9 lutego 2023 roku NSA wydał wyrok (sygn. akt III OSK 3945/21) w głośniej sprawie spółek z grupy Morele. Niewątpliwie wyrok bardzo ważny, choć nie powiedziałbym, że rewolucyjny jak to sugerują niektórzy.
Dlaczego ważny? Bo dotyka moim zdaniem istoty stosowana różnych środków bezpieczeństwa w odniesieniu do danych osobowych i ich adekwatności. Z tych względów ma on również kluczowe znaczenie dla placówek medycznych i zdecydowanie warto go przybliżyć.
Zatem dziś o odpowiednich/adekwatnych środkach bezpieczeństwa wg. NSA. Z odcinka dowiesz się między innymi:
-> Czy można powiedzieć, że określone środki bezpieczeństwa zawsze są odpowiednie?
-> Czy dwuetapowe uwierzytelnienie rozwiąże każdy problem?
-> Czy skuteczny atak na bazę danych sam w sobie skutkuje sankcją administracyjną?
Dzień dobry! Miło mi ponownie powitać wszystkich naszych słuchaczy w odcinku 47. naszego podcastu.
Inspiracją dla przygotowania dzisiejszego odcinka był niedawny, bo z lutego, wyrok Naczelnego Sądu Administracyjnego dotyczący sprawy kary, można powiedzieć w skrócie, kary pieniężnej nałożonej na jedną z większych spółek w Polsce, która zarządza licznymi sklepami internetowymi. Wyrok, który przez niektórych został okrzyknięty wyrokiem rewolucyjnym, wyrokiem, który zmienia całkowicie postrzeganie postępowań prowadzonych przez Urząd Ochrony Danych Osobowych. Czy tak jest? To jest kwestia bardzo dyskusyjna.
Natomiast ja w dzisiejszym odcinku chciałem skoncentrować się na pewnym wycinku zagadnień poruszanych w uzasadnieniu do wyroku Naczelnego Sądu Administracyjnego, która to część ma kluczowe znaczenie dla wszystkich administratorów danych osobowych, a wydaje się, że dla podmiotów leczniczych, ze względu na charakter przetwarzanych danych, ich rozległość może mieć znaczenie szczególne.
Zatem chciałbym tutaj kilka słów powiedzieć na temat kwestii odpowiednich lub adekwatnych środków bezpieczeństwa, środków technicznych i środków organizacyjnych, które są stosowane czy powinny być stosowane w podmiotach leczniczych w zakresie ochrony posiadanych baz danych. Krótkie wprowadzenie dotyczące stanu faktycznego zawartego wyroku, a mianowicie spółka zgłosiła Prezesowi Urzędu już w roku 2018 dwa przypadki naruszenia ochrony danych osobowych. Jeden polegał na nieuprawnionym dostępie do bazy danych klientów sklepów internetowych, drugi na uzyskaniu przez osobę nieupoważnioną dostępu do konta pracownika spółki. Przypadki te zatem są czy mogą być rzeczywiście jak najbardziej spotykane również w ramach podmiotów leczniczych dysponujących bardzo szeroką bazą danych pacjentów, a co za tym idzie posiadających liczną grupę pracowników zarówno medycznych, jak i w pewnym zakresie niemedycznych, którzy dostęp do tej bazy mogą mieć. Przede wszystkim mam tutaj na myśli bazę stanowiącą dokumentację medyczną pacjentów. Bazy te podlegają oczywiście zabezpieczeniom i tutaj należy odwołać się do treści art. 32 RODO, ponieważ on będzie akurat w tym dzisiejszym odcinku pewnym wyznacznikiem i pewną podstawą prawną do rozważań. Artykuł, który stanowi m.in., że administratorzy i podmioty przetwarzające, czyli procesorzy, wdrażają odpowiednie – ustawodawca posługuje się pojęciem odpowiednie, ale oczywiście stosuje się również pojęcie adekwatne – środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, ryzyku naruszenia praw lub wolności osób fizycznych. A zatem mamy z jednej strony kwestię badania ryzyka, czyli określenia ryzyka naruszenia w danej sytuacji, z drugiej zaś kwestię odpowiednich środków technicznych i organizacyjnych.
No i właśnie – środki odpowiednie lub też środki adekwatne. Tak na dobrą sprawę, co to znaczy? Jak w sumie należy rozumieć to pojęcie? W sprawie, która stanowi tę bazę czy inspirację dla naszego dzisiejszego odcinka, kwestia ta miała charakter bardzo kluczowy, albowiem należy powiedzieć, że Urząd Ochrony Danych Osobowych uznał między innymi, że doszło do naruszenia zasad poufności poprzez jedynie częściowe zapewnienie tych odpowiednich środków. I między innymi na tej podstawie nałożył na spółkę karę prawie trzech milionów złotych. Kara bardzo wysoka. Sprawa niezwykle medialna. Jak zatem należy rozumieć tak na dobrą sprawę pojęcie tych środków odpowiednich czy środków adekwatnych? Tutaj należy od razu wskazać na fragment uzasadnienia wyroku Naczelnego Sądu Administracyjnego, który bardzo wyraźnie podkreśla, że „na gruncie przepisów RODO prawodawca odszedł od tak zwanego statycznego określenia tych wymaganych środków na rzecz dynamicznej oceny przyjętych środków bezpieczeństwa”. Tutaj cytuję samo uzasadnienie, czyli statyczna i dynamiczna. Wszyscy na pewno słuchacze pamiętają, że mieliśmy rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 2004 roku, które między innymi właśnie określało katalog stosowanych różnych środków bezpieczeństwa. Te środki przez wielu były oceniane jako nieadekwatne, jako przestarzałe, jako niespełniające potrzeb i nie nadążające de facto za zmieniającą się sytuacją faktyczną i zmieniającą się technologią. Wśród tych środków, wspomnę tylko, był między innymi słynny wymóg zmiany hasła czy zmiany haseł co 30 dni. Bardzo szeroko krytykowany jako nieefektywny z wielu powodów. Wspominam o tym, ponieważ to będzie miało m.in. znaczenie dalej.
Środki techniczne i środki organizacyjne. Należy się zatem zastanowić tak na dobrą sprawę, czy mamy określony, czy istnieje określony katalog środków, które możemy zastosować i mieć tą tak zwaną pewność na poziomie konkretnego podmiotu leczniczego, że jeżeli zastosujemy te środki według tego katalogu, według różnego rodzaju wytycznych, różnych organów, przepisów, norm itd., że ich zastosowanie spowoduje, iż będziemy bezpieczni. Co to znaczy „będziemy bezpieczni”? To znaczy tyle, że nie dojdzie do naruszenia. Czyli na przykład bazując na konkretnym przykładzie, który tutaj omawiamy na konkretnej sprawie, nie dojdzie do naruszenia poprzez nieuprawniony dostęp do bazy danych naszych pacjentów. Jak się okazuje, Naczelny Sąd Administracyjny moim zdaniem bardzo trafnie określa, że taki sposób myślenia jest właściwie absolutnie błędny, ponieważ to jest zupełnie nieprawidłowe spojrzenie na treść art. 32 RODO. Dlaczego? W bardzo takich prostych słowach można określić to w ten sposób – sąd zauważa i to wydaje się bardzo zasadne i bardzo życiowe, że podstawą do ewentualnego ukarania, do nałożenia określonej sankcji administracyjnej, patrząc między innymi na art. 32 RODO, nie jest to, że do samego naruszenia, czyli w tym konkretnym przypadku chociażby nieuprawnionego dostępu do bazy pacjentów doszło. To oczywiście jest pewien skutek, ale tak na dobrą sprawę art. 32 RODO odnosi się do przyczyny. Czyli na tym poziomie kluczowe jest, dlaczego w ogóle do takiego naruszenia doszło, dlaczego do nieuprawnionego dostępu? Dlaczego administrator, czyli podmiot leczniczy lub też procesor oczywiście dopuścił do tego, że do takiego nieuprawnionego dostępu doszło? A jak to się dzieje? No właśnie poprzez zbadanie zastosowanych środków technicznych i organizacyjnych i określenia tego, czy w danej konkretnej sytuacji były one odpowiednie i były one lub też były one adekwatne. Na tym etapie badamy ten tak zwany poziom zabezpieczeń. Czyli celem jest sprawdzenie, czy te środki zastosowane w danej sytuacji spełniły swoją funkcję. Czyli doszło do nieuprawnionego dostępu, doszło do naruszenia, ale do niego i tak, tak na dobrą sprawę, można to myślę, że w dużym skrócie można to tak określić, do niego i tak by doszło, mimo że te zastosowane środki były adekwatne, czyli tak na dobrą sprawę w konkretnej sytuacji administrator wyczerpał ten katalog, czyli nic, co było potrzebne, nie pominął. I to jest tak na dobrą sprawę klucz do zrozumienia treści art. 32.
Do czego to prowadzi? Bo tutaj bardzo istotne są dalej idące wnioski. To prowadzi, zresztą podkreśla to bardzo wyraźnie sąd we wspomnianym wyroku, a mianowicie prowadzi to do sytuacji, w której tak na dobrą sprawę środki bezpieczeństwa, które u jednego administratora czy w jednej placówce medycznej w danym przypadku będą wystarczające, będą adekwatne, wcale nie muszą być wystarczające w drugim podmiocie.
Tutaj pozwolę sobie wrócić krótko do tej słynnej zmiany hasła co 30 dni. To nie jest tak, że sama w sobie wymuszona zmiana hasła co 30 dni jest czymś złym. Przynajmniej tak ja rozumiem praktyczne przełożenie treści wyroku i właśnie tej argumentacji sądu dotyczącej właściwego rozumienia art. 32. W danej placówce medycznej wyobrażam sobie, że może być to np. placówka nieduża, która nie ma wielu pracowników, nie ma wielu lekarzy, nie ma wielu pacjentów. Ponieważ możemy sobie wyobrazić małe podmioty, które mają ograniczoną ilość pacjentów albo na przykład podmioty, które dopiero zaczynają. W takiej placówce możliwe wydaje się, oczywiście to zależy od konkretnej sytuacji, zastosowanie tego nielubianego zabezpieczenia w postaci wymuszonej zmiany hasła powiedzmy co te 30 dni. Problem z tym akurat konkretnym środkiem bezpieczeństwa m.in. był taki, czy jest taki, że wielu specjalistów twierdzi, że wymiana hasła co 30 dni tak na dobrą sprawę może okazać się zbyt częsta. Pracownicy stosują standardowe rozwiązanie, czyli do dotychczasowego hasła dokładają jeden znak, jedną literę, jedną cyfrę, albo stosują wymiennie dwa hasła. Oczywiście to wszystko zależy od konkretnego systemu informatycznego, który na pewne rzeczy pozwala lub nie, ale jeżeli mamy już rzeczywiście dużą ilość pracowników, którzy zaczną stosować te metody, no to faktycznie ten środek bezpieczeństwa czy jego skuteczność w miarę upływu czasu może się okazać, że po prostu jego skuteczność spada i wręcz przeciwnie może wygenerować w tym momencie problem, czyli to może być ten element ryzyka. Tutaj pojawia się właśnie analiza ryzyka w tym konkretnym przypadku. Czy w tej sytuacji, przy takiej ilości pracowników, przy takiej ilości danych, które są przetwarzane, czy ten środek wręcz nie zwiększa ryzyka naruszenia zasad ochrony danych? Tak przynajmniej ja rozumiem ten przepis czy tę wykładnię dokonaną przez Naczelny Sąd Administracyjny.
Naczelny Sąd Administracyjny w tym konkretnym wyroku posługuje się innym środkiem bezpieczeństwa, ponieważ jak wynika z całych okoliczności sprawy, jednym z bardzo istotnych, z punktu widzenia Urzędu Ochrony Danych Osobowych, zarzutów względem spółki, na którą została nałożona kara pieniężna w wysokości około trzech milionów złotych, jednym z podstawowych błędów w ocenie urzędu było między innymi to, że nie zastosowała dwupoziomowej weryfikacji, inaczej dwuetapowego uwierzytelnienia na etapie dostępu do bazy dla pracowników. Urząd w swoim uzasadnieniu powołuje się na różnego typu standardy i wytyczne, m.in. na chociażby na standardy normy 27001, wskazując, że w różnych dokumentach fakt dwustopniowego czy dwuetapowego uwierzytelnienia jest już pewnym standardem. I oczywiście nie sposób się nie zgodzić z tym, że dwuetapowe uwierzytelnienie jest pewnym standardem i jest ono stosowane bardzo powszechnie, ale Naczelny Sąd Administracyjny podkreśla, że jasne, to jest bardzo ważny środek bezpieczeństwa, ale należy dokonać ścisłej oceny, czy w tych warunkach, w warunkach tego konkretnego stanu faktycznego, to również będzie ten odpowiedni środek bezpieczeństwa czy adekwatny środek bezpieczeństwa. Być może wystarczająca to już jest, absolutnie w tym momencie mój dodatek, być może wystarczająca byłaby czy jest jednoetapowe uwierzytelnienie, które w spółce było zastosowane. I tutaj to prowadzi do bardzo istotnego wniosku już na etapie pewnego podsumowania. Każdy przypadek jest inny. Zatem każdy przypadek w tym kontekście w konkretnym podmiocie leczniczym, jeżeli chodzi o środki bezpieczeństwa, powinien być oceniany indywidualnie. No właśnie, z uwzględnieniem chociażby liczby pracowników, z uwzględnieniem liczby pacjentów, z uwzględnieniem tego, jakie bazy w ogóle w poszczególnych placówkach istnieją. I to trzeba sobie powiedzieć, że nie mówimy tutaj, omawiamy wyrok, który wskazuje na przede wszystkim informatyczne środki bezpieczeństwa, ale nie zapominajmy, że w placówkach medycznych mamy cały czas szereg placówek, chociażby placówki medycyny pracy, które są uprawnione do posługiwania się nadal papierową dokumentacją medyczną. A zatem te różne rozważania dotyczące środków bezpieczeństwa, różnych w zależności od sytuacji, musimy przenosić nie tylko na zabezpieczenia informatyczne, elektroniczne, ale nadal na zabezpieczenia dokumentów prowadzonych w formie papierowej.
Nie mogę pominąć jednego z bardzo istotnych elementów tego wyroku, czyli kwestii opinii biegłego. Należy tutaj przypomnieć, że spółka już na etapie postępowania przed Urzędem Ochrony Danych Osobowych złożyła wniosek dowodowy o powołanie biegłego, który dysponuje odpowiednią wiedzą specjalistyczną, ażeby zbadać chociażby właśnie kwestię adekwatności, między innymi adekwatności stosowanych środków bezpieczeństwa w tym konkretnym przypadku, w tym danym przypadku, który jest przedmiotem czy był przedmiotem tejże sprawy. Urząd Ochrony Danych Osobowych nie uwzględnił tego wniosku, co Naczelny Sąd Administracyjny na etapie już wyrokowania uznał za jedną z okoliczności, które miały znaczenie dla sprawy i miały znaczenie dla pozytywnego, można powiedzieć, wyroku dla skarżącej spółki. Oczywiście należy tutaj się odwołać też do art. 84 kodeksu postępowania administracyjnego, który wskazuje m.in., że gdy w sprawie wymagane są wiadomości specjalne, organ administracji publicznej może zwrócić się do biegłego lub biegłych o wydanie opinii. Urząd Ochrony Danych wskazał na to sformułowanie, organ może, czyli organ nie musi. W tym konkretnym przypadku organ uznał, że dysponuje odpowiednią wiedzą, ażeby ocenić m.in. stosowane środki bezpieczeństwa. Naczelny Sąd Administracyjny nie zgodził się z tym podejściem, ale dlaczego nie zgodził się z tym podejściem? Bo to jest, drodzy Państwo, najważniejszy element. Naczelny Sąd Administracyjny oczywiście przyznał rację. To nie podlegało żadnej dyskusji, iż przepis wskazuje na możliwość, a nie konieczność powoływania biegłego. Ale ponownie mamy tutaj do czynienia z konkretnymi okolicznościami danej sprawy. W tym konkretnym przypadku, proszę Państwa, spółka skarżąca dysponowała ponad dwoma milionami rekordów zawierających dane osobowe ich klientów, ponad 2 miliony rekordów. Dodatkowo bardzo wysoka kara. Dodatkowo sam fakt tej wielkości bazy.
To wszystko w ocenie Naczelnego Sądu Administracyjnego miało kluczowe znaczenie. Sprawa, jak to NSA podkreśliło, ma charakter precedensowy. No właśnie ze względu na te okoliczności. Czyli biorąc pod uwagę te wszystkie okoliczności faktyczne w tej konkretnej sprawie i ponownie, co sąd podkreślił, nie zarzucając absolutnie pracownikom Urzędu Ochrony Danych Osobowych, iż nie dysponują kompetencjami, w ocenie NSA urząd powinien rozważyć i powinien w tym momencie rozważyć kwestię powołania biegłego, który między innymi oceniłby, czy te konkretne środki bezpieczeństwa były adekwatne. Przypominam wykładnię dokonaną przez NSA art. 32. To właśnie kwestia naruszenia jest powiązana nie z samym faktem, że doszło do nieuprawnionego dostępu, ale czy zastosowano wszystkie środki bezpieczeństwa, czy może nie wszystkie, odpowiednie, ażeby temu zapobiec, ale niestety do takiej sytuacji doszło. Czyli ten element ma charakter absolutnie kluczowy i to w ocenie Naczelnego Sądu Administracyjnego, już tak upraszczając bardzo, to był błąd urzędu, a jeden z argumentów kluczowych na etapie wyrokowania.
Natomiast ja chciałbym tutaj bardzo wyraźnie podkreślić jedno jeszcze raz, jedną istotną rzecz. To nie oznacza, że no właśnie, to nie jest rewolucja, to nie oznacza absolutnie tyle, że w każdym przypadku teraz podmiot leczniczy, na który zostanie nałożona kara pieniężna, chociażby w zakresie naruszenia tych środków, czyli zastosowania odpowiednich środków, będzie w każdym przypadku domagał się, czy będzie składał wniosek o biegłego i oczekiwał, że urząd ten wniosek rozpatrzy pozytywnie. To cały czas jest możliwość. To wszystko zależy od konkretnej sytuacji. Przypomnę, tutaj mieliśmy ponad 2 miliony rekordów. Mogę sobie zatem wyobrazić, że taki wniosek zostałby przez sąd uznany za zasadny w odniesieniu do bardzo dużego szpitala klinicznego, który dysponuje ogromną bazą danych pacjentów obecnych, byłych, archiwalną itd. Mogę sobie coś takiego wyobrazić. Natomiast niewielki podmiot, niewielka poradnia, która tej bazy nie ma dużej, ponownie, nie ma dużo pracowników. To jest cały ten szereg okoliczności faktycznych. Tutaj wydaje mi się, że powołanie biegłego raczej może, czy mogłoby okazać się niemożliwe.
Jednocześnie jednakże bardzo istotny element, na który Naczelny Sąd Administracyjny również wskazał – postępowanie przed Urzędem Ochrony Danych Osobowych jest postępowaniem sankcyjnym i postępowaniem jednoinstancyjnym. Czyli krótko mówiąc, administrator, który jest podmiotem, że tak powiem, w takim postępowaniu, nie ma możliwości odwołania w trybie administracyjnym. Nie ma możliwości złożenia wniosku o ponowne rozpoznanie. To, co może zrobić, to złożyć skargę do sądu administracyjnego. Zatem czy w danym przypadku, czy ocena czy w danym przypadku te określone środki są odpowiednie, czy też nie, ma charakter bardzo, bardzo indywidualny. To, co jest kluczowe, i to również sąd podkreśla, to dynamiczny i ciągły proces badania tych środków i analizowania ryzyka wystąpienia określonych naruszeń. I tu z punktu widzenia podmiotu leczniczego to również ma wręcz kluczowy charakter.
Naczelny Sąd Administracyjny podkreśla, że nie wystarczy wdrażanie określonych, nazwijmy to w dużym skrócie, poprawek bezpieczeństwa. Czyli jeżeli znajdziemy w wyniku np. prowadzonego audytu w jakimś szpitalu, znajdziemy dziurę w bezpieczeństwie w zakresie danych osobowych, nie wystarczy jej załatanie. Konieczne jest również w pewnym sensie przewidywanie tego, co będzie się działo w przyszłości i reagowanie tak, aby te środki były odpowiednie i były adekwatne. Katalog tych środków absolutnie nie jest katalogiem zamkniętym. Mamy standardy, mamy wytyczne, możemy je stosować. Ich zastosowanie niewątpliwie, jak widać z punktu widzenia przynajmniej postępowania przed Urzędem Ochrony Danych Osobowych, ma bardzo istotne znaczenie. Natomiast to nie są elementy, które w każdej sytuacji są jednakowe i których zastosowanie no chociażby wspomniana przeze mnie ta zmiana hasła co 30 dni. Nie jest to element, który zawsze będzie rozwiązaniem i który zawsze będzie zły lub dobry. To wszystko zależy od konkretnej sytuacji.
Proszę Państwa, w tej sprawie, która stanowi podstawę naszego dzisiejszego odcinka, wyrok Naczelnego Sądu Administracyjnego był jednoznaczny. Sąd uchylił zaskarżony wyrok i zaskarżoną decyzję. To oczywiście nie zamyka tej sprawy. Natomiast nie stanowi to też, co jest podkreślane przez wielu specjalistów, nie stanowi aż takiej rewolucji. Zwłaszcza w kontekście właśnie tej kwestii opinii biegłego, ponieważ to nie jest jakaś ogromna zmiana. To jest po prostu prawidłowa, jak się wydaje, wykładnia. I tutaj rzeczywiście moim zdaniem ja polecam treść tego wyroku Państwa uwadze, ponieważ zwłaszcza w odniesieniu do fragmentu dotyczącego odpowiednich środków technicznych.
Szanowni Państwo, na dziś to wszystko w naszym odcinku. Bardzo serdecznie dziękuję za uwagę i już zapraszam na kolejny odcinek naszego podcastu. Do usłyszenia!