II SA/WA 1044/24

II SA/Wa 1044/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-03-14
orzeczenie nieprawomocne
Data wpływu
2024-06-26
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Dorota Kozub-Marciniak
Ewa Radziszewska-Krupa /przewodniczący sprawozdawca/
Łukasz Krzycki
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 119 pkt. 2, 120, 3 §1, 134 §1, 57a , 106 §3, 145 §1 lit. c i a,151,
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Dz.U. 2023 poz 775
art. 11, 8, 77 § 1, 80, 107 §3,
Ustawa z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j.)
Dz.U. 2022 poz 2492
art. 1§1 i 2
Ustawa z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa (spr.), Sędzia WSA Łukasz Krzycki, Asesor WSA Dorota Kozub-Marciniak, , po rozpoznaniu w trybie uproszczonym w dniu 14 marca 2025 r. sprawy ze skargi [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2024 r. nr [...]. w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
I. Stan sprawy przedstawia się następująco:
1. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej "Prezesem UODO") decyzją z [...] kwietnia 2024r. nr [...].
1) udzielił [...] S.A. z siedzibą w [...] (zwana dalej "Skarżącą") upomnienia za naruszenie art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE L 119 z 4 maja 2016r., s. 1, Dz.Urz.UE L 127 z 23 maja 2018r., s. 2 oraz Dz.Urz.UE L 74 z 4 marca 2021 r., s. 35, zwane dalej "RODO") polegające na ujawnieniu danych osobowych I.P. (zwana dalej "Uczestniczką") podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki;
2) odmówił uwzględnienia wniosku w pozostałym zakresie.
W podstawie prawnej decyzji powołano ponadto art. 104 § 1 ustawy z 14 czerwca 1960r. Kodeks postępowania administracyjnego (Dz.U. z 2024r., poz. 572 ze zm., zwana dalej "k.p.a.") w związku z art. 7 ust. 1 i 2 ustawy z 10 maja 2018r. o ochronie danych osobowych (Dz.U. z 2019r., poz. 1781, zwana dalej "u.o.d.o."), art. 5 ust. 1 lit. f, art. 6 ust. 1, art. 28 ust. 1 oraz art. 58 ust. 2 lit. b RODO.
Prezes UODO w uzasadnieniu decyzji wskazał, że do UODO wpłynęła skarga Uczestniczki na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Skarżącą, polegające na naruszeniu ochrony jej danych osobowych przez ich ujawnienie w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Skarżącej. Uczestniczka wniosła o: nakazanie Skarżącej prawidłowego zabezpieczenia jej danych osobowych oraz pokrycia zobowiązań finansowych w przypadku posłużenia się jej danymi.
Prezes UODO ustalił, że Uczestniczka zawarła [...] listopada 2017r. ze Skarżącą umowę sprzedaży energii, ale ze względu na zawarcie jej z naruszeniem prawa, umowę rozwiązano, z pomocą Powiatowego Rzecznika Konsumentów w Sejnach.
Uczestniczka 29 kwietnia 2020r. otrzymała od Skarżącej informację o naruszeniu bezpieczeństwa na serwerach Skarżącej i o kradzieży danych osobowych (imię, nazwisko, adres zamieszkania, nr PESEL, nr dowodu osobistego). Zdaniem Uczestniczki, Skarżąca przetwarzając jej dane osobowe, nie zachowała właściwej staranności w zabezpieczeniu tych danych, co spowodowało ich wyciek.
Skarżąca podniosła, że skarga zawiera błędną datę zawarcia umowy kompleksowej sprzedaży energii elektrycznej i błędny nr. Uczestniczka zawarła bowiem ze Skarżącą [...] grudnia 2018r. umowę kompleksowej sprzedaży energii elektrycznej i w związku z tym Uczestniczce przysługiwał 30-dniowy termin na odstąpienie od umowy, z którego nie skorzystała. Uczestniczka w maju 2019r. wypowiedziała umowę ze skutkiem na 30 czerwca 2019r.
Skarżąca [...] maja 2018r. zawarła umowę powierzenia przetwarzania danych z [...] sp. z o.o. (zwana dalej "Spółką"), z którą łączy ją wcześniej zawarta umowa o współpracy. Spółka na podstawie ww. umów przetwarza w imieniu Skarżącej dane osobowe jej klientów, w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki.
Skarżąca wyjaśniła, że 16 kwietnia 2020r. powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych i ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, - Spółki - a naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jednego z portów ww. bazy, znajdującego się w chmurze, nie zabezpieczono hasłem, co umożliwiało osobom nieupoważnionym dostęp do bazy od [...] do [...] kwietnia 2020r. Spółka po stwierdzeniu naruszenia bezpieczeństwa danych osobowych zablokowała dostęp do bazy, przez wdrożenie zabezpieczeń.
Skarżąca 18 kwietnia 2020r. zgłosiła ww. naruszenie do Prezesa UODO i wystąpiła do osób, których dotyczyło naruszenie, informując o zdarzeniu i możliwych konsekwencjach, także po to, by umożliwić podjęcie działań zapobiegawczych. Skarżąca ustaliła też, że w przypadku Uczestniczki doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego, numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących umowy oraz numeru punktu poboru.
Skarżąca w związku z wyciekiem danych zawiadomiła o możliwości popełnienia czynu zabronionego: Prokuraturę Okręgową w [...] - Wydział [...], Komendę Wojewódzką Policji w [...] - Wydział do Walki z Cyberprzestępczością oraz [...] Polska.
W postępowaniu prowadzonym przez Departament Kontroli i Naruszeń UODO ([...]) ustalono, że w wyniku pozostawienia bazy danych klientów na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych (dowód: pismo Dyrektora DKiN UODO z [...] czerwca 2021r.).
Prezes UODO, uwzględniając powyższe wskazał, że Uczestniczka była klientką Skarżącej od [...] grudnia 2018r. do [... ]czerwca 2019r. W tym okresie podstawę prawną przetwarzania przez Skarżąca danych osobowych Uczestniczki stanowił art. 6 ust. 1 lit. b RODO. Po rozwiązaniu umowy łączącej strony podstawę przetwarzania danych osobowych Uczestniczki stanowił art. 6 ust. 1 lit. c RODO, zgodnie z którym przetwarzanie jest zgodne z prawem gdy - i w takim zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Przetwarzanie było niezbędne do wypełniania obowiązku prawnego wynikającego z art. 86 § 1 w związku z art. 70 § 1 ustawy z 29 sierpnia 1997r. Ordynacja podatkowa (Dz.U. z 2023r., poz. 2383 ze zm., zwana dalej "O.p.") i z art. 74 ustawy z 29 września 1994r. o rachunkowości (Dz.U. z 2023, poz. 120 ze zm., zwana dalej "u.r."). Skarżąca po rozwiązaniu umowy posiadała podstawę prawną do dalszego przetwarzania danych Uczestniczki ze względu na ww. przepisy prawa i określone w nich terminy.
Uczestniczka przedmiotem skargi do UODO uczyniła jedynie naruszenie ochrony Jej danych osobowych, nie legalność pozyskania i przetwarzania danych przez Skarżącą.
Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO). Proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się m.in. zasadę poufności (lit. f), do której odwołuje się również motyw 39 RODO. Skarżąca była administratorem danych Uczestniczki, a Spółka podmiotem przetwarzającym. W związku z tym Prezes UODO powołał się na przepisy art. 4 pkt 7 i 8, art. 28 ust. 1, 3, art. 32 RODO.
Zdaniem Prezesa UODO, jakkolwiek Skarżąca była uprawniona do przetwarzania danych osobowych Uczestniczki, ale nie w kwestionowanym zakresie - ujawnienia danych przez ich udostępnienie podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy – Spółki, świadczącej usługi cyfrowego archiwum na rzecz Skarżącej, od [...] do [...] kwietnia 2020r., w tym danych osobowych Uczestniczki - klienta Skarżącej. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] [...] kwietnia 2020r. pomiędzy godz. 19:22 a 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Drugie połączenie trwało od [...] kwietnia 2020r. godz. 23:00 do [...] kwietnia 2020r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Incydent ten doprowadził do naruszenia poufności danych osobowych Uczestniczki w zakresie imienia, nazwiska, adresu, nr PESEL, nr dowodu osobistego, nr kontaktowego/adresu e-mail (jeśli podano), danych dotyczących umowy (nr) oraz nr punktu poboru. Do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym Spółki, jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Skarżącej. W związku z tym Skarżąca ponosi odpowiedzialność za ww. naruszenie. Ujawnienie danych osobowych Uczestniczki podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum odbyło się z naruszeniem przez Skarżącą, jako administratora danych, art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO. Spółka naruszyła zasadę poufności poprzez przetwarzanie danych Uczestniczki w sposób niezapewniający im odpowiedniego bezpieczeństwa.
Prezes UODO z tych względów, korzystając z uprawnienia określonego w art. 58 ust. 2 lit. b RODO, udzielił Skarżącej upomnienia.
Prezes UODO wskazał ponadto, że choć Uczestniczka żądała nakazania Skarżącej prawidłowego zabezpieczenia danych osobowych Uczestniczki i pokrycia zobowiązań finansowych w przypadku posłużenia się jej danymi, to żądania te nie mieszczą się w katalogu uprawnień określonych w rozdziale III RODO (w tym art. 12, 13, 14, 15, 16, 17, 18, 19, 20, 21,22), zatem zależało odmówić uwzględnienia żądania w tym zakresie.
Uczestniczka żądała również od organu nałożenia na Skarżącą kary pieniężnej i wprawdzie uprawnienie to ma umocowanie w art. 58 ust. 2 lit. i RODO, ale podjęcie tego rodzaju działań stanowi autonomiczną decyzję Prezesa UODO, niezależną od woli osoby składającej skargę. Uczestniczka nie może więc żądać od organu działań, które należą wyłącznie do jego autonomii.
2. Skarżąca, reprezentowana przez r.pr. G.B., w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie z 14 maja 2024r. zaskarżyła punkt 1 ww. decyzji Prezesa UODO, zarzucając naruszenie:
a) art. 7, art. 8, art. 11 k.p.a. i art. 107 § 3 i art. 77 § 1 k.p.a. w związku z art. 7 ust. 1 u.o.d.o. - polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do wydania wadliwej i przedwczesnej decyzji;
b) art. 80 k.p.a. w związku z art. 7 ust. 1 u.o.d.o. - polegające na przekroczeniu granic swobodnej oceny dowodów i - w konsekwencji - błędnym przyjęciu, że Skarżąca przetwarzała dane osobowe Uczestniczki bez podstawy prawnej, gdy podstawa ta istniała - art. 6 ust. 1 lit. f i c RODO, a ewentualne naruszenie poufności danych osobowych Uczestniczki nie może zostać zakwalifikowane jako ujawnienie danych przez administratora;
c) art. 6 ust. 1 RODO - polegające na jego błędnym zastosowaniu, skutkującym przyjęciem, że Skarżąca przetwarzała dane osobowe Uczestniczki bez podstawy prawnej, gdy w stanie faktycznym sprawy podstawa istniała - art. 6 ust. 1 lit. f i c RODO.
Skarżąca w związku z zarzutami wniosła o: uchylenie punktu 1 zaskarżonej decyzji; zasądzenie od Prezesa UODO na rzecz Skarżącej kosztów postępowania, w tym kosztów zastępstwa prawnego, według norm przepisanych; rozpoznanie sprawy w trybie uproszczonym, na mocy art. 119 pkt 2 ustawy z 30 sierpnia 2002r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024r., poz. 935 ze zm., zwana dalej "P.p.s.a."), dopuszczenie i przeprowadzenie przez Sąd dowodu z postanowienia Prokuratury Okręgowej w [...] o umorzeniu dochodzenia z [...] kwietnia 2021r. w sprawie o sygn. akt [...] - na okoliczność, że Skarżąca nie dokonywała przetwarzania danych przez ujawnienie ich osobom trzecim, a przeprowadzenie tego dowodu jest niezbędne do wyjaśnienia istotnych wątpliwości i nie spowoduje nadmiernego przedłużenia postępowania.
Skarżąca w uzasadnieniu skargi podniosła, że sentencja decyzji nie odpowiada jej uzasadnieniu, z którego można wnioskować, że karę upomnienia nałożono za naruszenie poufności danych (art. 5 ust. 1 lit. f RODO), ale już z samej sentencji decyzji wynika, że dotyczy ona przetwarzania bez podstawy prawnej (art. 6 ust. 1 RODO) polegającego na ujawnieniu danych osobom nieupoważnionym. Prezes UODO w zaskarżonej decyzji nie ustalił, czy rzeczywiście i w jakim zakresie doszło do naruszenia zasady poufności z art. 5 ust. 1 lit. f RODO w związku z art. 32 i nast. RODO. Dodatkowo stanowisko organu jest niekonsekwentne - z jednej strony wydaje się pomijać stan faktyczny sprawy i czynności, które podjęła Skarżąca, z drugiej przywołuje działania podjęte przez Skarżącą. Decyzja wydana przez Prezesa UODO w sprawie [...], której ustalenia stanowiły podstawę wydania decyzji w sprawie niniejszej, została uchylona w wyniku kontroli sądowej przez WSA w Warszawie wyrokiem z 10 października 2022r. sygn. akt II SA/Wa 567/22. W związku z tym zasadne są ww. zarzuty procesowe sformułowane w skardze.
Prokuratura Okręgowa w [...] postanowieniem z [...] kwietnia 2021r. sygn. akt [...] ([...] czerwca 2021r.) umorzyła dochodzenie: 1) w sprawie uzyskania bez uprawnień w okresie od [...] do [...] kwietnia 2020r. w nieustalonym miejscu za pośrednictwem sieci internet poprzez niezabezpieczony port serwera informacji dla niego nieprzeznaczonej w postaci bazy danych klientów Skarżącej, tj. o czyn z art. 267 § 1 k.k. - wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego; 2) w sprawie przetwarzania, w nieustalonym okresie od [...] do [...] kwietnia 2020r. w [...], danych osobowych klientów Skarżącej, chociaż ich przetwarzanie nie jest dopuszczalne lub bez uprawnienia, tj. o czyn z art. 107 ust. 1 u.o.d.o. - wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego. W uzasadnieniu ww. postanowienia wskazano, że dane personalne klientów Skarżącej przez błąd ludzki pozostawiono na niezabezpieczonym serwerze danych, skąd zostały dwukrotnie skutecznie pobrane przez M.B. i \/.D. Niezwłoczna reakcja dwóch osób i powiadomienie właściciela danych o ich wycieku, uchroniło wskazane informacje przed dalszym skutecznym pobieraniem z serwera i następczym rozpowszechnianiem (s. 9 ww. postanowienia). Bezzasadny jest zatem zarzut Prezesa UODO jakoby Skarżąca nie podjęła określonego działania, bo niezwłocznie po uzyskaniu informacji od ww. osób dostęp do danych został zabezpieczony. Nie zaistniało wobec tego żadnego rodzaju udostępnianie danych klientów Skarżącej osobom nieupoważnionym. Zastosowany przez Prezesa UODO środek prawny – upomnienie - jest nieadekwatny. Zgodnie ze stanowiskiem orzecznictwa "upomnienie" oznacza czynność zwrócenia komuś uwagi, przypomnienia o obowiązkach. W uzasadnieniu zaskarżonej decyzji organ wskazał stan, który uznał za niepożądany i określił go błędnie jako brak uprawnienia do przetwarzania danych osobowych Uczestniczki w zakresie ujawnienia przez ich udostępnienie. Nie wskazał jednak czy i w jakim zakresie Skarżąca uchybiła obowiązkom - poza "udostępnieniem danych", czego nie uczyniła. Organ wskazał, że do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym Spółki, ale nie można zgodzić się z dalszą częścią uzasadnienia decyzji, wedle której w procesie przetwarzania danych osobowych działała Spółka jako podmiot przetwarzający, a zatem w imieniu i na rzecz Skarżącej. W związku z tym Skarżąca ponosi odpowiedzialność za wskazane naruszenie. Organ w płynny sposób przeszedł od "ujawnienia" danych do przypisania Skarżącej odpowiedzialności za "naruszenie bezpieczeństwa danych osobowych", nie dokonując w tym zakresie ustaleń faktycznych. Tymczasem kwestia naruszenia przez Skarżącą poufności danych jest przedmiotem oceny w odrębnym postępowaniu, w którym decyzja organu nr [...] została uchylona przez WSA w Warszawie.
Zdaniem Skarżącej nie sposób przypisać prawodawcy intencji ustanowienia reguły odpowiedzialności administratora za utratę, czy też ujawnienie danych na zasadzie ryzyka. Skarżąca, powołując się na wyrok WSA w Warszawie z 23 czerwca 2022r. sygn. akt II SA/Wa 3752/21, wskazała, że względy wykładni systemowej i celowościowej przemawiają przeciw przyjętej przez organ koncepcji, jakoby zasadne było udzielenie administratorowi danych osobowych - na podstawie art. 58 ust. 2 lit. b RODO - upomnienia wobec indywidualnych skarg w następstwie incydentów utraty danych, niezależnie od okoliczności danego zdarzenia - przyczynienia administratora. Prowadzenie setek postępowań - wobec kolejnych wniosków osób poszkodowanych incydentami, gdzie może dochodzić do jednorazowej utraty tysięcy danych - stanowi bezzasadne obciążenie nie tylko dla podmiotu, od którego dane bezprawnie pozyskano (w niektórych przypadkach pomimo stosowania najwyższej klasy zabezpieczeń - wobec braku uchybienia wymaganiom art. 32 RODO), ale jest także poważnym uszczupleniem środków publicznych, z których utrzymywany jest wyspecjalizowany urząd. Prowadzenie takich postępowań administracyjnych nie służy jednocześnie eliminacji żadnych nieprawidłowości po stronie administratora. Skarżąca zaznaczyła, że w rozpatrywanej sprawie nie doszło do przetwarzania danych osobowych bez podstawy prawnej przez ich udostępnienie podmiotom nieupoważnionym. Zgodnie z art. 4 ust. 2 RODO "ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie" jest rodzajem przetwarzania danych osobowych. Przetwarzanie takich danych musi spełnić wymogi z art. 6 ust. 1 RODO, co m.in. wymaga posiadania podstawy prawnej dla przetwarzania danych zgodnie z prawem. Skarżąca posiadała taką podstawę w postaci umowy z Uczestniczką (art. 6 ust. 1 lit. b RODO), a po wygaśnięciu umowy podstawę stanowił art. 6 ust. 1 lit. f i c RODO. Skarżąca, powołując się na poglądy orzecznictwa wskazała, że pojęcie "przetwarzania" opisuje czynność. Ze swej natury musi mieć ona sprawcę. Konkretna operacja musi być przypisana jednemu sprawcy, zaś kilku tylko gdy współdziałają. W tym kontekście w pełni zasadne jest stanowisko, że incydent – w postaci utraty danych - nie stanowi operacji na tych danych przeprowadzonej przez administratora. Przetworzenia danych - w postaci ich nielegalnego pozyskania - dokonał podmiot trzeci. Wyklucza to przyjęcie, jakoby doszło do przetworzenia danych przez Skarżącą - administratora - bez podstawy prawnej - jak kwalifikował to zdarzenie organ. Za czynność administratora nie można uznać zdarzenia polegającego na nielegalnym uzyskaniu danych z jego zasobów. Odrębną kwestią jest ciążący na administratorze obowiązek zapewnienia integralności danych - ich właściwego zabezpieczenia. Rozumie się przez to zastosowanie środków adekwatnych do przewidywalnych zagrożeń. Celem przetwarzania danych Uczestniczki przez Skarżącą nie było udostępnienie jej danych. Osoby lub podmioty, które potencjalnie mogły uzyskać dostęp do danych osobowych Uczestniczki nie są odrębnymi administratorami danych, na rzecz których ujawnienie nastąpiło. Tak więc w czasie naruszenia bezpieczeństwa danych osobowych Uczestniczki - od 12 do 16 kwietnia 2020r., Skarżąca przetwarzała jej dane osobowe wyłącznie na podstawie art. 6 ust. 1 lit. c, f RODO i nie dokonywała ich udostępnienia innym administratorom. Dostęp do danych przez osoby nieupoważnione należałoby rozważać wyłącznie w kategoriach naruszenia art. 5 ust. 1 lit. f w związku z art. 32 RODO, jednak w tym zakresie organ nie ustalił stanu faktycznego w zakresie pozwalającym na stwierdzenie, że ww. przepisy mogą mieć zastosowanie. Kwestię ujawnienia (lub innego rodzaju udostępnienia) danych bez podstawy prawnej odróżnić należy od przypadków, gdy osoba trzecia uzyskuje dostęp do danych bez działania osoby je przetwarzającej. Jeżeli osoba trzecia złamie zabezpieczenia techniczne chroniące dane osobowe przed dostępem do nich lub ukradnie dokumenty zawierające dane osobowe, to nie będzie to udostępnienie danych osobowych.
3. Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując stanowisko zawarte w zaskarżonej decyzji.
4. Skarżąca w piśmie procesowym z [...] lipca 2024r. w całości podtrzymała stanowisko przedstawione w skardze.
II Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
1. skarga jest niezasadna.
2. Sprawę rozpoznano w trybie uproszczonym, na podstawie art. 119 pkt 2 w związku z art. 120 ustawy z 30 sierpnia 2002r. Prawo o postępowaniu przed sądami administracyjnymi ("P.p.s.a."). Stosownie bowiem do art. 119 pkt 2 P.p.s.a. sprawa może być rozpoznana w trybie uproszczonym, jeżeli strona zgłosi wniosek o skierowanie sprawy do rozpoznania w trybie uproszczonym, a żadna z pozostałych stron w terminie czternastu dni od zawiadomienia o złożeniu wniosku nie zażąda przeprowadzenia rozprawy. W sprawie Skarżąca wniosła o rozpoznanie sprawy w trybie uproszczonym, zaś Prezes UODO nie zażądał przeprowadzenia rozprawy.
Sąd stwierdza ponadto, że zgodnie z art. 1 § 1 i § 2 ustawy z 25 lipca 2002r. - Prawo o ustroju sądów administracyjnych (Dz.U. z 2024r., poz. 1267) oraz art. 3 § 1 P.p.s.a., Sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego.
Sąd, w myśl art. 134 § 1 P.p.s.a., rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).
3. Zdaniem Sądu, skarga oceniana w świetle ww. kryteriów nie zasługiwała na uwzględnienie, bowiem decyzji Prezesa UODO z [...] kwietnia 2024r. w zaskarżonej części - punkt 1 - nie naruszała prawa w stopniu pozwalającym na uwzględnienie skargi. Prezes UODO, wydając zaskarżoną decyzję w zakresie punktu pierwszego nie dopuścił się naruszenia przepisów postępowania administracyjnego w stopniu mogącym mieć istotny wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. c P.p.s.a.) ani przepisów prawa materialnego w stopniu mającym wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. a P.p.s.a.).
Prezes UODO był po pierwsze organem właściwym w sprawie ochrony danych osobowych i jednocześnie organem nadzorczym, w rozumieniu RODO (art. 34 ust. 1 i 2 u.o.d.o.). Każdy organ nadzorczy - jak wynika z art. 57 ust. 1 lit. a i lit. f RODO - bez uszczerbku dla innych zadań określonych na mocy RODO, na swoim terytorium monitoruje i egzekwuje stosowanie RODO, a także rozpatruje skargi wniesione przez osobę, której dane dotyczą.
Zgodnie z art. 77 ust. 1 RODO bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
W rozpoznawanej sprawie Uczestniczka skierowała do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania Jej danych osobowych przez Skarżącą, przez naruszenie ochrony danych osobowych, w związku z wyciekiem tychże danych w okresie od [...] do [...] kwietnia 2020r.
W sprawie było bezsporne, że Uczestniczka była klientką Skarżącej w okresie od [...] grudnia 2018r. do [...] czerwca 2019r. Skarżąca [...] kwietnia 2020r. powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych jej klientów, w tym Uczestniczki. Skarżąca ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego – Spółki - oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy od [...] do [...] kwietnia 2020r. Okoliczności te potwierdzają wyjaśnienia Skarżącej złożone w toku postępowania administracyjnego i treść załączonego do skargi postanowienia Prokuratury Okręgowej w [...] o umorzeniu dochodzenia z [...] kwietnia 2021 r. w sprawie sygn. akt [...], z którego to postanowienia Sąd, na podstawie art. 106 § 3 P.p.s.a., przeprowadził dowód uzupełniający z dokumentów. Skarżąca w swoich wyjaśnieniach z 6 lipca 2020r. przedstawionych Prezesowi UODO w prowadzonym postępowaniu administracyjnym przyznała, że w przypadku Uczestniczki naruszyła poufność danych osobowych w zakresie imienia, nazwiska, adresu, nr PESEL, nr dowodu osobistego, nr kontaktowego/adresu e-mail (jeśli podano), danych dotyczących umowy oraz nr punktu poboru.
Sąd w związku z tym stwierdza, że zgodnie z art. 4 pkt 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
W myśl motywu 26 RODO zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Pseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. (...) RODO nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.
W sprawie rozpoznawanej nie ma wątpliwości, że wymienione wyżej dane stanowią dane osobowe w rozumieniu ww. przepisów. Uczestniczka była bowiem klientem Skarżącej, zatem Prezes UODO trafnie stwierdził, że do dnia rozwiązania przez Uczestniczkę umowy ze Skarżącą przetwarzanie danych osobowych Uczestniczki przez Skarżącą miało podstawę w art. 6 ust. 1 lit. b RODO. Zgodnie z tym przepisem przetwarzanie danych jest dopuszczalne wtedy, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Natomiast podstawą do dalszego przetwarzanie danych osobowych Uczestniczki (po rozwiązaniu umowy łączącej strony) stanowił art. 6 ust. 1 lit. c RODO, zgodnie z którym przetwarzanie jest zgodne z prawem gdy - i w takim zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Prezes UODO prawidłowo przy tym stwierdził, że przetwarzanie danych osobowych Uczestniczki było niezbędne do wypełnienia obowiązku prawnego wynikającego, po pierwsze, z art. 86 § 1 O.p., a po drugie z art. 74 u.r.
Zgodnie z art. 86 ust. 1 O.p. podatnicy obowiązani do prowadzenia ksiąg podatkowych przechowują księgi i związane z ich prowadzeniem dokumenty do czasu upływu okresu przedawnienia zobowiązania podatkowego, chyba że ustawy podatkowe stanowią inaczej. Oznacza to, że dane te podlegają przetwarzaniu przez okres 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (art. 70 § 1 O.p.). Analogicznie, przez okres 5 lat, przetwarzaniu podlegają dane m.in. z ksiąg rachunkowych, czy dowodów księgowych (art. 74 u.r.). Nie ulega zatem wątpliwości, że po rozwiązaniu umowy z Uczestniczką, w dacie ujawnienia (udostępnienia) danych osobom nieuprawnionym, Skarżąca posiadała podstawę prawną do (dalszego) przetwarzania jej danych osobowych.
Prezes UODO w punkcie 1 ww. decyzji udzielił Skarżącej upomnienia za naruszenie art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO, które polegało na udostępnieniu danych osobowych Uczestniczki, podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy (ww. Spółki) świadczącego usługi cyfrowego archiwum na rzecz Skarżącej.
Istota sprawy sprowadzała się zatem do oceny legalności udostępnienia (ujawnienia) danych osobom nieuprawnionym.
Prezes UODO w toku postępowania ustalił, m.in. w oparciu o wyjaśnienia Skarżącej, że od [...] do [...] kwietnia 2020 r. doszło do naruszenia ochrony danych osobowych klientów Skarżącej, w tym danych osobowych Uczestniczki, przez ich ujawnienie podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy – Spółki – która świadczyła usługi cyfrowego archiwum na rzecz Skarżącej. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch, opisanych przez organ w ww. decyzji, nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. W wyniku pierwszego z połączeń [...] kwietnia 2020r. pomiędzy godz. 19:22 a 20:58 mogło dojść do skopiowania danych o rozmiarze ok. 5 MB, natomiast w wyniku drugiego połączenia, które trwało od [...] do [...] kwietnia 2020r. mogło dojść do pobrania danych o wolumenie ok. 11 GB.
Kwestię pobrania danych potwierdza zarówno pismo Skarżącej z 6 lipca 2020r., jak i załączone przez Skarżącą postanowienie o umorzeniu dochodzenia z [...] kwietnia 2021r. Sama Skarżąca w toku postępowania administracyjnego przed Prezesem UODO wskazywała, że w. incydent doprowadził do naruszenia poufności danych osobowych Uczestniczki w ww. zakresie. Jakkolwiek do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym współpracującego ze Skarżącą podmiotu – ww. Spółki - to jednak Spółka ta w procesie przetwarzania danych osobowych działała jako podmiot przetwarzający, a zatem w imieniu i na rzecz Skarżącej. Tym samym, wbrew twierdzeniom zawartym w skardze, Skarżąca ponosi odpowiedzialność za ww. naruszenie. Prawidłowo bowiem Prezes UODO wskazał w uzasadnieniu zaskarżonej decyzji, że zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Skarżąca w rozpoznawanej sprawie skorzystała natomiast z usług podmiotu, który nie zapewnił wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO.
Prezes UODO trafnie więc podniósł, że proces przetwarzania danych osobowych nie był zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę poufności (lit. f), co do której sama Skarżąca uznała, że została naruszona w związku z ww. przetwarzaniem danych osobowych Uczestniczki. Zasada poufności wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zgodnie z motywem 39 RODO dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
Zdaniem Sądu Prezes UODO prawidłowo również zakwalifikował ujawnienie danych osobowych Uczestniczki podmiotom i osobom nieupoważnionym - podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum - jako udostępnienie danych osobowych. Zgodnie bowiem z art. 4 pkt 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Jakkolwiek Skarżąca argumentowała w skardze, że nie dokonywała udostępnienia danych osobowych Uczestniczki innym administratorom, to nieuprawnione udostępnienie (ujawnienie) nie odnosi się tylko do udostępnienia danych na rzecz konkretnego innego administratora, czy podmiotu przetwarzającego. Nieuprawnione udostępnienie (ujawnienie) danych dotyczy każdej sytuacji, gdy z danymi, za których ochronę była odpowiedzialna Skarżąca, miała możliwość zapoznać się jakakolwiek osoba nieuprawniona, co miało miejsce w rozpoznawanej sprawie, a co potwierdza przedłożone przez Skarżącą postanowienie Prokuratury Okręgowej w [...] o umorzeniu dochodzenia w sprawie [...].
W tym zakresie, wbrew zarzutom procesowym skargi, nie doszło do naruszenia żadnego z powołanych w skardze przepisów k.p.a. w stopniu uzasadniającym uchylenie punktu pierwszego ww. decyzji Prezesa UODO.
Podkreślenia wymaga, że istotą sprawy administracyjnej dotyczącej ochrony danych osobowych ze skargi Uczestniczki nie jest ustalenie kwestii odpowiedzialności osoby trzeciej nieupoważnionej, nieuprawnionej do pozyskania danych (skopiowania tych danych, zapoznania się z nimi), ale kwestia odpowiedzialności administratora za zgodność z RODO przetwarzania danych osobowych. Okoliczność, że to nie Skarżąca dokonała bezpośrednio udostępnienia danych Uczestniczki, lecz podmiot przetwarzający (związany ze Skarżącą umową), nie wyłącza odpowiedzialności Skarżącej w zakresie oceny zgodności z prawem tego przetwarzania - udostępnienia danych, zwłaszcza w sytuacji, gdy do udostępnienia (ujawnienia danych) doszło w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze (s. 4 ww. postanowienia o umorzeniu dochodzenia).
Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem. W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji. Zgodnie z zasadą rozliczalności administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie (art. 5 ust. 2 RODO). Ww. przepisy nakładają zatem na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie. Na gruncie RODO pojęcie rozliczalności oznacza odpowiedzialność za przestrzeganie przepisów RODO i możność wykazania ich przestrzegania. Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad.
Skoro w rozpoznawanej sprawie doszło do naruszenia ochrony danych Uczestniczki przez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy Skarżącej, który świadczył usługi cyfrowego archiwum na rzecz Skarżącej w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze, co umożliwiło dostęp do danych (kopiowanie) osobom nieupoważnionym - to na administratorze (Skarżącej) spoczywał obowiązek wykazania, że zasady określone w RODO były przestrzegane. Prawidłowo zatem stwierdził Prezes UODO, że Skarżąca - jako administrator danych osobowych Uczestniczki - nie zastosowała właściwego poziomu bezpieczeństwa, co doprowadziło do nieuprawnionego udostępnienia danych osobowych Uczestniczki i w sytuacji złożenia indywidualnej skargi skutkowało odpowiedzialnością administratora na gruncie RODO.
Sąd, stwierdza ponadto, że wbrew argumentacji skargi, w sprawie nie chodziło o ustalenie stopnia wadliwości zabezpieczeń technicznych stosowanych przez Spółkę (jak w sprawie o sygn. akt II SA/Wa 567/22, w której zapadł nieprawomocny wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie). Innym postępowaniem jest postępowanie, w ramach którego dokonywana jest ocena prawidłowości stosowania przepisów sekcji 1 (Obowiązki ogólne), czy sekcji 2 (Bezpieczeństwo danych osobowych) rozdziału IV RODO, czego w tej sprawie Prezes UODO nie dokonywał, a innym rozpatrywanie przez organ indywidualnej skargi wniesionej przez osobę, której dane dotyczą w zakresie zgodności przetwarzania jej danych z przepisami RODO na podstawie art. 77 ust. 1 RODO.
Uczestniczka miała zatem prawo wystąpić do Prezesa UODO z indywidualną skargą, podnosząc kwestię niezgodnego z przepisami RODO przetwarzania (ujawnienia) podmiotom nieuprawnionym Jej danych osobowych przez administratora - Skarżącą. Zasadnie zatem organ prowadził to postępowanie i rozstrzygnął je decyzją, udzielając Skarżącej upomnienia za naruszenie RODO, polegające na udostępnieniu (ujawnieniu) bez podstawy prawnej danych osobowych Uczestniczki podmiotom nieuprawnionym. Zgodnie z motywem 39 RODO dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. Opisana wyżej okoliczność - polegająca na niezabezpieczeniu hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze - spowodowała, że dane osobowe Uczestniczki ujawniono podmiotom do tego nieuprawnionym. Co istotne nie doszło do złamania zabezpieczeń technicznych, lecz ich niezastosowania - polegającego na niezabezpieczeniu hasłem dostępu do bazy danych osobowych i umożliwieniu w ten sposób dostępu do nich oraz ich ujawnienia, a więc przetworzeniu.
Nie można zgodzić się ze stanowiskiem Skarżącej, że w tym przypadku nie mamy do czynienia z przetwarzaniem (udostępnieniem) danych osobowych Uczestniczki. Ujawnienie danych osobowych, o którym mowa w ww. art. 4 pkt 2 RODO, nie musi być wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) w postaci zamierzonego przesłania danych, czy ich rozpowszechnienia (aktywnego dzielenia się danymi). Może ono polegać także na innego rodzaju udostępnieniu przez umożliwienie dostępu do danych. Do takiej sytuacji doszło w realiach rozpoznanej sprawy. Przez opisane wyżej ujawnienie danych osobowych Uczestniczki doszło do ich przetwarzania i to ono było przedmiotem postępowania prowadzonego przez Prezesa UODO. Kluczowe dla oceny takiego przetwarzania było wskazanie podstawy prawnej, której - jak trafnie stwierdził organ - nie było.
Podkreślić w związku z tym należy, że w świetle przepisów RODO przetwarzanie (a zatem także ujawnienie, udostępnienie) danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 RODO, a mianowicie:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Żadnej z ww. przesłanek nie spełniono w sprawie w odniesieniu do udostępnienia danych osobowych Uczestniczki podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy – ww. Spółki, który zawarł ze Skarżącą stosowną umowę. Prezes UODO prawidłowo zatem uznał, że Skarżąca dopuściła się naruszenia art. 6 ust. 1 RODO w związku z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych Uczestniczki podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy (ww. Spółki), świadczącego na rzecz Skarżącej usługi cyfrowego archiwum. Możliwe i prawidłowe było skorzystanie przez Prezesa UODO z możliwości przewidziane w art. 58 ust. 2 lit. b RODO i udzielenie Skarżącej upomnienia. Należy też zauważyć, że organ zastosował jeden z najłagodniejszych środków, nie przekraczając zasady proporcjonalności. Zdaniem Sądu zastosowany środek jest adekwatny do stwierdzonego w punkcie 1 ww. decyzji naruszenia ww. przepisów RODO. W stanie faktycznym sprawy doszło bowiem do ujawnienia danych osobowych Uczestniczki podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze Spółki - zewnętrznego dostawcy. Powyższe incydenty doprowadziły do naruszenia poufności danych osobowych Uczestniczki w zakresie m.in. imienia i nazwiska oraz nr PESEL. O doniosłości naruszenia świadczy także postanowienie Prokuratury Okręgowej w [...] o umorzeniu dochodzenia z [...] kwietnia 2021r. w sprawie sygn. akt [...]. W treści ww. postanowienia wskazano, że "Dane personalne klientów Skarżącej poprzez błąd ludzki zostały pozostawione na niebezpiecznym serwerze danych, skąd dwukrotnie skutecznie pobrane" przez wymienione w postanowieniu osoby (s. 8 i 9 postanowienia). Waga stwierdzonego naruszenia i jego charakter dawały zatem podstawę do udzielenia Skarżącej upomnienia. Zauważyć przy tym należy, że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Przepis art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Stwierdzenie naruszenia ochrony danych przez administratora musi wiązać się z określonymi konsekwencjami.
Sąd w związku z tym stwierdza, że zaskarżona decyzja Prezesa UODO w zakwestionowanym zakresie - dotyczącym punktu 1 - nie naruszała prawa, a zarzuty podniesione w skardze nie zasługiwały na uwzględnienie. Prezes UODO nie naruszył przepisów RODO, dokonując konsekwentnej i prawidłowej interpretacji norm prawa materialnego. W toku postępowania nie doszło również do naruszenia art. 7, art. 77 § 1 i art. 80 k.p.a., bo ustalenie stanu faktyczny sprawy, jak i jego subsumpcja pod właściwe normy prawne miała prawidłowy charakter. Prezes UODO należycie zebrał i ocenił w sposób logiczny i spójny całokształt materiału dowodowego sprawy, a przyjęte oceny nie miały charakteru dowolnego. Uzasadnienie, wbrew argumentacji prezentowanej w uzasadnieniu skargi nie narusza art. 107 § 3 k.p.a. Brak jest też podstaw by stwierdzić, że w sprawie doszło do naruszenia zasady zaufania do władzy publicznej (art. 8 k.p.a.), czy też zasady przekonywania (art. 11 k.p.a.).
4. Sąd, mając powyższe na uwadze, na podstawie art. 151 P.p.s.a. w związku z art. 119 pkt 2 i art. 120 P.p.s.a., orzekł, jak w sentencji.