10 wrze­śnia 2019 r. Pre­zes Urzę­du Ochro­ny Danych Oso­bo­wych wydał decy­zję o sym­bo­lu ZSPR.421.2.2019, któ­ra w swo­jej sen­ten­cji nało­ży­ła na More​le​.net sp. z o.o. karę pie­nięż­ną w wyso­ko­ści 2.830.410 zł¹. Kara ta zosta­ła uza­sad­nio­na naru­sze­niem prze­pi­sów art. 32 ust. 1 lib b i d oraz art. 32 ust. 2 ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych (2016/679)².

Mając na uwa­dze moje kon­se­kwent­ne wyra­ża­ne poglą­dy doty­czą­ce pro­ble­mu stan­da­ry­za­cji w ogól­nym roz­po­rzą­dze­niu o ochro­nie danych oraz pierw­szą pol­ską decy­zję doty­czą­cą tego zagad­nie­nia – tekst ten będzie pró­bą kry­tycz­ne­go odnie­sie­nia przed­sta­wia­ne­go poglą­du dok­try­nal­ne­go do spo­so­bu rozu­mie­nia pro­ble­mu stan­da­ry­za­cji przez PUODO.

Tuszowanie wycieku i utrata integralności danych — dwa naruszenia

W pierw­szych komen­ta­rzach doty­czą­cych decy­zji w spra­wie More​le​.net wyda­je się, że wszy­scy komen­tu­ją­cy sku­pia­ją się na jed­nym tyl­ko naru­sze­niu jako bez­po­śred­niej przy­czy­nie nało­że­nia kary przez PUODO. Zwró­cić jed­nak nale­ży uwa­gę, iż z per­spek­ty­wy defi­ni­cji naru­sze­nia ochro­ny danych oso­bo­wych zawar­tej w art. 4 pkt 12 ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych oso­bo­wych, dojść mogło do dwóch typów naru­szeń (nie­za­leż­nie od tego ile razy się one powtórzyły).

Porząd­ku­jąc jed­nak stan fak­tycz­ny, nale­ży wska­zać, że More​le​.net sp. z o.o. pro­wa­dzi 11 skle­pów inter­ne­to­wych, któ­re łącz­nie mają oko­ło 2,2 mln uni­kal­nych klien­tów. Spół­ka w listo­pa­dzie zaczę­ła otrzy­my­wać sygna­ły mogą­ce świad­czyć o uzy­ska­niu dostę­pu do danych przez oso­by nie­upraw­nio­ne. Nie­ste­ty spo­sób komu­ni­ko­wa­nia przez More​le​.net oko­licz­no­ści incy­den­tu budził licz­ne kon­tro­wer­sje, głów­nie ze wzglę­du na pró­by tuszo­wa­nia tego fak­tu ³ jak i bar­dzo dużą zwło­kę w powia­do­mie­niu osób, któ­rych dane oso­bo­we były przed­mio­tem naru­sze­nia⁴.

Sposób udokumentowania środków zabezpieczenia technicznego i organizacyjnego

Z tre­ści decy­zji PUODO może­my dowie­dzieć się m.in., że spół­ka More​le​.net sto­so­wa­ła odfor­ma­li­zo­wa­ny spo­sób oce­ny ryzy­ka. Ozna­cza to, że spół­ka nie posia­da­ła doku­men­tów mogą­cych potwier­dzić, iż ewa­lu­acja ryzy­ka i oce­na skut­ków dla ochro­ny danych zosta­ły zre­ali­zo­wa­ne. Co cie­ka­we — taki spo­sób dzia­ła­nia wyda­je się w peł­ni zgod­ny z prze­pi­sa­mi art. 24–35 roz­po­rzą­dze­nia 2016/679, lecz ze wzglę­du na nad­rzęd­ną zasa­dę roz­li­czal­no­ści zawar­tą w art. 5 ust. 2 roz­po­rzą­dze­nia 2016/679 wyda­je się jed­nak w spo­sób nie­wy­star­cza­ją­cy dowo­dzić pra­wi­dło­wo­ści reali­za­cji takiej oce­ny. Nie da się zatem dowieść, do jakich stan­dar­dów lub norm odno­si­ła się spół­ka More​le​.net, ewa­lu­ując ryzy­ko i oce­nia­jąc skut­ki dla ochro­ny danych.

Nale­ży jed­nak pod­kre­ślić, że obo­wią­zek taki w żaden spo­sób nie wyni­ka z roz­po­rzą­dze­nia, a ewen­tu­al­ną powin­no­ścią jest raczej odnie­sie­nie kon­kret­nych środ­ków tech­nicz­nych i orga­ni­za­cyj­nych do nor­my w chwi­li podej­mo­wa­nia pró­by oce­ny spo­so­bu ich doboru.

Ustalanie standardów

Już na eta­pie odpo­wie­dzi na zawia­do­mie­nie o wsz­czę­ciu postę­po­wa­nia peł­no­moc­nik More​le​.net pod­niósł bowiem nie­zwy­kle donio­sły pro­blem prak­tycz­ny – pró­bę usta­le­nia stan­dar­dów tech­nicz­nych i orga­ni­za­cyj­nych środ­ków bez­pie­czeń­stwa w dzia­łal­no­ści gospo­dar­czej przed­się­bior­ców w obsza­rze e‑commerce o ska­li i cha­rak­te­rze podob­nym do ska­li i cha­rak­te­ru dzia­łal­no­ści More​le​.net w 2018 r. Z zagad­nie­niem tym powią­za­ne zosta­ły oczy­wi­ście dwie kwe­stie doty­czą­ce sta­nu fak­tycz­ne­go doty­czą­ce oceniania:

1. czy środ­ki tech­nicz­ne i orga­ni­za­cyj­ne sto­so­wa­ne przez More​le​.net odpo­wia­da­ły stan­dar­dom środ­ków bez­pie­czeń­stwa w dzia­łal­no­ści gospodarczej;
2. czy środ­ki tech­nicz­ne i orga­ni­za­cyj­ne sto­so­wa­ne przez More​le​.net były odpo­wied­nie uwzględ­nia­jąc stan wie­dzy tech­nicz­nej, koszt wdra­ża­nia oraz cha­rak­ter, zakres, kon­tekst i cele prze­twa­rza­nia oraz ryzy­ko naru­sze­nia praw lub wol­no­ści osób fizycz­nych o róż­nym praw­do­po­do­bień­stwie wystą­pie­nia i wadze zagrożenia.

Mając na uwa­dze spo­sób redak­cji art. 32 roz­po­rzą­dze­nia 2016/679 i fakt prze­rzu­ce­nia odpo­wie­dzial­no­ści pole­ga­ją­cej na koniecz­no­ści oce­ny ryzy­ka z usta­wo­daw­cy na admi­ni­stra­to­ra danych⁵ pyta­nia te wyda­ją się być uzasadnione.

Z tre­ści decy­zji nie wyni­ka to w spo­sób bez­po­śred­ni, ale wnio­sek taki nale­ży trak­to­wać jako pró­bę uzy­ska­nie nie­za­leż­nej eks­per­ty­zy doty­czą­cej aktu­al­ne­go pozio­mu wie­dzy tech­nicz­nej (wyra­żo­nej w posta­ci stan­dar­du czy normy).

Arty­kuł 32 nakła­da­jąc na admi­ni­stra­to­ra obo­wią­zek samo­dziel­ne­go oce­nie­nia czy wdro­żo­ne przez nie­go środ­ki tech­nicz­ne i orga­ni­za­cyj­ne są odpo­wied­nie – to zna­czy czy zapew­nia­ją sto­pień bez­pie­czeń­stwa odpo­wia­da­ją­cy ryzy­ku nie udzie­la żad­nych wska­zó­wek doty­czą­cych ewen­tu­al­nej kon­kre­ty­za­cji tego dzia­ła­nia. Taka kon­struk­cja art. 32 jest prze­ja­wem zasa­dy neu­tral­no­ści tech­no­lo­gicz­nej prze­pi­sów roz­po­rzą­dze­nia 2016/679.

Spo­sób oce­ny wyma­ga­nej przez art. 32 odpo­wied­nio­ści środ­ków tech­nicz­nych i orga­ni­za­cyj­nych nale­ży uznać za moż­li­wy na kil­ka sposobów:

1. opar­cie się o tzw. kodek­sy postę­po­wa­nia, o któ­rych mowa w art. 40 roz­po­rzą­dze­nia 2016/679;
2. opar­cie się o reko­men­da­cje, o któ­rych mowa w art. 48 uodo;
3. opar­cie się o wła­sną wie­dzę administratora;
4. opar­cie się o inne stan­dar­dy branżowe.

Ponad powyż­sze, ogól­ne roz­po­rzą­dze­nie o ochro­nie danych (2016/679) prze­wi­du­je moż­li­wość prze­pro­wa­dze­nia tzw. cer­ty­fi­ka­cji (art. 42 roz­po­rzą­dze­nia). Zgod­nie z art. 16 usta­wy o ochro­nie danych oso­bo­wych ⁶ kry­te­ria cer­ty­fi­ka­cji udo­stęp­nia na swo­jej stro­nie pod­mio­to­wej w Biu­le­ty­nie Infor­ma­cji Publicz­nej PUODO. Do chwi­li obec­nej jed­nak w Biu­le­ty­nie Infor­ma­cji Publicz­nej kry­te­ria takie nie zosta­ły opu­bli­ko­wa­ne przez PUODO.

Kodeksy postępowania

Kodek­sy postę­po­wa­nia, o któ­rych mowa w art. 40 roz­po­rzą­dze­nia 2016/679 mają na celu pomóc w jego wła­ści­wym sto­so­wa­niu m.in. poprzez usta­le­nie stan­dar­dów doty­czą­cych wie­dzy tech­nicz­nej — zatem tak­że, w speł­nie­niu wymo­gów art. 32 roz­po­rzą­dze­nia. Nie­ste­ty sko­rzy­sta­nie z kodek­sów dobrych prak­tyk nie jest obec­nie moż­li­we. Prze­wi­dzia­ny w art. 27 uodo tryb ich zatwier­dza­nia nie został do tej pory ani razu wyko­rzy­sta­ny. PUODO do tej pory nie zatwier­dzi­ło ani jed­ne­go kodeksu.

Rekomendacje Rady ds. Ochrony Danych Osobowych

Na mocy art. 48 uodo Rada do Spraw Ochro­ny Danych Oso­bo­wych wyko­nu­je swo­je zada­nia, do któ­rych nale­żą m.in. opra­co­wy­wa­nie pro­po­zy­cji reko­men­da­cji okre­śla­ją­cych środ­ki tech­nicz­ne i orga­ni­za­cyj­ne sto­so­wa­ne w celu zapew­nie­nia bez­pie­czeń­stwa prze­twa­rza­nia danych oso­bo­wych. Żaden spo­śród człon­ków Rady do Spraw Ochro­ny Danych Oso­bo­wych do dzi­siaj nie został jed­nak powo­ła­ny, jak rów­nież nie został usta­no­wio­ny regu­la­min Rady.

Własna wiedza administratora

Kolej­nym z roz­wią­zań uczy­nie­nia za dość wymo­gom art. 32 roz­po­rzą­dze­nia 2016/679 jest po pro­stu sko­rzy­sta­nie z wła­snej wie­dzy admi­ni­stra­to­ra doty­czą­cej sta­nu wie­dzy tech­nicz­nej w celu zapew­nie­nia stop­nia bez­pie­czeń­stwa odpo­wia­da­ją­ce­go ryzy­ku zwią­za­ne­mu z prze­twa­rza­niem danych. Roz­wią­za­nie to jest jed­nak dość trud­ne w reali­za­cji, głów­nie ze wzglę­du na pro­blem pole­ga­ją­cy na koniecz­no­ści pozy­ska­nia i zwe­ry­fi­ko­wa­nia aktu­al­ne­go sta­nu wie­dzy tech­nicz­nej. Dla zło­żo­nych roz­wią­zań tech­no­lo­gicz­nych prze­twa­rza­ją­cych dane oso­bo­we, skła­da­ją­cych się czę­sto z wie­lu róż­nych, wza­jem­nie od sie­bie zależ­nych ele­men­tów infra­struk­tu­ry IT, pozy­ska­nie tego typu wie­dzy czę­sto jest zada­niem po pro­stu trud­nym — zagad­nie­nia te obej­mu­ją zazwy­czaj kil­ka obsza­rów nauk tech­nicz­nych, mogą być trud­no dostęp­ne ze wzglę­du na ochro­nę tajem­nic lub wła­sno­ści inte­lek­tu­al­nej oraz pra­co­chłon­ność pole­ga­ją­cą po pro­stu na opra­co­wa­niu dane­go zaso­bu wie­dzy⁷.

Oparcie się o standardy branżowe…

Alter­na­ty­wą do korzy­sta­nia z wła­snej wie­dzy przez admi­ni­stra­to­ra jest moż­li­wość sko­rzy­sta­nia przez nie­go z goto­wych opra­co­wań takiej wie­dzy. Mają one naj­czę­ściej for­mę stan­dar­dów bran­żo­wych, będą­cych de fac­to zbio­ra­mi prak­tyk. Do naj­po­pu­lar­niej­szych z nich może­my w pierw­szej kolej­no­ści zali­czyć takie rodzi­ny norm jak ISO/IEC (roz­wi­ja­ne przez Inter­na­tio­nal Orga­ni­za­tion for Standardization/International Elec­tro­tech­ni­cal Com­mis­sion), RFC (będą­ce skró­tem od Requ­est for Com­ments wyda­wa­nych przez Inter­net Engi­ne­ering Task For­ce), OASIS (roz­wi­ja­ne przez Orga­ni­za­tion for the Advan­ce­ment of Struc­tu­red Infor­ma­tion Stan­dards) czy nor­my ITU (wyda­wa­ne przez Inter­na­tio­nal Tele­com­mu­ni­ca­tion Union).

…i pogląd PUODO na taką możliwość

Pró­ba uczy­nie­nia zadość wymo­gom art. 32 roz­po­rzą­dze­nia 2016/679 przez bar­dzo dłu­gi czas była prze­mil­cza­na w dok­try­nie⁸. Z satys­fak­cją nale­ży zatem przy­jąć komen­to­wa­ną decy­zję PUODO w spra­wie More​le​.net, któ­ra wyda­je się wresz­cie pod­no­sić zagad­nie­nie korzy­sta­nia z bran­żo­wych stan­dar­dów dla kon­kret­nych roz­wią­zań informatycznych.

PUODO wska­zał jed­no­znacz­nie, że wska­zów­ki kon­kre­ty­zu­ją­ce to, jaki jest stan wie­dzy tech­nicz­nej pozwa­la­ją­cy zde­cy­do­wać jakie czyn­ni­ki nale­ży brać pod uwa­gę przy dobo­rze wła­ści­wych środ­ków tech­nicz­nych i orga­ni­za­cyj­nych, o któ­rych mowa w art. 32, są zawar­te m.in. w nor­mie PN-EN ISO/IEC 27001:2017–06. Powo­łu­jąc się na tę nor­mę, PUODO w ogó­le odwo­łał się do „obo­wią­zu­ją­cych” stan­dar­dów i norm, w szcze­gól­no­ści zaś norm takich jak ISO, opra­co­wa­nia Euro­pej­skiej Agen­cji ds. Bez­pie­czeń­stwa Sie­ci i Infor­ma­cji (ENISA), The Open Web Appli­ca­tion Secu­ri­ty Pro­ject (OWASP) czy Naro­do­we­go Insty­tu­tu Stan­da­ry­za­cji i Tech­no­lo­gii (ang. Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy, NIST).

Pew­ne zdzi­wie­nie może budzić fakt odwo­ła­nia się przez PUODO do „obo­wią­zu­ją­cych” stan­dar­dów i norm. Wyda­je się, że bar­dziej ade­kwat­ne było­by po pro­stu odwo­ły­wa­nie się do aktu­al­nych norm i stan­dar­dów. Regu­la­cje te bowiem nie mają cha­rak­te­ru narzu­ca­nych pod­mio­tom norm, a raczej zbio­rów wie­dzy uzna­wa­nej w bran­ży za pewien wyznacz­nik postę­po­wa­nia zgod­ne­go z naj­lep­szy­mi prak­ty­ka­mi⁹.

Sposób pojmowania ryzyka

Jako autor tego arty­ku­łu z jed­nej stro­ny odczu­wam  satys­fak­cję, bo wska­zy­wa­ne prze­ze mnie roz­wią­za­nie pro­ble­mu sta­nu wie­dzy tech­nicz­nej z art. 32 roz­po­rzą­dze­nia 2016/679 zosta­ło z jed­nej stro­ny przy­ję­te przez PUODO jako dzia­ła­nie uza­sad­nio­ne. Z dru­giej stro­ny jed­nak nie­po­ko­ją­cy w oma­wia­nej decy­zji wyda­je się spo­sób poj­mo­wa­nia ryzy­ka przez PUODO. Jest ono przed­sta­wia­ne jako zagad­nie­nie doty­czą­ce ści­śle tech­nicz­nych zagad­nień, takich jak uzy­ska­nie dostę­pu do danych przez oso­by nieupoważnione.

Wyda­je się jed­nak, że zgod­nie z tre­ścią art. 32 roz­po­rzą­dze­nia 2016/679 oraz kom­ple­men­tar­ne­go wzglę­dem nie­go art. 24 tego roz­po­rzą­dze­nia, ryzy­ko powin­no być poj­mo­wa­ne przede wszyst­kim jako moż­li­wość naru­sze­nia praw lub wol­no­ści osób fizycz­nych — nie jako moż­li­wość naru­sze­nia danych. Kon­se­kwen­cją nie­pra­wi­dło­we­go poj­mo­wa­nia ryzy­ka przez PUODO jest wyklu­cze­nie takich zagro­żeń jak np. wtór­ne ryzy­ko kra­dzie­ży toż­sa­mo­ści czy han­dlu toż­sa­mo­ścia­mi osób, wzglę­dem któ­rych ryzy­ko nie­upraw­nio­ne­go dostę­pu do danych się ziściło.

Być może, jeśli spół­ka More​le​.net zde­cy­du­je się na zło­że­nie skar­gi przy­słu­gu­ją­cej jej jako śro­dek odwo­ław­czy od komen­to­wa­nej decy­zji — pozna­my roz­wa­ża­nia sądu doty­czą­ce zakre­su oce­nia­ne­go ryzyka.

1. Decy­zja dostęp­na w sie­ci web pod adre­sem: https://​uodo​.gov​.pl/​d​e​c​y​z​j​e​/​Z​S​P​R​.​4​2​1​.​2​.​2​019 (ostat­ni dostęp: 28.09.2019 r.).
2. Roz­po­rzą­dze­nie Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679 z dnia 27 kwiet­nia 2016 r. w spra­wie ochro­ny danych osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych i w spra­wie swo­bod­ne­go prze­pły­wu takich danych oraz uchy­le­nia dyrek­ty­wy 95/46/WE (ogól­ne roz­po­rzą­dze­nie o ochro­nie danych) (Dz. U. UE L 119/1 tom 59 z 4 maja 2016 r. Decy­zja jest dostęp­na w sie­ci web pod adre­sem https://​uodo​.gov​.pl/​d​e​c​y​z​j​e​/​Z​S​P​R​.​4​2​1​.​2​.​2​019 (ostat­ni dostęp: 28.09.2019 r.).
3. A. Haer­tle, Cze­go nie chcą Wam powie­dzieć w More​le​.net i kto teraz ma Wasze dane, dostęp­ne w sie­ci web pod adre­sem: https://​zaufa​na​trze​cia​stro​na​.pl/​p​o​s​t​/​c​z​e​g​o​-​n​i​e​-​c​h​c​a​-​w​a​m​-​p​o​w​i​e​d​z​i​e​c​-​w​-​m​o​r​e​l​e​-​n​e​t​-​i​-​k​t​o​-​t​e​r​a​z​-​m​a​-​w​a​s​z​e​-​d​a​ne/ (ostat­ni dostęp 28.9.2019 r.).
4. Pierw­sze komu­ni­ka­ty o naru­sze­niach były roz­sy­ła­ne, zgod­nie z rela­cja­mi pra­so­wy­mi, już 18 grud­nia 2018 r., zob. Ł. Krucz­kow­ski, More​le​.net — poważ­ny wyciek danych oso­bo­wych, dostęp­ne w sie­ci web pod adre­sem: https://​www​.kom​pu​ter​swiat​.pl/​a​k​t​u​a​l​n​o​s​c​i​/​b​e​z​p​i​e​c​z​e​n​s​t​w​o​/​m​o​r​e​l​e​n​e​t​-​p​o​w​a​z​n​y​-​w​y​c​i​e​k​-​d​a​n​y​c​h​-​o​s​o​b​o​w​y​c​h​/​z​g​v​s​l7h (ostat­ni dostęp: 28.9.2019 r.).
5. Wię­cej na ten temat K. Mazur, Bez­pie­czeń­stwo prze­twa­rza­nia [w:] M. Jac­kow­ski (red.), Ochro­na danych medycz­nych. RODO w ochro­nie zdro­wia, War­sza­wa 2018, ss. 181–185.
6. Usta­wa z dnia 10 maja 2018 r. o ochro­nie danych oso­bo­wych (tekst jed­no­li­ty Dz. U. 2019 poz. 1781).
7. K. Mazur, Rola zasa­dy neu­tral­no­ści tech­no­lo­gicn­zej w eHe­alth a stan­da­ry­za­cja [w:] M. Jac­kow­ski (red.), Ochro­na…, ss. 250–251
8. Wię­cej na ten temat pisa­łem w K. Mazur, Wpływ ini­cja­tyw poza­le­gi­sla­cyj­nych na stan­da­ry­za­cję eHe­alth [w:] M. Jac­kow­ski (red.), Ochro­na…, s. 244–247.
9. Wię­cej na ten temat pisa­łem w K. Mazur, Wpływ ini­cja­tyw poza­le­gi­sla­cyj­nych na stan­da­ry­za­cję eHe­alth [w:] M. Jac­kow­ski (red.), Ochro­na…, s. 244–247.