „(…)”, „(…)”, „(…)”, „(…)” oraz „(…)”. Podczas audytu sprawdzono (…) konta, w tym - (…) założone na serwerze (…), a (…) w trakcie zakładania. 51. Ponadto, powyższe audyty dotyczyły m.in. takich okoliczności jak: sprawdzenie kont domenowych Szpitala pod kątem ich nieuprawnionego przejęcia, sprawdzenie kont zablokowanych na serwerze pocztowym oraz sprawdzenie wykorzystania przestrzeni w skrzynkach pocztowych. 52. Jak wynika z przedstawionej przez Administratora przykładowej korespondencji e-mail kierowanej przez inspektora ochrony danych do użytkowników kont pocztowych m.in. 3 grudnia 2018 r., IOD wysłał wiadomość e-mail do wszystkich użytkowników poczty e-mail informując m.in. o „ogromnej ilości przejętych/shakowanych kont e-mail (ok 1,4 biliona na świecie i 11,2 miliona w Polsce)”, wykrytym przypadku włamania się do konta pracownika Szpitala oraz o „konieczności należytego zabezpieczenia kont e-mail między innymi poprzez: - stosowanie odpowiednich haseł, - zmiany haseł co najmniej co 3 miesiące, - nie stosowania tych samych haseł do różnych systemów / portali, - nie przechowywania na poczcie archiwalnych wiadomości, - konieczności szyfrowania wiadomości zawierających dane chronione, - natychmiastowym usuwaniu niezaszyfrowanych wiadomości zawierających dane chronione, - bezzwłocznym informowaniu o wystąpieniu incydentu mogącym spowodować dostęp do konta e-mail przez osoby nieupoważnione”. Ponadto wskazywał, że „w przypadku nadmiernego przechowania danych na serwerze pocztowym proszę o zarchiwizowanie ważnych wiadomości oraz usunięcie ich z konta pocztowego e-mail. Przechowywanie wiadomości na serwerze pocztowym stwarza dodatkowe ryzyko wynikające z możliwości dostępu do nich osób nieupoważnionych w przypadku przejęcia / zhakowania konta pocztowego”. 53. Ponadto w przypadkach, w których IOD na podstawie przeprowadzonych audytów ustalił nadmierne przechowanie danych na serwerze pocztowym, zwracał się indywidualnie do użytkownika o zarchiwizowanie ważnych wiadomości oraz usunięcie ich z konta pocztowego e-mail. 54. W dniach 12 lutego - 18 maja 2020 r. na zlecenie Administratora przez podmiot zewnętrzny został przeprowadzony audyt, który (…). Jak wynika z „Raportu (…)” z przeprowadzonego audytu, w ramach weryfikacji zgodności z wymaganiami normy ISO 27001, przy wymogu nr A.13.2 „Przekazywanie informacji” ustalono, że „(…)”. Ponadto, wymogi z normy ISO 27001 z załącznika A w postaci A.9.4 „Kontrola dostępu do systemu i aplikacji” oraz składające się na ten punkt wymogi szczegółowe (w tym m.in. A.9.4.2 „Procedury bezpiecznego logowania” oraz A.9.4.3 „System zarządzania hasłami”) zostały ocenione na „spełnione” z adnotacją, że „określono zasady dot. kontroli dostępu”. 55. W dniach 15 maja - 23 maja 2020 r. zostały u Administratora przeprowadzone testy socjotechniczne, na dowód czego Administrator przedstawił „Raport (…)” oraz „Raport (…)”. 56. Administrator w piśmie z 21 lutego 2022 r. wskazał, że ww. testy wykazały wysoką podatność personelu na ataki socjotechniczne. W związku z powyższym Szpital przeprowadził szkolenie z zakresu cyberbezpieczeństwa, w którym wzięło udział (…) osób. Jak wynika z opisu prezentacji „(…)” stanowiącej załącznik do ww. pisma, szkolenie zostało przeprowadzone 4 czerwca 2020 r. 57. 12 czerwca 2020 r. przeprowadzono kontrolę wewnętrzną dotycząca realizacji zaleceń przeprowadzonego audytu z 12 lutego- 18 maja 2020 r., na dowód czego Administrator przedstawił „Protokół (…)”. 58. Ponadto, 13 czerwca 2020 r. „przeprowadzono szkolenie oraz omówiono raport z audytu końcowego spełnienia wymagań (…)”. 8. Realizacja przez Administratora umowy powierzenia przetwarzania danych osobowych w zakresie zapewnienia bezpieczeństwa. 59. Pismem z 21 marca 2022 r. Administrator wyjaśnił, że weryfikował prawidłowość stosowania przez Podmiot przetwarzający art. 32 rozporządzenia 2016/679 względem powierzonych mu danych osobowych podczas wykonywania audytów poczty e-mail, które wykazywały ograniczenia mogące powodować brak należytej ochrony danych osobowych („Raport (…)” z 8 lutego 2021 r.), w tym konieczność zmiany serwera. 60. Ponadto, w związku z brakiem możliwości ustawienia siły haseł dostępu do skrzynek poczty elektronicznej Administratora, a także brakiem możliwości weryfikacji złożoności haseł, Szpital zwracał się do dostawcy poczty elektronicznej o wprowadzenie takiej funkcjonalności. Jak wyjaśnił, do Podmiotu przetwarzającego zostały wysłane zapytania dotyczące m.in. migracji usługi do nowego panelu administracyjnego oraz możliwości ustawienia wymagań co do hasła, jakie użytkownicy muszą ustalić dla konta e-mail. Podmiot przetwarzający przekazał, że system nie posiada takiej funkcjonalności. 61. Na potwierdzenie powyższego Administrator przedstawił następującą korespondencję e-mail: z 9 marca 2021 r. m.in. o treści „Bardzo proszę o informację w jaki sposób uzyskać "nowy" panel administracyjny?”, na którą uzyskał tego samego dnia odpowiedź Podmiotu przetwarzającego: „obecnie ze względów technicznych nie mamy w obecnym momencie możliwości przeniesienia Pana usługi do nowego systemu. Kiedy tylko technicznie pojawi się taka możliwość, usługa zostanie przeniesiona do nowego panelu klienta przez naszych specjalistów”, z 28 czerwca 2021 r. m.in. o treści: „w nawiązaniu do czwartkowej rozmowy telefonicznej z konsultantem chcielibyśmy się zapytać kiedy będzie możliwość przejścia na nowy panel administracyjny. Nasze pytanie motywujemy potrzebą podpisywania poczty (…) a z rozmowy wynikało, iż jest to tylko możliwe w nowym panelu”, z 4 sierpnia 2021 r. m.in. o treści „Jest to nasza trzecia próba kontaktu w sprawie migracji usług z panelu starego na panel nowy. W jednym z postów zamieszczonych na państwa oficjalnym forum, pracownik Centrum Pomocy zamieścił informację, iż jest możliwość wykonania migracji w przypadku istnienia dwóch kont na te same dane abonenta. Zamieścił również informacje jasno wskazujące na to, że stary i nowy panel mają dostęp do tych samych usług. Poniżej przesyłamy informacje dotyczące obu kont oraz prosimy o zweryfikowanie technicznych możliwości do przeprowadzenia tej migracji. Liczymy na sprawne przeprocesowanie naszego zgłoszenia oraz pozytywną odpowiedź”, na którą otrzymał odpowiedź Podmiotu przetwarzającego z 6 sierpnia 2021 r. o treści „uprzejmie informuję, że obecnie nie ma możliwości migracji usług z zakresu (…) do nowego panelu administracyjnego. Jeśli będzie możliwość migracji takich usług udostępnimy oficjalną informację w postaci wiadomości e-mail”, z 17 stycznia 2022 r. o treści: „czy istnieje możliwość ustawienia w panelu wymagań haseł jakie użytkownicy muszą ustalać do skrzynek e-mail”, na które uzyskał odpowiedź Podmiotu przetwarzającego z 19 stycznia 2022 r. o treści: „uprzejmie informuję, że nie posiadamy takiej funkcjonalności. W razie pojawienia się pytań lub wątpliwości pozostajemy do dyspozycji”. 62. Prezes UODO pismem z 21 kwietnia 2022 r. zwrócił się do Podmiotu przetwarzającego z pytaniem „z jakiej przyczyny wynikał brak możliwości migracji usług z zakresu (…) do nowego panelu administracyjnego, o którą zwracał się Administrator”. W odpowiedzi Podmiot przetwarzający pismem z 11 maja 2022 r. wyjaśnił, że (…). 9. Realizacja przez Podmiot przetwarzający umowy powierzenia przetwarzania danych osobowych w zakresie zapewnienia bezpieczeństwa. 63. Podmiot przetwarzający pismem z 10 kwietnia 2022 r. wyjaśnił, że „stosuje środki techniczne i organizacyjne, adekwatne do świadczonych usług, które stale aktualizuje i ulepsza”, na dowód czego przedstawił „szczegółowy wykaz tych środków” stanowiący załącznik nr 1 do ww. pisma. Dalej wyjaśnił, że „w zależności od usługi stosujemy adekwatne do ich świadczenia zabezpieczenia”. Załączone do pisma z 10 kwietnia 2022 r. „zestawienie zabezpieczeń”, jak wskazano, „odnosi się zarówno do systemów, na których przechowywane są dane klientów jak i systemów wspomagających”, a „Wdrożona analiza ryzyka obejmująca procesy przetwarzania danych osobowych wynikających z usług posiadanych przez Szpital identyfikuje je w (…)”. Na dowód powyższego Podmiot przetwarzający przedstawił dwa arkusze stanowiące załączniki nr 2 i 3 do ww. pisma. 64. Z załącznika nr (…) oznaczonego „Projekt (…)” nie wynika, aby wskazane tam zabezpieczenia zostały ustalone na podstawie analizy ryzyka. Załącznik ten stanowi tabelaryczny wykaz „wymogów” z możliwością adnotacji, czy „wymóg” jest spełniony „tak” lub „nie”. Przy czym, z ww. załącznika nie wynika, o jakie wymogi chodzi. Przedstawione przez Podmiot przetwarzający formularze analizy ryzyka odnosiły się do procesów oznaczonych jako: (…), co oznacza, że wskazane w formularzach skutki naruszeń atrybutów danych osobowych podlegających ochronie odnosiły się do ryzyk związanych z obsługą klienta w ramach zgłoszeń kierowanych przez tych klientów. 65. Prezes UODO pismem z 21 kwietnia 2022 r. zwrócił się do Podmiotu przetwarzającego m.in. z pytaniem, „czy istnieje możliwość weryfikacji po stronie Administratora siły i złożoności haseł do kont poczty elektronicznej nadawanych poszczególnym użytkownikom”. W odpowiedzi Podmiot przetwarzający pismem z 11 maja 2022 r. wyjaśnił, że w starym panelu „Użytkownik z uprawnieniami administracyjnymi nie ma możliwości podejrzenia i zweryfikowania siły ustanowionego hasła na kontach pocztowych, ale w każdej chwili może zmienić hasło dla dowolnej skrzynki.” 66. Natomiast pismem z 10 kwietnia 2022 r. Podmiot przetwarzający wyjaśnił, że w nowym panelu hasło klienta musi składać się z minimum (…) znaków, nie może zawierać w sobie nazwy usługi, nie może zawierać polskich znaków, powinno zawierać zarówno małe jak i duże litery, powinno zawierać cyfry, powinny też być wykorzystywane znaki specjalne (np. ampersand, @, !). W nowym panelu użytkownicy mogą posiadać dwa typy uprawnień: „Uprawnienia administracyjne” oraz „Uprawnienia Standardowy użytkownik”. Uprawnienia administracyjne dają możliwość pełnego zarządzania usługami na koncie, w tym zlecenia cesji usług lub całego konta. Pozwalają również na przegląd faktur i zarządzanie ważnością usług (odnawianie / rezygnacja). Oznacza to, że jeśli w panelu jest np. 2 użytkowników z uprawnieniami administracyjnymi, w każdej chwili po zalogowaniu do panelu jeden użytkownik może wyłączyć drugiego i tym sposobem odebrać mu możliwość zalogowania. „Z technicznych aspektów taki administrator może na koncie wprowadzać dowolne zmiany. Klient we własnym zakresie może dokonać więc modyfikacji haseł zgodnie z zasadami bezpieczeństwa, zarówno do kont pocztowych, samego panelu, usługi serwera (w tym głównego konta FTP i dostępu do SSH). Klient może samodzielnie włączać/wyłączać filtry antyspamowe”. 67. Prezes UODO pismem z 21 kwietnia 2022 r. zwrócił się do Podmiotu przetwarzającego z pytaniem, czy Podmiot przetwarzający „dostosowuje zabezpieczenia danych gromadzonych na prowadzonych przez nią skrzynkach poczty elektronicznej w zależności od kategorii danych wskazanych w zawieranej umowie powierzenia, a zwłaszcza jeśli powierzane zostają szczególne kategorie danych”. W odpowiedzi Podmiot przetwarzający pismem z 11 maja 2022 r. wyjaśnił, że „Usługa poczty elektronicznej dostępna klientom K. (…) w ramach usług hostingowych oferuje ten sam, optymalny poziom zabezpieczeń”. 68. Ponadto wyjaśnił, że „żaden dostawca na świecie nie oferuje indywidualnych rozwiązań dla serwera pocztowego klientów hostingu. Jeśli takie są wymagania Klienci korzystają bądź z infrastruktury typu IaaS, PaaS gdzie sami zarządzają serwerem np. V. (…) i ponoszą za niego pełną odpowiedzialność, ale wówczas nie mamy do czynienia z usługami hostingu, ale cloud computingu, bądź datacenter”. 69. W odniesieniu do możliwości blokowania dostępu do poczty Podmiot przetwarzający pismem z 10 kwietnia 2022 r. wyjaśnił, że (…). 70. Ponadto Podmiot przetwarzający wskazał, że „Mechanizm nbana, o którym mowa powyżej, działa na zasadzie procesu automatycznego (daemon) samodzielnie podejmuje decyzję i nie wymaga ręcznego kierowania. Administrator IT jeśli uzna za stosowne może ręcznie dodać, bądź usunąć z blacklisty/whitelisty określony adres IP, na podstawie zgłoszeń klientów. K. (…) w zakresie opisanego powyżej mechanizmu dokonuje poprawek oraz usprawnień mających na celu ulepszenie mechanizmu bezpieczeństwa”. 71. Podmiot przetwarzający dokonywał blokady kont e-mail użytkowników w przypadku wykrycia przez systemy wysyłki e-mail kwalifikowanej jako spam (blokada administracyjna). W takiej sytuacji administratorzy Podmiotu przetwarzającego zmieniali hasło skrzynek e-mail na podstawie analizy logów SMTP (poczty wychodzącej) lub po otrzymaniu zgłoszeń, które mogą świadczyć o wysyłce spamu. Zmiana hasła dostępu jest wykonywana w celu zaprzestania wysyłki spamu ze skrzynki e-mail. 72. Podmiot przetwarzający pismem z 10 kwietnia 2022 r. wyjaśnił, że „Przeprowadzony w listopadzie [2021 r.] niezależny audyt wykazał konieczność budowy zespołu bezpieczeństwa stąd od stycznia 2022 r. zatrudniony został Dyrektor (…), który odpowiada za wzmocnienie bezpieczeństwa zarówno spółek należących do grupy K. (…), jak i świadczonych usług. Ponadto stwierdziliśmy konieczność wdrożenia choćby zabezpieczeń związanych z logowaniem, stąd parę miesięcy temu podjęte zostały prace analityczne, a obecnie projekty są na etapie uruchamiania produkcyjnego. Przeprowadzamy także testy bezpieczeństwa, aby zidentyfikować podatności i uczynić nasze systemy bardziej odpornymi na zagrożenia. Zgodnie z rekomendacjami nowego IOD przy współpracy z nowym Szefem Działu (…) w K. (…) odbywa się wtórne mapowanie procesów oraz identyfikacja posiadanych zasobów, które następnie będą podlegały analizie ryzyka”. 73. Ponadto, Podmiot przetwarzający pismem z 10 kwietnia 2022 r. wyjaśnił, że „Obecnie jesteśmy w trakcie wdrażania dwóch mechanizmów bezpieczeństwa, których ze względów tajemnicę konkurencji nie ujawniamy jeszcze publicznie, takie jak (…)”. 74. Na podstawie uchwały nadzwyczajnego walnego zgromadzenia akcjonariuszy nr 3 z 9 grudnia 2025 r. zmienionej uchwałą nr 2 z 11 grudnia 2025 r. K. (…) S.A. z siedzibą w H. została przekształcona w spółkę z ograniczoną odpowiedzialnością pod firmą: K. (…) Spółka z ograniczoną odpowiedzialnością z siedzibą w H. przy ul. (…), (…)-(…) H. i zarejestrowana w Krajowym Rejestrze Sądowym pod numerem KRS: (…). II. W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje: 75. Zgodnie z art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego. 1. Naruszenie przez Administratora przepisu art. 28 ust. 1 rozporządzenia 2016/679. 76. Stosownie do treści art. 28 ust. 1 rozporządzenia 2016/679, administrator zobowiązany jest korzystać jedynie z podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Europejska Rada Ochrony Danych w wytycznych 07/2020 podkreśla, że „obowiązek korzystania wyłącznie z usług podmiotów przetwarzających "zapewniających wystarczające gwarancje" zawarty w art. 28 ust. 1 rozporządzenia 2016/679 jest obowiązkiem ciągłym. Nie kończy się w momencie zawarcia umowy lub innego aktu prawnego przez administratora i podmiot przetwarzający. Administrator powinien raczej w odpowiednich odstępach czasu weryfikować gwarancje podmiotu przetwarzającego, w tym w stosownych przypadkach przez audyty i inspekcje”. Zatem wskazany przepis rozporządzenia 2016/679 wprowadza obowiązek korzystania wyłącznie z podmiotów zapewniających odpowiednie gwarancje w zakresie bezpieczeństwa, który wykracza poza sam fakt starannego wyboru i obejmuje także ciągłe zapewnienie, że gwarancje te są faktycznie realizowane. 77. Ponadto, obowiązek wynikający z art. 28 ust. 1 rozporządzenia 2016/679 należy interpretować w powiązaniu z zasadą rozliczalności wyrażoną w art. 5 ust. 2 rozporządzenia 2016/679 oraz obowiązkiem wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 24 ust. 1 rozporządzenia 2016/679. Administrator jest zobowiązany nie tylko do wyboru podmiotu przetwarzającego zapewniającego wystarczające gwarancje wdrożenia odpowiednich środków ochrony danych, lecz także do wykazania, że wyboru tego dokonano z zachowaniem należytej staranności. Obowiązek ten wiąże się zatem z koniecznością takiego ukształtowania oraz udokumentowania procesu wyboru podmiotu przetwarzającego, aby zapewnić zgodność przetwarzania z wymogami rozporządzenia 2016/679. 78. Tak rozumiany obowiązek dotyczy ustanowienia odpowiednich procedur i mechanizmów w strukturze organizacyjnej administratora, które pozwolą administratorowi wykazać, że dokonał wyboru odpowiedniego podmiotu przetwarzającego. Administrator musi dysponować materialnymi dowodami, że ocena podmiotu przetwarzającego została przeprowadzona, a wybór dokonany został w sposób świadomy i zgodny z prawem. 79. W rezultacie obowiązek z art. 28 ust. 1 rozporządzenia 2016/679 odnosi się już do etapu przed faktycznym rozpoczęciem powierzenia przetwarzania danych osobowych, a jego realizacja powinna trwać przez cały okres obowiązywania umowy powierzenia przetwarzania, aby administrator mógł stale upewniać się, że podmiot przetwarzający nadal zapewnia wymagane gwarancje. 80. W okolicznościach przedmiotowej sprawy Administrator przewidział organizacyjne sposoby weryfikacji spełniania gwarancji przez Podmiot przetwarzający, o których mowa w art. 28 ust. 1 rozporządzenia 2016/679. Opracował i wdrożył w tym celu „Politykę (…)”, której wydanie II obowiązywało od 24 stycznia 2019 r. Ponadto, zgodnie z załącznikiem nr 1 do Regulaminu postępowania w sprawach udzielania zamówień publicznych których wartość nie przekracza wyrażonej w złotych równowartości kwoty (…) euro, w przypadku gdy zamówienie obejmuje powierzenie przetwarzania danych osobowych do wniosku powinien być załączony arkusz szacowania ryzyka. 81. Natomiast, jak wyjaśnił Administrator, powyższa procedura nie została zastosowana przy wyborze Podmiotu przetwarzającego. Ponadto, jak wynika z materiału dowodowego, do „Wniosku o udzielenie zamówienia publicznego, którego wartość nie przekracza wyrażonej w złotych równowartości kwoty (…) euro”, dotyczącego przedmiotowej usługi, nie został załączony wypełniony arkusz szacowania ryzyka. 82. Tym samym należy uznać, że Administrator, pomimo organizacyjnego przygotowania, przed zawarciem umowy powierzenia przetwarzania danych osobowych z K. (…) nie przeprowadził procesu oceny Podmiotu przetwarzającego pod kątem uznania, czy ten zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. 83. Ponadto, na pytanie Prezesa UODO, „w jaki sposób administrator zapewniał zgodność przetwarzania danych osobowych z przepisami art. 28 i 32 rozporządzenia 2016/679 w związku z utrzymywaniem kont poczty elektronicznej u zewnętrznego dostawcy, w tym od jak dawna trwa współpraca oraz czy sposób wyboru dostawcy uwzględniał treść w/w przepisów”, Administrator wyjaśnił, że „zakup został zrealizowany na podstawie zapytania ofertowego w dniu (…). W celu zapewnienia zgodności przetwarzania danych osobowych z przepisami została zawarta umowa powierzenia przetwarzania danych osobowych z dostawcą K. (…)”. 84. Zatem z powyższej odpowiedzi nie wynika, aby sposób tej weryfikacji przybrał charakter organizacyjny i formę dowodową. Administrator poprzestał jedynie na zawarciu samej umowy powierzenia przetwarzania danych osobowych, która została podpisana na gotowym formularzu, przygotowanym przez Podmiot przetwarzający. 85. Powyższe w oczywisty sposób stanowi o braku weryfikacji przed zawarciem umowy powierzenia Podmiotu przetwarzającego i w konsekwencji o naruszeniu art. 28 ust. 1 rozporządzenia 2016/679. 86. W okolicznościach przedmiotowej sprawy zaistniały przesłanki, które mogły świadczyć o możliwości zapewnienia realizacji art. 28 ust. 1 rozporządzenia 2016/679, jednak nie zostały poddane formalnej ocenie, a po zawarciu umowy nie zostały zweryfikowane. Podmiot przetwarzający, podobnie jak Administrator, posiadał i utrzymywał bowiem certyfikat (…) ISO/IEC 27000. Jak wyjaśnił Administrator, okoliczność ta była kluczowa dla uznania K. (…) jako podmiotu spełniającego wymogi, o których mowa w art. 28 ust. 1 rozporządzenia 2016/679. Administrator przed zawarciem umowy powierzenia ustalił wykaz środków bezpieczeństwa (pkt 17 uzasadnienia decyzji), które miały na celu zapewnić bezpieczeństwo powierzonym danym osobowym oraz we wzorze umowy powierzenia przetwarzania danych osobowych zostało wskazane, że Podmiot przetwarzający stosuje w celu przetwarzania powierzonych mu danych osobowych środki techniczne i organizacyjne (w rozumieniu art. 32 rozporządzenia 2016/679) adekwatne do rodzaju powierzonych mu danych osobowych 87. Wobec powyższego, wskazać należy, że przepis art. 28 ust. 1 rozporządzenia 2016/679 wymaga, aby administrator korzystał z usług wyłącznie podmiotów przetwarzających, które zapewniają nie jakiekolwiek gwarancje, a wystarczające i nie dowolne środki techniczne i organizacyjne, a odpowiednie. Wyznaczony przez motyw 81 do rozporządzenia 2106/679 kontekst normatywny wyjaśnia, że chodzi o podmioty, które zapewniają wystarczające gwarancje - w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby - wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rozporządzenia 2016/679, w tym wymogom bezpieczeństwa przetwarzania. 88. Działania Administratora w zakresie realizacji obowiązku z art. 28 ust. 1 rozporządzenia 2016/679 powinny być także realizowane po zawarciu umowy powierzenia przetwarzania danych osobowych. Powinny one w pierwszej kolejności zmierzać do ustalenia, czy Podmiot przetwarzający dobiera techniczne i organizacyjne środki bezpieczeństwa odpowiednio do ryzyka. W praktyce Administrator powinien stwierdzić, czy K. (…) realizuje § 3 pkt 6 umowy powierzenia przetwarzania danych osobowych, w którym Podmiot przetwarzający oświadczył, że stosuje w celu przetwarzania powierzonych mu danych osobowych środki techniczne i organizacyjne (w rozumieniu art. 32 rozporządzenia 2016/679) adekwatne do rodzaju powierzonych mu danych osobowych, zgodnie z opisem tych danych dokonanym przez Administratora w § 2 ust. 1, a wiec m.in. imienia, nazwiska, nr PESEL i danych szczególnych kategorii dotyczących zdrowia. 89. Ponadto, powyższa weryfikacja została przewidziana przez samego Administratora, bowiem zgodnie z pkt (…).1 „Polityki (…)”, „Podmiot zewnętrzny powinien zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych osobowych spełniało wymogi RODO [rozporządzenia 2016/679 - uwaga wł.] i chroniło prawa osób, których dane dotyczą. W szczególności Dostawca / Wykonawca zobowiązuje się do spełniania wymagań zapisów RODO [rozporządzenia 2016/679 - uwaga wł.] w zakresie przeprowadzenia analizy ryzyka, z zagwarantowanym prawem Zamawiającego do rozliczalności tego obowiązku wobec Dostawcy / Wykonawcy”. 90. Tymczasem, co wykazano w dalszej części niniejszej decyzji administracyjnej, Podmiot przetwarzający nie przeprowadzał analizy ryzyka dla zapewnienia bezpieczeństwa przetwarzania powierzonych danych osobowych, czym nie zrealizował § 3 pkt 6 umowy powierzenia przetwarzania danych osobowych. Okoliczność ta stanowiła o braku możliwości zapewnienia gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, bowiem Podmiot przetwarzający nie był w stanie zapewnić zgodności z art. 32 rozporządzenia 2016/679. 91. Zatem, brak przeprowadzenia zarówno przed, jak i po zawarciu umowy powierzenia przetwarzania danych osobowych, weryfikacji Podmiotu przetwarzającego skutkował korzystaniem przez Szpital z usług podmiotu przetwarzającego dane osobowe w imieniu Administratora, który nie zapewniał wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą, co stanowi o naruszeniu przez Administratora art. 28 ust. 1 rozporządzenia 2016/679. 2. Naruszenie przez Administratora przepisów art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. 2.1 Informacje ogólne 92. Zgodnie z brzmieniem art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Oznacza to, że administrator przy dokonywaniu oceny proporcjonalności zabezpieczeń powinien wziąć pod uwagę czynniki i okoliczności dotyczące przetwarzania (np. rodzaj, sposób przetwarzania danych) i ryzyko, jakie się z nim wiąże. 93. Stosownie zaś do art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia 2016/679 oraz chronić prawa osób, których dane dotyczą. Jednocześnie wdrożenie odpowiednich zabezpieczeń stanowi obowiązek będący przejawem realizacji ogólnej zasady przetwarzania danych - zasady integralności i poufności, określonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. 94. Ponadto, zgodnie z zasadą rozliczalności administrator jest odpowiedzialny za przestrzeganie zasad ochrony danych i zgodnie z treścią art. 5 ust. 2 rozporządzenia 2016/679 musi być w stanie wykazać ich przestrzeganie. Zasady integralności i poufności oraz rozliczalności wyrażone w art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, oprócz powołanych wyżej art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679, konkretyzują także i inne przepisy tego aktu prawnego, tj. art. 32 ust. 1 i 2 rozporządzenia 2016/679. 95. Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator, jak również podmiot przetwarzający, są zobowiązani do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym wyżej wskazane kryteria, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, zgodnie z lit. b) tego przepisu, powinny obejmować środki takie, jak zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Natomiast art. 32 ust. 2 rozporządzenia 2016/679 stanowi, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 96. Obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony m.in. w art. 32 ust. 1 rozporządzenia 2016/679, jest jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679. Obowiązujące przepisy prawa nie określają katalogu odpowiednich środków bezpieczeństwa, a na administratorze spoczywa obowiązek dokonania oceny w tym zakresie. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, zgodnie z lit. b) tego przepisu, powinny obejmować środki takie, jak zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. 97. Jak wyjaśnił WSA w Warszawie w wyroku z 5 października 2023 r., sygn. akt II SA/Wa 502/23, „Administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia” oraz „w pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie”. Należy również przytoczyć stanowisko WSA w Warszawie, który w wyroku z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23 wskazuje, że „(…) masowe przetwarzanie musi się wiązać z wyższym poziomem odpowiedzialności administratora i wyższym poziomem należytej staranności, gdyż nieodpowiednie zabezpieczenie danych może skutkować negatywnymi konsekwencjami dla wielu osób. Przetwarzanie tych danych odbywało się przy użyciu środka informatycznego, co w konsekwencji powodowało podwyższoną odpowiedzialność za wdrożenie środków organizacyjnych i technicznych dla zabezpieczenia systemu, czego w tej sprawie zabrakło”. 2.2 Analiza ryzyka przed wystąpieniem naruszenia ochrony danych osobowych. 98. Jak wynika z pkt 21 uzasadnienia decyzji, Administrator przed wystąpieniem naruszenia ochrony danych osobowych przeprowadził analizę ryzyka. Jak wyjaśnił Szpital, pomimo tego, że analiza ryzyka nie obejmowała wprost zasobu powierzonego K. (…), to jednak zidentyfikował pewne ryzyka dla danych osobowych przetwarzanych za pomocą poczty e-mail. W szczególności Administrator w odniesieniu do poczty e-mail opisał w sposób bardzo ogólny ryzyko w postaci braku „zapewnienia należytego zabezpieczania przetwarzanych w systemie poczty e-mail informacji oraz brak zapewnienia rozliczalności”. Ponadto, w sposób bardzo ogólny zaproponował czynności mające na celu minimalizację ryzyka, opisane w pkt 24 uzasadnienia decyzji. 99. Pomimo, że Administrator końcowy poziom ryzyka określił jako „(…)”, a więc nadał mu najwyższy poziom ryzyka w przyjętej matrycy, to jednak przed stwierdzeniem wystąpienia naruszenia ochrony danych osobowych nie podjął działań mających na celu minimalizację ryzyka, w tym nawet określonych w przeprowadzonej analizie ryzyka. Tym samym nie wdrożył środków bezpieczeństwa na podstawie przeprowadzonej analizy ryzyka. 2.3 Kryteria określone w art. 32 rozporządzenia 2016/679. 100. Mając na uwadze, że Administrator zidentyfikował i opisał ryzyko w sposób bardzo ogólny, w tym jako środek minimalizujący ryzyko wskazał na przeprowadzenie „oceny ryzyka”, stosownym jest odnieść powyższe rozważania do stanu faktycznego. Wobec powyższego, w pierwszej kolejności należy wyjaśnić kryteria z art. 32 ust. 1 rozporządzenia 2016/6/79, determinujące w przedmiotowej sprawie ryzyko dla operacji przetwarzania danych osobowych w ramach poczty elektronicznej. 101. Administrator dobierając odpowiednie do ryzyka środki bezpieczeństwa powinien uwzględnić kryterium zakresu, które kształtowane jest przez aspekty ilościowe. Przede wszystkim zakres danych osobowych przetwarzanych z wykorzystaniem kont pocztowych był szeroki. Obejmował m.in. dane osobowe jednoznacznie identyfikujące osoby fizyczne jak numer PESEL wraz z imieniem i nazwiskiem, a więc dane osobowe, których ujawnienie osobom nieuprawnionym mogło powodować wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Ponadto, przy wykorzystaniu kont pocztowych przetwarzane były dane dotyczące zdrowia, a więc szczególne kategorie danych, których ujawnienie również mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. 102. Administrator nie posiadał wewnętrznego elektronicznego systemu obiegu dokumentów. Wewnętrzna komunikacja, w tym gromadzenie i przekazywanie danych osobowych, odbywała się za pomocą poczty elektronicznej. W konsekwencji, ze służbowych kont pocztowych hostowanych przez Podmiot przetwarzający, korzystali wszyscy pracownicy Administratora. Z ustaleń wynika, że liczba wszystkich kont pocztowych w Szpitalu to (…). Natomiast na dzień 8 lutego 2021 r. było już ich (…). Tym samym potencjalna liczba użytkowników kont pocztowych była duża. 103. Mając na uwadze powyższe nie ulega wątpliwości, że w Szpitalu liczba osób, których dane osobowe były przetwarzane z wykorzystaniem poczty elektronicznej, również była znaczna, choć zgłoszone naruszenie ochrony danych osobowych mogące powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych obejmowało dane osobowe około 200 osób zgromadzonych na jednym koncie pocztowym. 104. Nie bez znaczenia był również charakter przetwarzania, kształtowany przez tożsamość administratora, jakim jest szpital. Co do zasady, głównym celem przetwarzania danych osobowych przez takiego administratora, jest świadczenie usług opieki zdrowotnej, z czym w sposób oczywisty wiąże się możliwość przetwarzania danych osobowych szczególnych kategorii, tj. w szczególności danych o stanie zdrowia. Brak możliwości spełnienia celu przetwarzania w wyniku naruszenia dostępności lub integralności danych, potencjalnie może powodować doniosłe negatywne konsekwencje dla osób fizycznych. 105. Powyższe kryteria, takie jak zakres, charakter przetwarzania oraz cele przetwarzania należy odnieść do szerszego kontekstu, w którym polski prawodawca dostrzegając ryzyko m.in. przetwarzania danych osobowych przez szpital, może nałożyć dodatkowe wymogi w zakresie spełnienia określonych standardów zapewnienia (…), w tym danych osobowych. 106. Przepis art. 32 ust. 1 rozporządzenia 2016/679 nie wyklucza konieczności zastosowania określonego standardu poziomu bezpieczeństwa, który może być kształtowany w ramach oceny kryterium kontekstu i stanu wiedzy technicznej. Administrator przy doborze odpowiednich do ryzyka środków bezpieczeństwa powinien uwzględnić kontekst prawny, jeśli ten wymaga od niego zastosowania określonego standardu bezpieczeństwa oraz kryterium stanu wiedzy technicznej, aby dobrać konkretny środek bezpieczeństwa pozostający w zgodzie z wymogami nałożonymi przez prawodawcę. 107. W Szpitalu został przeprowadzony audyt, który (…). 108. Również kryterium prawdopodobieństwa nie było niskie, w szpitalu w przeszłości doszło już do przejęcia skrzynki pocztowej (patrz pkt 46 i 47 uzasadnienia decyzji). Jak wynika z materiału dowodowego, takie ataki były bardzo „częste”. 109. Mając na uwadze powyższe kryteria, a w szczególności szeroki zakres przetwarzanych danych osobowych przez Administratora, których ujawnienie może powodować wysokie ryzyko dla praw lub wolności osób fizycznych, oraz wysokie prawdopodobieństwo ataków hakerskich, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych. 110. Ze zgromadzonego materiału dowodowego wynika, że wdrożone przez Administratora środki techniczne i organizacyjne nie zapewniły odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych za pomocą poczty elektronicznej. Ponadto Administrator nie podejmował działań zapewniających właściwy poziom wdrożenia środków bezpieczeństwa. Następstwem powyższego był incydent z dnia 10 grudnia 2021 r., polegający na przejęciu konta poczty elektronicznej jednego z pracowników oraz nieuprawnionego pobrania z niego danych osobowych. 2.4 Polityka haseł. 111. Odnosząc się w szczegółach do powyższego, w pierwszej kolejności wskazać należy, że Administrator już 19 października 2018 r. stwierdził m.in. nieprawidłowości polegające na skompromitowaniu hasła do konta e-mail byłego pracownika Administratora, które zostało zablokowane w 2017 r. 112. Na podstawie treści hasła „jerzy” stwierdził, „że nie była zachowana jego należyta struktura (co najmniej 8 znaków, cyfry i/lub znaki specjalne oraz małe i wielkie litery) oraz częstotliwość zmian”, co w ocenie Administratora „było głównym powodem przejęcia konta”. Ustalenia Administratora były zgodne z „Instrukcją bezpiecznej pracy podczas przetwarzania danych”. Zgodnie z pkt 3.3 Instrukcji, hasło powinno składać się z „co najmniej ośmiu znaków zawierających małe i wielkie litery oraz cyfry lub znaki specjalne”. Natomiast zgodnie z pkt 3.4 Instrukcji, hasło należało „zmieniać nie rzadziej niż raz na 30 dni, nowe hasło nie może być powtórzeniem wcześniej stosowanych haseł”. Ponadto, przedmiotowa Instrukcja nie zawierała innych wymogów co do złożoności i silności haseł. 113. Prezes UODO dokonując oceny zgodności przyjętych przez Administratora rozwiązań w zakresie polityki haseł z obowiązującymi standardami bezpieczeństwa stwierdził, że stosowanie haseł zawierających w swojej treści imię użytkownika należy zakwalifikować jako praktykę nieprawidłową, podwyższającą ryzyko nieuprawnionego dostępu do systemów informatycznych. 114. Zgodnie z rekomendacjami dotyczącymi bezpieczeństwa haseł, opublikowanymi w 2017 r. przez m.in. National Institute of Standards and Technology (NIST, dokument SP 800-63B[1]), hasła nie powinny zawierać elementów w sposób oczywisty powiązanych z osobą użytkownika, w tym jego imienia, nazwiska, daty urodzenia lub innych łatwo dostępnych informacji. Dane tego rodzaju są informacjami powszechnie znanymi lub łatwymi do ustalenia, a ich wykorzystanie w treści hasła obniża poziom jego złożoności i znacząco ułatwia przeprowadzenie ataków słownikowych bądź ukierunkowanych. 115. Mając na uwadze powyższe, Administrator w oparciu o wyżej opisane kryteria z art. 32 ust. 1 rozporządzenia 2016/679, a w szczególności uwzględniając stan wiedzy technicznej, powinien podjąć działania zmierzające do usunięcia takiej podatności. Tymczasem Administrator nie podjął działań zmierzających choćby do zmiany polityki haseł tak, aby użytkownik był świadomy wymogu, że hasła nie powinny zawierać elementów w sposób oczywisty powiązanych z jego osobą, ale również nie zawierały innych łatwo dostępnych informacji, w postaci m.in. imion, czy dat. 116. W tym miejscy wskazać należy, że w związku ze stwierdzeniem 23 grudnia 2021 r. przedmiotowego naruszenia ochrony danych osobowych, polegającego na przejęciu konta e-mail, administrator ustalił, że konto było zabezpieczone hasłem „(…)”. Zatem, podobnie jak w przypadku opisanym w pkt 112 uzasadnienia decyzji, hasło było „słabe”, a przez to podatne na ataki słownikowe z wykorzystaniem imienia oraz daty. 117. Wskazać należy, że wcześniejsza prawidłowa reakcja na incydent bezpieczeństwa stwierdzony w 2018 r., mogłaby zmniejszyć prawdopodobieństwo ryzyka nieuprawnionego dostępu do danych osobowych. 118. Tym samym należy uznać, że stwierdzenie przez Administratora w 2018 r. stosowania przez użytkowników haseł zawierających imię użytkownika i brak reakcji na taką podatność, nie odpowiadało wymogom zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych, o którym mowa w art. 32 ust. 1 lit. b) rozporządzenia 2016/679, tj. nie gwarantowało zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. 119. W związku z powyżej wskazanym, stwierdzonym 19 października 2018 r. skompromitowaniem hasła do konta e-mail, inspektor ochrony danych udzielił Administratorowi szerokich, w tym m.in. następujących zaleceń: poinformowanie użytkowników o występującym ryzyku („shakowania kont e-mail”) oraz konieczności „stosowania odpowiednich haseł, zmiany haseł co najmniej co 3 miesiące, nie przechowywaniu na poczcie archiwalnych wiadomości, konieczności szyfrowania wiadomości zawierających dane chronione, natychmiastowym usuwaniu nie zaszyfrowanych wiadomości zawierających dane chronione”. O ile te konkretne zalecenia były prawidłowe i korespondowały z wymogami wewnętrznej procedury, to jednak Administrator nie miał (patrz pkt 120 i 129 uzasadnienia decyzji) realnych możliwości weryfikacji, czy użytkownicy stosują się do tych wymogów. 2.5 Wymuszanie polityki bezpieczeństwa haseł. 120. Powyższe zostało zauważone dopiero podczas audytu z 8 lutego 2021 r. gdzie Administrator zidentyfikował, ocenione na bardzo wysokie, zagrożenie dla bezpieczeństwa danych osobowych przetwarzanych za pomocą serwerów pocztowych Szpitala w postaci częstych ataków hakerskich. W konsekwencji ustalił również konkretne podatności, które mogą zostać wykorzystane przez powyższe zagrożenie, m.in. takie jak: „brak możliwości wymuszenia zmiany hasła oraz brak informacji w systemie o zmianie hasła przez użytkownika”. 121. Wskazać należy, że usługa poczty e-mail świadczona przez zewnętrznego dostawcę była jedynym systemem informatycznym w Szpitalu, który nie posiadał wskazanych powyżej funkcjonalności. Zatem Administrator powszechnie stosował tego typu zabezpieczenia. 122. Nie jest bez znaczenia, że Administrator, jakim jest Szpital, znał wymogi (…). 123. Ponadto, Administrator posiadał i utrzymywał certyfikaty norm międzynarodowych: Certyfikat (…) od (…) oraz Certyfikat (…) od (…). 124. Jak wynika z „Raportu (…)” (przeprowadzony w lutym - maju 2020 r.) oraz z przeprowadzonego audytu w ramach weryfikacji zgodności z wymaganiami normy ISO 27001 (wymóg z załącznika A pkt A.9.4 „Kontrola dostępu do systemu i aplikacji” oraz składające się na ten punkt wymogi szczegółowe, w tym m.in. A.9.4.2 „Procedury bezpiecznego logowania” oraz A.9.4.3 „System zarządzania hasłami”), wymogi zostały ocenione na „spełnione” z adnotacją, że „określono zasady dot. kontroli dostępu”. 125. Należy wyjaśnić, że ocena „spełnione” nie jest wiążąca dla Prezesa UODO, jak również nie potwierdza, że system poczty e-mail był zgodny z wyżej wskazanymi zabezpieczeniami określonymi w załączniku A do normy PN-EN ISO 27001:2017. Z audytu nie wynika bowiem, aby jego przedmiotem została objęta poczta elektroniczna, która jako jedyny system funkcjonujący w Szpitalu nie zawierała funkcjonalności ustawienia reguł silności hasła, jego weryfikacji oraz wymuszenia okresowej jego zmiany. Ponadto, jak wskazano w samym raporcie z audytu, „dobre praktyki prowadzenia audytów zawarte w normie ISO 19011:2002 zakładają, że badanie prowadzone jest metodą próbkowania. Oznacza, to, że podczas każdego wywiadu audytowanego sprawdzana jest jedynie część wymagań normy. Może to skutkować tym, że obserwacje audytorów, a w szczególności stwierdzone niezgodności, mogą być różne dla poszczególnych lokalizacji i komórek organizacyjnych. Warto również zaznaczyć, że podczas wywiadów audytorzy często opierają się jedynie na deklaracjach osób audytowanych i nie są zobowiązani do ich każdorazowej weryfikacji, jeżeli miałoby to wpłynąć w negatywny sposób na wykorzystanie czasu audytowego.” 126. Zabezpieczenia wskazane w załączniku A do normy PN-EN ISO 27001:2017, takie jak te opisane w pkt A.9.4.3 „System zarządzania hasłami”, powodują, że system zarządzania hasłami powinien być interaktywny i zapewnić wybór haseł dobrej jakości. W powyższym zawiera się wymóg, aby organizacja mogła ustanawiać reguły bezpieczeństwa haseł m.in. takie jak: długość, złożoność, blokowanie prostych haseł itp. oraz ich okresowej zmiany, jeśli jest to uzasadnione analizą ryzyka. 127. Powyższa norma PN-EN ISO 27001:2017 wskazuje zatem, co powinno być zapewnione. Natomiast wytyczne wdrożeniowe mówiące, w jaki sposób to osiągnąć, zostały opisane w normie ISO/IEC 27002:2013, stanowiącej jej rozwinięcie. ISO (…) do zabezpieczenia z załącznika A.9.4.3 wskazuje przykładowe praktyki, tj. aby system zarządzania hasłami wymuszał wybór haseł odpowiedniej jakości, wymuszał okresowe zmiany haseł oraz zmiany w razie potrzeby, prowadził spis poprzednio używanych haseł użytkowników oraz zapobiegał ponownemu ich użyciu. 128. Mając na uwadze powyższe należy uznać, że system poczty e-mail, w którym administrator zidentyfikował podatności w postaci braku możliwości wymuszenia zmiany hasła oraz braku informacji o dokonanej zmianie hasła przez użytkownika, nie spełniał oczekiwanego standardu bezpieczeństwa przetwarzania danych osobowych odpowiedniego do ryzyka i wymagał wdrożenia stosownych środków bezpieczeństwa. 129. Natomiast Administrator pomimo stwierdzonych podatności i zagrożeń, nie zareagował odpowiednio, aby zmniejszyć ryzyko ich materializacji. Zarówno nie zmienił procedury w zakresie wymogów haseł, o czym była mowa wyżej, jak również nie podjął konkretnych działań zmierzających do zapewnienia możliwości ustawienia silności haseł i ich weryfikacji oraz wymuszenia okresowych zmian haseł. Działania takie zaczął podejmować dopiero po stwierdzeniu naruszenia ochrony danych osobowych. 17 stycznia 2022 r. zwrócił się do Podmiotu przetwarzającego z pytaniem, „czy istnieje możliwość ustawienia w panelu wymagań haseł jakie użytkownicy muszą ustalać do skrzynek e-mail”, co było zdecydowanie zbyt spóźnioną reakcją. 130. Tym samym należy uznać, że korzystanie przez Administratora z systemu poczty e-mail, który nie zawierał funkcjonalności „wymuszenia zmiany hasła oraz braku informacji w systemie o zmianie hasła przez użytkownika” i brak reakcji na taką podatność, nie odpowiadało wymogom zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych, o którym mowa w art. 32 ust. 1 lit. b) rozporządzenia 2016/679, tj. nie gwarantowało zdolności do ciągłego zapewnienia poufności i integralności, dostępności i odporności systemów i usług przetwarzania. 131. Uwzględniając charakter administratora, zakres przetwarzania danych osobowych, cele przetwarzania (pkt 101-108 uzasadnienia decyzji) oraz okoliczność wcześniej zidentyfikowanej podatności, wskazać należy, że brak wdrożenia środków bezpieczeństwa polegających na możliwości technicznego egzekwowania polityki haseł nie był adekwatny do ryzyka. 2.6 Kwalifikacja prawna stwierdzonych naruszeń. 132. Mając na uwadze powyższe uznać należy, że Administrator, wobec braku wdrożenia na podstawie przeprowadzonej analizy ryzyka odpowiednich technicznych i organizacyjnych środków bezpieczeństwa oraz stwierdzonych wyżej opisanych zagrożeń i podatności, nie podjął odpowiednich działań w celu zmniejszenia ryzyka materializacji tych zagrożeń. Tym samym nie można uznać, aby Administrator, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, co stanowi o naruszeniu art. 32 ust. 1 rozporządzenia 2016/679. 133. Powyższe okoliczności przesądzają również o niewdrożeniu przez Administratora odpowiednich środków technicznych zarówno przy określaniu sposobów przetwarzania, jak i w czasie przetwarzania danych osobowych, aby przetwarzanie to odbywało się zgodnie z rozporządzeniem 2016/679 i w celu nadania przetwarzaniu niezbędnych zabezpieczeń, oraz braku uaktualnienia środków bezpieczeństwa do czego był on zobowiązany zgodnie z art. 24 ust. 1 i art. 25 ust. 1 rozporządzenia 2016/679, jak również o niezastosowaniu środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych poprzez zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, do czego zobowiązuje administratora danych art. 32 ust. 1 lit. b) rozporządzenia 2016/679, oraz przy uwzględnieniu ryzyka wiążącego się z przetwarzaniem danych osobowych, o którym mowa w art. 32 ust. 2 rozporządzenia 2016/679, a w konsekwencji również o naruszeniu zasady poufności wyrażonej w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, której ww. przepisy są uszczegółowieniem. Jak bowiem wskazał WSA w Warszawie w wyroku z 26 sierpnia 2020 r., sygn. II SA/Wa 2826/19 (utrzymany przez Naczelny Sąd Administracyjny wyrokiem z 28 lutego 2024 r., sygn. akt III OSK 3839/21) „(…) czynności o charakterze techniczno - organizacyjnym leżą w gestii administratora danych osobowych, ale nie mogą być dobierane w sposób całkowicie swobodny i dobrowolny, bez uwzględnienia stopnia ryzyka oraz charakteru chronionych danych osobowych”. 134. Następstwem naruszenia przez Administratora zasady poufności jest naruszenie zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679. Jak wynika z orzeczenia WSA w Warszawie z 10 lutego 2021 r., sygn. II SA/Wa 2378/20, „Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności interpretuje WSA w Warszawie w wyroku z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19 (utrzymanym w mocy przez NSA wyrokiem z 28 lutego 2024 r., sygn. akt III OSK 3839/21), „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”. 3. Naruszenie przez Administratora przepisów art. 35 rozporządzenia 2016/679. 135. Zgodnie z art. 35 ust. 1 rozporządzenia 2016/679, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę. Natomiast jak stanowi art. 35 ust. 3 lit. b) rozporządzenia 2016/679, ocena skutków dla ochrony danych, o której mowa w ust. 1, jest wymagana w szczególności w przypadku przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa m.in. w art. 9 ust. 1 rozporządzenia 2016/679. 136. Opisane w pkt 101-108 uzasadnienia decyzji kryteria, takie jak charakter, zakres, kontekst, cele oraz prawdopodobieństwo miały wpływ na możliwość wystąpienia wysokiego ryzyko naruszenia praw lub wolności osób fizycznych w związku z przetwarzaniem danych osobowych za pomocą poczty e-mail, służącej jako wewnętrzny system obiegu dokumentów. Zatem nie były również obojętne dla określenia konieczności spełnienia obowiązku z art. 35 rozporządzenia 2016/679. 137. Jak zostało już wyjaśnione, Administrator w związku z brakiem wewnętrznego systemu obiegu dokumentów dla takiego obiegu wykorzystywał pocztę e-mail. W ramach tego systemu były przetwarzane dane osobowe m.in pacjentów sklasyfikowane przez Administratora jako „informacje o stanie zdrowia” w postaci: leczenia, historii choroby, dokumentacji obrazowej, terminów wizyt lekarskich. Tym samym powyższe dane osobowe stanowiły dane szczególnych kategorii, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, i wraz z danymi jednoznacznie identyfikującymi osobę fizyczną (takimi jak: imię, nazwisko, nr tel., nr PESEL, nr ubezpieczenia) stanowiły o możliwości wystąpienia wysokiego ryzyka. 138. Ponadto, Administrator będący wojewódzkim szpitalem specjalistycznym przetwarza dane osobowe szczególnych kategorii na dużą skalę, obejmując geograficznie, co do zasady, przynajmniej dane osobowe mieszkańców jednego województwa. Grupa Robocza Art. 29 w Wytycznych z 4 kwietnia 2017 r. (WP 248 rev.01) dotyczących oceny skutków dla ochrony danych pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 zaleca, aby przy ustalaniu, czy przetwarzanie danych odbywa się na dużą skalę, wziąć pod uwagę w szczególności następujące czynniki: a. liczbę osób, których dane dotyczą - wyrażoną jako konkretna wartość albo jako odsetek populacji odniesienia; b. ilość danych lub zakres poszczególnych przetwarzanych pozycji danych; c. czas trwania lub trwałość czynności przetwarzania danych; d. zakres geograficzny czynności przetwarzania. 139. Mając na uwadze powyższe, a w szczególności, że przetwarzanie danych osobowych za pomocą poczty elektronicznej w miejsce wewnętrznego systemu zarządzania i obiegu dokumentacji - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem - mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to Szpital przed rozpoczęciem takiego przetwarzania powinien dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Ponadto, ocena taka była wymagana, bowiem zaistniały również przesłanki opisane w art. 35 ust. 3 rozporządzenia 2016/679, skoro Administrator przetwarzał dane osobowe szczególnych kategorii (dane o stanie zdrowia) na dużą skalę. 140. Z dokonanych ustaleń wynika, że Szpital takiej oceny skutków dla ochrony danych nie przeprowadził, tym samym uznać należy, że Administrator naruszył art. 35 ust. 1 w zw. z art. 35 ust. 3 rozporządzenia 2016/679. 141. W tym miejscu należy wyjaśnić, że w organizacji Administratora obowiązywała „Procedura szacowania ryzyka”, zgodnie z którą (pkt 5.9.9.) Administrator dokonując oceny wpływu na prawa i wolności osób fizycznych ustalić powinien, „czy będzie dochodziło do przetwarzania danych osobowych oraz czy projekt będzie stwarzał z dużym prawdopodobieństwem wysokie ryzyko naruszenia praw lub wolności osób. Jeżeli ryzyko jest wysokie, to wtedy wymagane jest przeprowadzenie Oceny Skutków Przetwarzania”. Należy wskazać, co zostało już powyżej szczegółowo wyjaśnione (pkt 24 uzasadnienia decyzji), że dla poczty e-mail Administrator ustalił „(…)”. Tym samym Administrator powinien być świadomy konieczności przeprowadzenia oceny skutków dla ochrony danych, skoro także jego własne procedury wymagały jej przeprowadzenia. 4. Naruszenie przez Podmiot przetwarzający art. 32 ust. 1 i 2 rozporządzenia 2016/679 w związku z art. 28 ust. 3 lit. c) rozporządzenia 2016/6/79. 4.1 Informacje ogólne. 142. Zgodnie z art. 32 ust. 1 rozporządzenia 2016/679 uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Natomiast jak stanowi ust. 2 powyższego przepisu oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 143. W pierwszej kolejności podkreślić należy, że adresatem normy określonej w art. 32 rozporządzenia 2016/679 (która szczegółowo została wyjaśniona w pkt 95 - 97 uzasadnienia decyzji) jest zarówno administrator, jak i podmiot przetwarzający. Ponadto, jak wynika z treści art. 28 ust. 3 lit. c) rozporządzenia 2016/679, podmiot przetwarzający podejmuje wszelkie środki wymagane na mocy art. 32 rozporządzenia 2016/679. Natomiast wydane przez Europejską Radę Ochrony Danych (EROD) Wytyczne 07/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO wskazują na konkretne obowiązki administratora i podmiotu przetwarzającego wobec zapewnienia środków bezpieczeństwa powierzonym danym osobowym. W pkt 135 ww. wytycznych EROD wskazuje, że „Przechodząc do konkretnych obowiązków, podmiot przetwarzający ma po pierwsze obowiązek pomagać administratorowi w spełnieniu obowiązku przyjęcia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania. Chociaż obowiązek ten może się do pewnego stopnia pokrywać z wymogiem, aby podmiot przetwarzający sam przyjął odpowiednie środki bezpieczeństwa, w przypadku gdy operacje przetwarzania prowadzone przez podmiot przetwarzający wchodzą w zakres RODO, pozostają one dwoma odrębnymi obowiązkami, ponieważ jeden odnosi się do środków własnych podmiotu przetwarzającego, a drugi do środków administratora”. Jak wskazał Naczelny Sąd Administracyjny w wyroku z 9 lutego 2023 r., sygn. akt III OSK 3945/21: „Na gruncie RODO prawodawca odszedł od statycznego określenia wymaganych od administratora środków technicznych i organizacyjnych na rzecz dynamicznej oceny przyjętych środków bezpieczeństwa. Powyższe oznacza, że to na administratorze i podmiocie przetwarzającym spoczywa obowiązek określenia odpowiednich (adekwatnych) środków bezpieczeństwa, z zachowaniem kompetencji organu nadzorczego do weryfikacji przyjętego poziomu zabezpieczeń”. 144. W okolicznościach przedmiotowej sprawy Prezes UODO stwierdził, że Podmiot przetwarzający w okresie poprzedzającym stwierdzenie wystąpienia naruszenia ochrony danych osobowych, nie zapewnił odpowiedniego stopnia bezpieczeństwa danym osobowym, które zostały mu powierzone przez Administratora, co było konsekwencją braku realizacji obowiązków wyrażonych w art. 32 ust. 1 i 2 rozporządzenia 2016/679. 145. Biorąc pod uwagę, że powierzone dane osobowe mogły potencjalnie obejmować dużą liczbę osób, a zakres tych danych był szeroki (obejmował m.in. imię, nazwisko wraz z numer PESEL oraz dane osobowe szczególnych kategorii w postaci danych dotyczących zdrowia) i ich ujawnienie mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to Podmiot przetwarzający, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych m.in. poprzez działania zmierzające do optymalnej możliwości blokowania dostępu do poczty e-mail. 146. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której w oparciu o kryteria wskazane w art. 32 ust. 1 i 2 rozporządzenia 2016/679 w ramach zachodzących procesów przetwarzania danych osobowych, w tym procesów przetwarzania dokonywanych na powierzonych danych, w szczególności powinno się zinwentaryzować zasoby biorące udział w procesach przetwarzania, zidentyfikować zagrożenia, w tym mogące je wykorzystać podatności odnoszące się do wykorzystywanych zasobów, oraz istniejące zabezpieczenia, a następnie określić adekwatne środki bezpieczeństwa (zarówno te o charakterze technicznym, jak i te o charakterze organizacyjnym). 4.2 Brak przeprowadzenia analizy ryzyka i oceny adekwatności środków bezpieczeństwa. 147. Odnosząc powyższe do ustaleń przedmiotowej sprawy wskazać należy, że Podmiot przetwarzający wyjaśnił, iż „stosuje środki techniczne i organizacyjne, adekwatne do świadczonych usług, które stale aktualizuje”, na dowód czego przesłał szczegółowy wykaz tych środków, stanowiący załącznik nr 1 do pisma z 11 kwietnia 2022 r. Dalej Podmiot przetwarzający wyjaśnił, że „w zależności od usług stosujemy adekwatne do ich świadczenia zabezpieczenia. Załączone zestawienie zabezpieczeń odnosi się zarówno do systemów, na których przechowywane są dane klientów jak i systemów wspomagających”, a także „Wdrożona analiza ryzyka obejmująca procesy przetwarzania danych osobowych wynikających z usług posiadanych przez Szpital identyfikuje je w (…)”. Na dowód powyższego Administrator przedstawił arkusze stanowiące załączniki nr 2 i nr 3 do ww. pisma. 148. Mając na uwadze zaprezentowane wyjaśnienia oraz przedstawione dowody na ich potwierdzenie, w pierwszej kolejności należy wskazać, że z załącznika nr (…) oznaczonego „Projekt (…)” nie wynika, aby wskazane tam zabezpieczenia zostały ustalone na podstawie analizy ryzyka. Zatem dowód ten nie potwierdza, że Podmiot przetwarzający stosuje „środki techniczne i organizacyjne, adekwatne do świadczonych usług”. Załącznik ten stanowi jedynie tabelaryczny wykaz „wymogów”, z możliwością adnotacji, czy „wymóg” jest spełniony „tak” lub „nie”. Przy czym, z załącznika nie wynika, o jakie wymogi chodzi. 149. Samo przedstawienie listy „wymogów” nie stanowi w konsekwencji potwierdzenia, że Podmiot przetwarzający wdrożył środki bezpieczeństwa odpowiednie do ryzyka. Wobec braku przeprowadzenia analizy ryzyka (o czym w dalszej części uzasadnienia decyzji), takie środki należy uznać za dowolne. 150. Na podstawie przedstawionych formularzy analizy ryzyka (załączniki nr 2 i 3 do ww. pisma), nie można także uznać, że stanowiły one podstawę do podjęcia decyzji, co do stosowania środków bezpieczeństwa, a tym bardziej w zależności od świadczonej usługi. 151. Przedstawione przez Podmiot przetwarzający formularze analizy ryzyka odnosiły się bowiem do procesów oznaczonych jako: „Realizacja zgłoszeń technicznych dotyczących usług klienta za zakresem obowiązków Biura (…)” oraz „Realizacja zgłoszeń w zakresie produktów oferowanych”. Wskazane w tych formularzach skutki naruszeń atrybutów danych osobowych podlegające ochronie nie pozostawiają żadnych wątpliwości, że przeprowadzona analiza ryzyka odnosiła się jedynie do ryzyk związanych z obsługą klienta w ramach zgłoszeń kierowanych przez tych klientów. Zatem wskazane jako dowody formularze analizy ryzyka nie odnoszą się do świadczenia usługi będącej przedmiotem powierzenia przetwarzania danych osobowych przez Szpital, a jedynie do procesu obsługi zgłoszeń związanych z realizacją tej usługi. 152. Jak wynika z wyjaśnień Podmiotu przetwarzającego wskazanych w pkt 67 uzasadnienia decyzji, Podmiot przetwarzający nie dostosowywał zabezpieczeń danych gromadzonych na prowadzonych przez niego skrzynkach poczty elektronicznej w zależności od kategorii danych wskazanych w zawieranej umowie powierzenia, zwłaszcza jeśli powierzane zostają szczególne kategorie danych. Podmiot przetwarzający wyjaśnił, że świadczy daną usługą o jednakowym standardzie bezpieczeństwa każdemu klientowi, który z niej korzystał. 153. Mając na uwadze powyższe, wyjaśnić należy, że samo stosowanie jednolitego standardu zabezpieczeń nie przesądza jeszcze o niezgodności z art. 32 rozporządzenia 2016/679. Podmiot przetwarzający powinien jednak być w stanie wykazać, że przyjęty standard zabezpieczeń odpowiada ryzyku związanemu z przetwarzaniem danych osobowych, w tym również danych szczególnych kategorii. Tymczasem zgromadzony materiał dowodowy nie pozwala na przyjęcie, że Podmiot przetwarzający dokonał takiej oceny lub w inny sposób zweryfikował, czy stosowane przez niego środki techniczne i organizacyjne są odpowiednie do ryzyka wiążącego się z przetwarzaniem powierzonych mu danych osobowych. 154. Ponadto, Podmiot przetwarzający wyjaśnił, że usługa poczty elektronicznej dostępna klientom K. (…) w ramach usług hostingowych oferuje ten sam, optymalny poziom zabezpieczeń. Jednak nie był w stanie przedstawić analizy ryzyka, na podstawie której mógłby wskazać, że określany przez niego jako „optymalny” poziom zabezpieczeń został dobrany z uwzględnieniem ryzyk związanych z przetwarzaniem powierzanych danych osobowych. Dotyczy to zarówno analizy przeprowadzonej dla konkretnego klienta, jak i oceny wykonanej dla całej usługi lub grupy klientów korzystających z tej usługi. 155. Również nie jest uprawnione twierdzenie Podmiotu przetwarzającego, że „Żaden dostawca na świecie nie oferuje indywidualnych rozwiązań dla serwera pocztowego klientów hostingu”, jako okoliczności zwalniającej go z zastosowania środków bezpieczeństwa odpowiednich do ryzyka. Przepis art. 32 rozporządzenia 2016/679 nie wymaga od podmiotu przetwarzającego tworzenia indywidualnych rozwiązań technicznych dla każdego klienta. Wymaga natomiast, aby podmiot przetwarzający był w stanie wykazać, że stosowane przez niego środki techniczne i organizacyjne zapewniają poziom bezpieczeństwa odpowiadający ryzyku przetwarzania danych osobowych. 156. W okolicznościach przedmiotowej sprawy Podmiot przetwarzający w procedurze ogłoszenia przetargu był jedynym z czterech podmiotów, który odpowiedział na ogłoszenie. W umowie powierzenia przetwarzania danych osobowych, którą sam opracował, Podmiot przetwarzający zobowiązał się wdrażać środki techniczne i organizacyjne adekwatnie do ryzyka, wprost odwołując się do art. 32 rozporządzenia 2016/679. Zatem powinien przed zawarciem umowy powierzenia przetwarzania danych osobowych przeprowadzić analizę ryzyka i ustalić, czy uważany przez niego za „optymalny” standard zabezpieczeń jest odpowiedni do zapewnienia bezpieczeństwa danym osobowym, które zostaną mu powierzone. Podmiot przetwarzający takiej analizy ryzyka jednak nie przeprowadził. 157. Analizy takiej Podmiot przetwarzający nie przeprowadził również w trakcie trwania umowy powierzenia przetwarzania danych osobowych. Tymczasem rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Podmiot przetwarzający samodzielnie ma przeprowadzić szczegółową analizę powierzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiej orientacji jest rezygnacja z list wymagań w zakresie bezpieczeństwa narzuconych przez prawodawcę na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom i podmiotom przetwarzającym nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. 158. Tym samym nie można uznać, aby Podmiot przetwarzający przeprowadził analizę ryzyka na potrzeby zapewnienia bezpieczeństwa powierzonych mu przez Szpital danych osobowych. 159. Słusznie zauważa Wojewódzki Sad Administracyjny w wyroku z 27 lutego 2024 r., sygn. akt II SA/Wa 1404/23, wskazując, że „(…) nie ulega wątpliwości to, że aby analiza ryzyka została w ogóle przeprowadzona w sposób właściwy, winny być (…) prawidłowo zdefiniowane zagrożenia, mogące wystąpić w procesie przetwarzania danych”. 160. Wystarczy tylko wskazać, że Podmiot przetwarzający dokonywał blokady kont pocztowych w sytuacji możliwości wysyłania spamu, a więc bezprawnego dostępu do konta pocztowego. Zatem był świadomy takiego zagrożenia, bowiem podejmował środki bezpieczeństwa w celu zaprzestania rozsyłania spamu. Jednak nie przedstawił w związku z chociażby takimi incydentami bezpieczeństwa analizy ryzyka, co potwierdza dowolność stosowanych środków bezpieczeństwa bez przeprowadzenia takiej analizy. 161. Wyjaśnić należy, że wobec braku przeprowadzenia analizy ryzyka, nie zostało ustalone ryzyko, do którego zarówno Podmiot przetwarzający, jak i Prezes UODO, mógłby odnieść „odpowiedniość”. Jak wynika z art. 32 ust. 1 rozporządzenia 2016/679, podmiot przetwarzający wdraża nie środki dowolne, a środki odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze wystąpienia. W sytuacji, w której podmiot przetwarzający nie określi ryzyka, nie można uznać, aby środki były odpowiednie (adekwatne) do nieustalonego ryzyka. Słusznie zauważa Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 26 sierpnia 2020 r., sygn. akt II SA/Wa 2826/19 (utrzymanym w mocy przez NSA wyrokiem z dnia 28 lutego 2024 r. sygn. akt III OSK 3839/21), że „Przepis ten nie wymaga od administratora danych [i podmiotu przetwarzającego - uwaga wł.] wdrożenia jakichkolwiek środków technicznych i organizacyjnych, które mają stanowić środki ochrony danych osobowych, ale wymaga wdrożenia środków adekwatnych. Taką adekwatność oceniać należy pod kątem sposobu i celu, w jakim dane osobowe są przetwarzane, ale też należy brać pod uwagę ryzyko związane z przetwarzaniem tych danych osobowych, które to ryzyko charakteryzować się może różną wysokością” i „Przyjęte środki mają mieć charakter skuteczny, w konkretnych przypadkach niektóre środki będą musiały być środkami o charakterze niwelującym niskie ryzyko, inne - muszą niwelować ryzyko wysokie, ważne jednak jest, aby wszystkie środki (a także każdy z osobna) były adekwatne i proporcjonalne do stopnia ryzyka.” 4.3 Ochrona dostępu do kont użytkowników - mechanizm blokowania dostępu. 162. Odnosząc się do kwestii bezpieczeństwa wskazać należy, że z materiału dowodowego wynika, iż Podmiot przetwarzający stosował mechanizm ochrony kont pocztowych polegający (…). 163. Mechanizm ten polegał na (…). 164. W praktyce zatem system ten nie wprowadzał trwałej blokady adresu IP, lecz jedynie czasowe ograniczenia (tzw. karencję). Co kluczowe, rozwiązanie to skupiało się wyłącznie na źródle (adres IP), a nie na atakowanym zasobie (konto e-mail), co nie uniemożliwiało atakującemu prowadzenia dalszych prób z wykorzystaniem zmiennych adresów IP (w szczególności polskich, nieobjętych blokadą automatyczną). Podmiot przetwarzający wprowadził bowiem automatyczną blokadę adresów IP, jednak tylko takich, które nie miały polskiej geolokalizacji. 165. Natomiast jedyną blokadą konta e-mail, przewidzianą przez Podmiot przetwarzający, była „blokada administracyjna” w przypadku wykrycia przez systemy wysyłki e-mail kwalifikowanej jako spam. Wówczas administratorzy K. (…) zmieniali hasło do skrzynek e-mail na podstawie logów SMTP (poczty wychodzącej) lub po otrzymaniu zgłoszeń, które mogą świadczyć o wysyłce spamu. 166. Jednocześnie nie przewidziano blokady samego konta użytkownika, ani mechanizmu ograniczającego liczbę nieudanych prób logowania w odniesieniu do konkretnego użytkownika. W konsekwencji, mimo formalnego wprowadzenia ograniczenia liczby prób z danego adresu IP, możliwe było prowadzenie skutecznych ataków typu „brute force” lub „credential stuffing” (automatyczne wykorzystywanie wcześniej ujawnionych loginów i haseł) przy użyciu zmiennych adresów IP, posiadających polską geolokalizację. 167. W okresie od zawarcia umowy powierzenia przetwarzania danych osobowych do dnia wystąpienia naruszenia ochrony danych osobowych powszechnie dostępne były narzędzia i usługi umożliwiające atak słownikowy na konta pocztowe z automatyczną rotacją adresów IP (m.in. sieci botnet, usługi proxy o zmiennych adresach IP, sieć Tor, czy komercyjne rozwiązania VPN z dynamiczną alokacją adresów). W związku z tym blokowanie jedynie adresów IP nie stanowiło skutecznego środka zabezpieczającego przed nieuprawnionym dostępem do kont pocztowych użytkowników. 168. Natomiast jeszcze raz należy podkreślić, ze Podmiot przetwarzający w zawartej umowie powierzenia przetwarzania danych osobowych, której wzór sam opracował, zobowiązał się stosować „w celu przetwarzania powierzonych mu danych osobowych środki techniczne i organizacyjne (w rozumieniu art. 32 Rozporządzenia) adekwatne do rodzaju powierzonych mu danych osobowych, zgodnie z opisem tych danych dokonanym przez Administratora danych w § 2 ust. 1 umowy”. Jak wynika ze wskazanego postanowienia umowy (opisanego w pkt 12 uzasadnienia decyzji), Administrator powierzył Podmiotowi przetwarzającemu do przetwarzania dane osobowe o wysokie wadze, których naruszenie atrybutu poufności mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ponadto, dane osobowe dotyczyły następujących kategorii osób: pacjentów, pracowników, osób ubiegających się o zatrudnienie oraz kontrahentów. Podkreślić także ponownie należy, że Podmiot przetwarzający był jedynym (z czterech) podmiotem, który odpowiedział na zapytanie ofertowe Szpitala: „(…) na okres 12 m-cy”, na podstawie którego zostało mu udzielone zamówienie. 169. Mając na uwadze powyższe, Podmiot przetwarzający powinien uwzględnić kryterium stanu wiedzy technicznej i wdrożyć odpowiednie do ryzyka środki technicznie i organizacyjne zapewniające poziom bezpieczeństwa powierzonych danych osobowych o rzeczywistym optymalnym standardzie. 170. W omawianym okresie nie wdrożono dodatkowych mechanizmów weryfikujących. (…). 171. Brak wdrożenia odpowiednich zabezpieczeń, a w szczególności najbardziej popularnego jak blokowania konta użytkownika po określonej próbie logowania przy jednoczesnym jedynie ograniczeniu się do blokady adresu IP, należało zatem ocenić jako zastosowanie środka technicznego niewystarczającego w świetle obowiązujących w omawianym okresie standardów bezpieczeństwa i zasad wynikających z art. 32 rozporządzenia 2016/679. Tego rodzaju rozwiązanie nie spełniało standardów wynikających z art. 32 ust. 1 i 2 rozporządzenia 2016/679, które nakładają na podmiot przetwarzający obowiązek wdrożenia środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku, z uwzględnieniem m.in. stanu wiedzy technicznej, kontekstu, charakteru i zakresu przetwarzania, co stanowi o naruszeniu tego przepisu. 4.4 Kwalifikacja prawna stwierdzonych naruszeń. 172. Mając na uwadze powyższe, ale również to, że Podmiot przetwarzający nie przeprowadził analizy ryzyka dla zapewnienia bezpieczeństwa przetwarzania powierzonych danych osobowych w ramach świadczenia „zewnętrznej usługi poczty e-mail” oraz w oparciu o zabrany w sprawie materiał dowodowy i stanowiska zaprezentowane przez Podmiot przetwarzający, Prezes UODO nie mógł przyjąć, że Podmiot przetwarzający dla zapewnienia stopnia bezpieczeństwa danych osobowych przetwarzanych w ramach świadczenia usługi poczty e-mail, odpowiadającego ryzyku, uwzględnił stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, i w konsekwencji wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, co stanowi o naruszeniu art. 32 ust. 1 rozporządzenia 2016/679. 173. Ponadto, wobec braku przeprowadzenia analizy ryzyka, w tym braku ustalenia „odpowiedniości” środków bezpieczeństwa, nie można uznać, aby Podmiot przetwarzający dokonał oceny, czy stopień bezpieczeństwa jest odpowiedni, przy uwzględnieniu w szczególności ryzyka wiążącego się z przetwarzaniem, wynikającego m.in. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowanych lub w inny sposób przetwarzanych, co stanowi o naruszeniu art. 32 ust. 2 rozporządzenia 2016/679. Jednocześnie brak podjęcia przez Podmiot przetwarzający, w związku z zawarciem umowy powierzenia przetwarzania danych osobowych, odpowiednich środków, które powinny zostać ustalone na podstawie analizy ryzyka, i wymaganych na mocy art. 32 ust. 1 i 2 rozporządzenia 2016/679, stanowi o naruszeniu art. 28 ust. 3 lit. c) rozporządzenia 2016/679. 174. W tym miejscu należy odnieść się do wskazanych przez Administratora, jak również Podmiot przetwarzający przyczyn naruszenia ochrony danych osobowych. Jak wyjaśnił Prezes UODO na wstępie niniejszej decyzji, przedmiotowe zgłoszenie naruszenia ochrony danych osobowych było impulsem dla Prezesa UODO do zainteresowania się poziomem zapewnienia bezpieczeństwa przetwarzanych danych osobowych, przy wykorzystaniu systemu poczty elektronicznej. Ustalenie konkretnej przyczyny naruszenia ochrony danych osobowych nie jest niezbędne dla wykazania naruszenia przepisów rozporządzenia 2016/679. Podkreślić należy, że zarówno administrator, jak również podmiot przetwarzający, nie odpowiadają za naruszenie ochrony danych osobowych, a za naruszenie przepisów rozporządzenia 2016/679, w szczególności dotyczących obowiązku zapewnienia odpowiedniego do ryzyka bezpieczeństwa przetwarzania danych osobowych. Naruszenie tych przepisów może w konsekwencji prowadzić do wystąpienia naruszenia ochrony danych osobowych, ale samo wystąpienie naruszenia ochrony danych osobowych nie świadczy automatycznie o odpowiedzialności ww. podmiotów (zob. wyrok WSA w Warszawie Wojewódzki z 10 kwietnia 2025 r., sygn. II SA/Wa 1266/24; wyrok NSA z 9 lutego 2023 r., sygn. III OSK 3945/21). 5. Uzasadnienie zastosowanych środków naprawczych. 175. Działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie: 1) Administratorowi w zakresie stwierdzonego naruszenia przepisów: a) art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679 - upomnienia; b) art. 28 ust. 1 rozporządzenia 2016/6/79 - upomnienia; c) art. 35 ust. 1 w zw. z art. 35 ust. 3 rozporządzenia 2016/679 - upomnienia; 2) Podmiotowi przetwarzającemu w zakresie stwierdzonego naruszenia przepisów art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 rozporządzenia 2016/679 - upomnienia. 176. Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne - oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące. 177. Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem za naruszenie art. 28 ust. 1 rozporządzenia 2016/679 jest udzielenie Administratorowi upomnienia. Za powyższym w szczególności przemawia okoliczność, że Administrator był organizacyjnie przygotowany do stwierdzenia, czy K. (…) daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, co znalazło swój wyraz w opracowanych procedurach. Ponadto, Prezes UODO uznał, że zaistniały ogólne przesłanki (np. certyfikat ISO/IEC 27001), na podstawie których Administrator przed zawarciem umowy powierzenia przetwarzania danych osobowych mógł dokonać oceny, czy Podmiot przetwarzający daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Ponadto Administrator przed zawarciem umowy powierzenia ustalił wykaz środków bezpieczeństwa (pkt 17 uzasadnienia decyzji), które miały na celu zapewnić bezpieczeństwo powierzonym danym osobowym 178. W konsekwencji uznano, że stwierdzone naruszenie nie wynikało z całkowitego braku działań po stronie Administratora w zakresie weryfikacji Podmiotu przetwarzającego. 179. Na korzyść Administratora należy zaliczyć także okoliczności, które wskazują, że jest on świadomy swoich zaniedbań w zakresie realizacji obowiązku wynikającego z art. 28 ust. 1 rozporządzenia 2016/679 oraz podjął działania, które dają rękojmię braku w przyszłości naruszenia wymogu weryfikacji podmiotu przetwarzającego, zarówno przed zawarciem umowy powierzenia przetwarzania danych osobowych, jak również w trakcie jej obowiązywania. 180. Podobnie Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem za naruszenie art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679 jest udzielenie Administratorowi upomnienia. Za okoliczność łagodzącą, która za tym przemawia, Prezes UODO uznał, że Administrator podjął szereg działań naprawczych w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia (nowa serwerownia, wymiana sprzętu oraz oprogramowania - umożliwiające wdrożenie wspieranych i bezpiecznych systemów poczty elektronicznej, wprowadzenie dodatkowych procedur). Wskazać należy, że w okresie naruszenia ww. przepisów Administrator był w trakcie budowy nowej serwerowni, gdzie wartość inwestycji została określona na 7 mln złotych, z czym wiązała się gruntowana wymiana infrastruktury IT oraz oprogramowania. Administrator zgłosił do Prezesa UODO naruszenie ochrony danych osobowych, a samo naruszenie ochrony danych osobowych nie dotyczyło wielkiej liczby osób. Ponadto, w ocenie Prezesa UODO Administrator realizował obowiązek regularnego testowania, mierzenia i oceny stosowanych środków technicznych i organizacyjnych, o którym mowa w art. 32 ust. 1 lit. d) rozporządzenia 2016/679. Powyższe znalazło swój wyraz w przeprowadzanych audytach i inspekcjach, w ramach których stwierdzano, zagrożenia. Na niektóre zagrożenia Administrator odpowiadał, dokonując m.in. zmiany procedury, przeprowadzając szkolenia, wydając newslettery, komunikaty oraz wysyłając wiadomości e-mail do pracowników. Wskazać należy, że na podstawie audytu z 8 lutego 2021 r. Administrator stwierdził ograniczenia funkcjonalne użytkowanego serwera pocztowego. Z rekomendacji m.in. wynika, że wymagane było przeprowadzenie analizy rynku w celu sprawdzenia możliwości modernizacji dotychczas użytkowanego serwera pocztowego, porównanie z innymi dostępnymi na rynku systemami, przeprowadzenie analizy kosztowej oraz oceny ryzyka. W konsekwencji Administrator z własnej inicjatywy, choć zdecydowanie spóźnionej, to jednak podejmował działania, aby zwiększyć bezpieczeństwo powierzonych danych osobowych w zakresie zastosowania technicznych środków bezpieczeństwa zwracając się do Podmiotu przetwarzającego o możliwość wdrożenia konkretnych funkcjonalności. Powyższe okoliczności nie zostały przez Prezesa UODO pominięte i zostały ocenione jako okoliczności łagodzące dla Administratora. 181. Ponadto, przy podejmowaniu decyzji o odstąpieniu od nałożenia na Szpital administracyjnej kary pieniężnej Prezes UODO uwzględnił odpowiednie wdrożenie w sprawy dotyczące ochrony danych osobowych inspektora ochrony danych, które nie było obojętne dla podniesienia poziomu bezpieczeństwa przetwarzania danych osobowych. Wskazać należy, że w ramach prowadzonego postępowania Administrator przedstawił dowody na zaangażowanie inspektora ochrony danych w sprawy, które miały ścisły związek z przedmiotem niniejszego postępowania. Realizowane przez IOD (opisane m.in. w pkt I.7 uzasadnienia decyzji) audyty, szkolenia, licznie wydawane broszury, rekomendacje, wysyłane wiadomości e-mail, szczegółowe analizy zajętości pojemności skrzynek pocztowych i odpowiednia reakcja - były odpowiedzią na stwierdzone ryzyka. Na podstawie obszernego materiału dowodowego Prezes UODO nie miął wątpliwości, że inspektor ochrony danych był w sposób właściwy i niezwłoczny włączany w procesy objęte przedmiotem postępowania i rzetelnie realizował swoje obowiązki, realnie przyczyniając się do poprawy bezpieczeństwa przetwarzanych danych osobowych. 182. Powyższe okoliczności (opisane w pkt 178 uzasadnienia decyzji, jak również okoliczności stanowiące o udzieleniu Szpitalowi upomnienia za naruszenie art. 5 ust. 1 lit. f) i ust. 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i ust. 2) uzasadniają również udzielenie Administratorowi upomnienia za naruszenia art. 35 ust. 1 w zw. z art. 35 ust. 3 lit. b) rozporządzenia 2016/679. Rozporządzenie 2016/679 nakłada na administratorów obowiązek wdrożenia odpowiednich środków pozwalających zapewnić przestrzeganie przepisów rozporządzenia 2016/679 oraz możliwość wykazania przestrzegania tych przepisów, uwzględniając m.in. „ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia” (art. 24 ust. 1). Obowiązek przeprowadzania przez Administratora oceny skutków dla ochrony danych w przedmiotowych okolicznościach został odniesiony w kontekście jego ogólnego obowiązku, jakim jest właściwe zarządzanie ryzykiem. Podnieść bowiem należy, że wskazany w zawiadomieniu o wszczęciu postępowania administracyjnego przedmiot postępowania dotyczył naruszenia przepisów dotyczących odpowiedniego do ryzyka bezpieczeństwa przetwarzania danych osobowych, do czego impulsem było naruszenie ochrony danych osobowych. Powyższa okoliczność wyznaczyła przedmiot postępowania administracyjnego oraz odniosła zakres do danych osobowych przetwarzanych w ramach przejętego konta e-mail, co w konsekwencji stanowiło podstawę do poprzestania na udzieleniu Administratorowi upomnienia również w związku z wyżej stwierdzonymi okolicznościami łagodzącymi. 183. Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem za naruszenie art. 32 ust. 1 i 2 w zw. z art. 28 ust. 3 rozporządzenia 2016/679 jest udzielenie Podmiotowi przetwarzającemu upomnienia. Za okoliczność łagodzącą, która za tym przemawia, Prezes UODO uznał podejmowane przez Podmiot przetwarzający działania na rzecz podniesienia poziomu bezpieczeństwa przetwarzania danych osobowych. Podmiot przetwarzający wdrożył dodatkowe mechanizmy bezpieczeństwa w postaci szyfrowania poczty oraz usługi (…). Również stworzył nowy panel poczty e-mail, o wyższym standardzie bezpieczeństwa i pracował nad udostępnieniem możliwości przejścia poczty Administratora do nowego panelu. Choć powyższe działania nie były podejmowane na podstawie analizy ryzyka, to nie zostały pominięte przez Prezesa UODO. 184. Również za poprzestaniem na udzieleniu Podmiotowi przetwarzającemu upomnienia przemawia uwidoczniona na etapie postępowania wyjaśniającego świadomość, co do naruszenia przepisów rozporządzenia 2016/679 i zadeklarowane działania naprawcze. Jak wyjaśnił K. (…), zgodnie z rekomendacjami nowego IOD przy współpracy z nowym Szefem Działu (…) w K. (…) odbywa się wtórne mapowanie procesów oraz identyfikacja posiadanych zasobów, które następnie będą podlegały analizie ryzyka. 185. Ponadto, Podmiot przetwarzający stwierdził konieczność wdrożenia zabezpieczeń związanych z logowaniem, więc poinformował, że „podjęte zostały prace analityczne, a obecnie projekty są na etapie uruchamiania produkcyjnego”. Przeprowadzony w listopadzie 2021 r. niezależny audyt wykazał m.in. konieczność budowy zespołu bezpieczeństwa, stąd od stycznia 2022 r. zatrudniony został Dyrektor (…), który odpowiada za wzmocnienie bezpieczeństwa. Przeprowadzane są także testy bezpieczeństwa, aby zidentyfikować podatności i uczynić systemy bardziej odpornymi na zagrożenia. 186. Powyższe okoliczności uzasadniają udzielenie Administratorowi i Podmiotowi przetwarzającemu upomnień za stwierdzone naruszenia przepisów rozporządzenia 2016/679, co zapewni także, aby w przyszłości podobne zdarzenia nie miały miejsca. Niemniej jednak, gdyby podobne zdarzenia powtórzyły się w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora lub Podmiotu przetwarzającego będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679. 6. Umorzenie postępowania. 187. W toku postępowania wyjaśniającego Prezes UODO nie stwierdził, aby Administrator naruszył art. 38 ust. 1 rozporządzenia 2016/679. Szczegółowo wyjaśnione w pkt 178 uzasadnienia decyzji okoliczności stanowiły podstawę do podjęcia decyzji o umorzeniu postępowania jako bezprzedmiotowego - względem możliwości naruszenia przez Szpital art. 38 ust. 1 rozporządzenia 2016/679, zgodnie z którym administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. 188. „Stosownie do postanowień art. 105 § 1 Kpa, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Przesłanka umorzenia postępowania może istnieć jeszcze przed wszczęciem postępowania, co zostanie ujawnione dopiero w toczącym się postępowaniu, a może ona powstać także w czasie trwania postępowania, a więc w sprawie już zawisłej przed organem administracyjnym” [B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego. Komentarz, 14. wydanie, Wydawnictwo C.H. Beck, Warszawa 2016, s. 491]. W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji. [1] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pdf

Analiza z kontekstem sprawy

Co ta decyzja oznacza dla Twojej sprawy?

Zapytaj o skutki rozstrzygnięcia, podstawę prawną albo argumenty do wykorzystania. AnyLawyer rozpocznie od tej konkretnej sprawy.

Zapytaj AnyLawyer o tę decyzję

Informacje o sprawie

Rodzaj
decision
Data ogłoszenia
11 czerwca 2026
Słowa kluczowe
Zdrowie, nieuwzględnienie zasad ochrony danych osobowych w fazie projektowania i domyślnej ochrony danych, naruszenie obowiązków ciążących na podmiocie przetwarzającym, niewydanie upoważnienia do przetwarzania danych, niewdrożenie odpowiednich środków technicznych i organizacyjnych bezpieczeństwo przetwarzania, niezawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych, brak oceny skutków dla ochrony danych, w sytuacji, gdy jest wymagana, związane ze szczególnym statusem inspektora ochrony danych, naruszenie zasad przetwarzania, dopuszczalność przetwarzania danych szczególnie chronionych, upomnienie, analiza ryzyka, bezpieczeństwo przetwarzania, dane dotyczące zdrowia, integralność i poufność, minimalizacja danych, ocena skutków przetwarzania dla ochrony danych, phishing, podmiot przetwarzający, powierzenie przetwarzania, rozliczalność, rzetelność i przejrzystość, szyfrowanie, wysokie ryzyko, zabezpieczenie danych, zdrowie, zgodność z prawem, zgłaszanie naruszeń, środki techniczne i organizacyjne

Źródło urzędowe: Urząd Ochrony Danych Osobowych