W dniu 10 września 2019r. Prezes Urzędu Ochrony Danych Osobowych (PUODO) wydał decyzję (znak sprawy: ZSPR.421.2.2019) o nałożeniu na jeden z polskich sklepów internetowych administracyjnej kary pieniężnej w rekordowej wysokości ponad 2,8 mln złotych. Zdaniem PUODO, naruszenie poufności danych osobowych ponad 2 mln klientów spółki oraz narażenie części z nich na ataki phisingowe stanowiło konsekwencję tego, iż spółka dokonała niewystarczającej oceny zdolności do ciągłego zapewnienia poufności administrowanych przez siebie danych osobowych oraz nie uwzględniła ryzyka związanego z uzyskaniem nieuprawnionego dostępu do bazy danych.

Wybór środków a stan wiedzy technicznej

Co istotne, w uzasadnieniu do powyższej decyzji podjęto próby konkretyzacji sposobu rozumienia przepisów art. 32 ust. 1 RODO, w myśl którego przedsiębiorcy powinni wdrażać takie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa przetwarzanych przez siebie danych osobowych do stwierdzonego przez nich ryzyka (tzw. podejście oparte na ryzyku). W uzasadnieniu do analizowanej decyzji wskazano bowiem jak należy rozumieć stan wiedzy technicznej, który w myśl w/w przepisu RODO należy uwzględnić podczas doboru środków technicznych oraz organizacyjnych.

Standard na podstawie norm i dobrych praktyk

Jak wynika z analizowanej decyzji PUODO „wskazówek konkretyzujących w tym przedmiocie dostarczają obowiązujące standardy i normy, w szczególności normy ISO, które ulegają również ciągłym przeglądom i zmianom warunkowanym postępem technologicznym”. W konsekwencji, zdaniem PUODO, ukarany sklep internetowy powinien był wdrożyć wskazane w uzasadnieniu do decyzji rozwiązania techniczno – organizacyjne (np. mechanizm uwierzytelnienia dwuetapowego, monitorowanie zdarzeń w systemach informatycznych jak również procedura reagowania na zdarzenia niepożądane takie jak nietypowy ruch sieciowy) ponieważ stanowią one rynkowy standard według takich norm i dobrych praktyk jak: PN-EN ISO/IEC 27001:2017-06 (system zarządzania bezpieczeństwem informacji) oraz PN-ISO/IEC 29115:2017 07 (technika informatyczna -- Techniki bezpieczeństwa -- Ramy uzasadnionej pewności poziomów uwierzytelnienia), jak również opisanych w dokumencieAgencji UE ds. bezpieczeństwa sieci i usług informacyjnych (ENISA) pt. „Guidelines for SMEs on the security of personal data processing" oraz dokument Narodowego Instytutu Standaryzacji i Technologii (NIST) pt. “NIT 800-63B: Wytyczne dotyczące tożsamości cyfrowej: uwierzytelnianie i zarządzanie cyklem życia aplikacji.” W związku z powyższym wskazujemy na trzy zagadnienia istotne z punktu widzenia przedsiębiorców.

Stworzenie i uzasadnienie zbioru zasad kontrolnych

W pierwszej kolejności należy stwierdzić, że powyższe normy i dobre praktyki zostały wymienione przez PUODO w treści uzasadnienia do decyzji w kontekście tylko paru naruszeń, jakich zdaniem organu dopuścił się ukarany przedsiębiorca. PUODO nie ukarał bowiem spółki za brak wdrożenia lub niewłaściwe wdrożenie jakiejkolwiek normy lub dobrych praktyk w całości. Zauważamy zatem, że w razie wykazywania przez PUODO innych ewentualnych braków w doborze i zastosowaniu odpowiednich środków bezpieczeństwa może dojść do powołania się na kolejne normy i dobre praktyki.

Wskutek tego przedsiębiorcy powinni być zdolni skutecznie wykazać, dlaczego uznali lub nie daną normę lub kodeks dobrych praktyk (lub ich poszczególne fragmenty) za standard rynkowy, do którego dostosowują swój system w zakresie cyberbezpieczeństwa. W praktyce oznacza to, że należy stworzyć i uzasadnić w trakcie ewentualnej kontroli PUODO stosowany przez siebie zbiór zasad kontrolnych (ang. control framework) służących do oceny tego, czy w trakcie doboru środków stan wiedzy technicznej został uwzględniony czy też nie.

Podstawa kontroli PUODO to zmienna niewiadoma

Po drugie, dodatkową komplikację dla przedsiębiorców stanowi fakt, iż PUODO nie ma obowiązku informować, które normy lub dobre praktyki będą składały się na stosowany przez niego zbiór zasad kontrolnych służących do oceny tego czy dany przedsiębiorca uwzględnił w trakcie wdrażania środków bezpieczeństwa stan wiedzy technicznej czy też nie. Przede wszystkim wynika to z tego, że normy i dobre praktyki ulegają ciągłym przeglądom oraz zmianom, aby nadążyć za postępem technicznym. Nie zapominajmy również o tym, że niektóre zbiory dobrych praktyk dotyczą tylko poszczególnych grup przedsiębiorców. Ponadto występują sektory o podwyższonym standardzie (np. sektory objęte Ustawą o krajowym systemie cyberbezpieczeństwa). W konsekwencji przedsiębiorcy powinni w sposób ciągły doskonalić zarządzany przez siebie system cyberbezpieczeństwa oraz nadać stosowanemu przez siebie zbiorowi zasad kontrolnych dynamiczny oraz zindywidualizowany charakter.

Odpłatne i obcojęzyczne normy to też standard

Po trzecie, zauważamy, że przepis art. 5 ust. 4 Ustawy o normalizacji stanowi jedynie, że Polskie Normy mogą być powoływane w przepisach prawnych po ich opublikowaniu w języku polskim. Powyższe oznacza, że nie ma przeszkód, aby w treści uzasadnienia do decyzji dotyczącej braku stosowania przez przedsiębiorcę odpowiednich środków, o których mowa w art. 32 ust. 1 RODO, PUODO powoływał się na normę, która nie została opublikowana w języku polskim. Wymóg publikacji norm w języku polskim dotyczy bowiem jedynie powoływania się na nie w treści stanowionych przepisów, a nie uzasadnień do decyzji administracyjnych traktujących normy jako konkretyzację art. 32 ust. 1 RODO. Bez znaczenia zdaje się również pozostawać fakt, czy dostęp do treści danej normy jest odpłatny czy też nieodpłatny. Co zrozumiałe, taki stan rzeczy budzi kontrowersje u drobnych i średnich przedsiębiorców co jednak – jak do tej pory – nie zostało zaadresowane przez PUODO.

Paweł Gruszecki, Radca prawny, Partner w TML – Kancelaria Gruszecki
Karolina Kulikowska, prawnik w TML – Kancelaria Gruszecki