II SA/Wa 1069/24
Podsumowanie
Przejdź do pełnego tekstuSprawa dotyczyła skargi F. S.A. na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO), który nałożył na spółkę upomnienie za naruszenie przepisów RODO. Naruszenie polegało na ujawnieniu danych osobowych klientów, w tym A. S., podmiotom nieupoważnionym, w wyniku incydentu bezpieczeństwa na serwerze zewnętrznego dostawcy usług cyfrowego archiwum. Spółka kwestionowała decyzję, argumentując, że posiadała podstawę prawną do przetwarzania danych, a incydent nie stanowił przetwarzania bez podstawy prawnej ani udostępnienia danych osobom trzecim. Podkreślała również, że Prokuratura umorzyła postępowanie w sprawie, uznając czyn za niebędący przestępstwem. Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę. Sąd uznał, że ujawnienie danych osobowych klientów, nawet jeśli nastąpiło w środowisku podmiotu przetwarzającego, stanowi naruszenie zasady poufności RODO (art. 5 ust. 1 lit. f RODO). Administrator danych, jakim jest spółka, ponosi odpowiedzialność za zapewnienie odpowiedniego bezpieczeństwa danych, nawet jeśli naruszenie nastąpiło u podwykonawcy. Sąd stwierdził, że spółka nie zapewniła wystarczających gwarancji bezpieczeństwa, co doprowadziło do nieuprawnionego dostępu do danych i ich ujawnienia. W związku z tym, nałożenie upomnienia przez Prezesa UODO zostało uznane za zasadne i proporcjonalne.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaOdpowiedzialność administratora danych za naruszenia bezpieczeństwa danych osobowych, które miały miejsce u podmiotu przetwarzającego. Konieczność zapewnienia odpowiednich środków technicznych i organizacyjnych.
Sprawa dotyczy konkretnego stanu faktycznego i interpretacji przepisów RODO w kontekście ujawnienia danych w wyniku incydentu u podwykonawcy.
Zagadnienia prawne (3)
Czy ujawnienie danych osobowych klientów podmiotom nieupoważnionym, wynikające z naruszenia bezpieczeństwa u podmiotu przetwarzającego, stanowi naruszenie zasady poufności RODO przez administratora danych?Ratio decidendi
Odpowiedź sądu
Tak, ujawnienie danych osobowych podmiotom nieupoważnionym, nawet jeśli nastąpiło w wyniku działań podmiotu przetwarzającego, stanowi naruszenie zasady poufności RODO, a administrator danych ponosi za to odpowiedzialność.
Uzasadnienie
Administrator danych jest odpowiedzialny za zapewnienie odpowiedniego bezpieczeństwa danych, w tym ochrony przed nieuprawnionym dostępem i ujawnieniem. Nawet jeśli naruszenie nastąpiło u podwykonawcy, administrator musi wykazać, że wdrożył odpowiednie środki techniczne i organizacyjne, a brak takiego zabezpieczenia, jak niezabezpieczenie hasłem serwera, prowadzi do naruszenia RODO.
Czy upomnienie nałożone przez Prezesa UODO za naruszenie RODO jest adekwatnym środkiem reakcji w przypadku ujawnienia danych osobowych w wyniku incydentu bezpieczeństwa?Ratio decidendi
Odpowiedź sądu
Tak, upomnienie jest jednym z najłagodniejszych środków i jest adekwatne do stwierdzonego naruszenia, zwłaszcza gdy doszło do ujawnienia danych osobowych podmiotom nieupoważnionym.
Uzasadnienie
Sąd uznał, że nałożenie upomnienia jest proporcjonalne do wagi naruszenia, jakim było ujawnienie danych osobowych klientów, co potwierdza również treść postanowienia prokuratury. Ochrona danych osobowych jest prawem podstawowym, a stwierdzenie naruszenia musi wiązać się z konsekwencjami.
Czy administrator danych ponosi odpowiedzialność za naruszenie bezpieczeństwa danych osobowych, które miało miejsce w środowisku podmiotu przetwarzającego?Ratio decidendi
Odpowiedź sądu
Tak, administrator ponosi odpowiedzialność za naruszenie bezpieczeństwa danych osobowych, które miało miejsce w środowisku podmiotu przetwarzającego, jeśli podmiot ten nie zapewnił wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych.
Uzasadnienie
Zgodnie z RODO, administrator korzysta z usług podmiotów przetwarzających tylko wtedy, gdy zapewniają one wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Jeśli podmiot przetwarzający nie spełnia tych wymogów, administrator ponosi odpowiedzialność za naruszenie.
Przepisy (37)
Główne
p.p.s.a. art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
RODO art. 5 § ust. 1 lit. f
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Pomocnicze
p.p.s.a. art. 119 § pkt 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 134 § § 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 145 § § 1 pkt 1 lit. a
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 145 § § 1 pkt 1 lit. c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 106 § § 3
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
k.p.a. art. 104 § § 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 107 § § 3
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 77 § § 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 80
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 8
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
k.p.a. art. 11
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
u.o.d.o. z 2018 r. art. 7 § ust. 1 i 2
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
u.o.d.o. z 2018 r. art. 34 § ust. 1 i 2
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
RODO art. 4 § pkt 2
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 4 § pkt 1
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 5 § ust. 1 lit. c
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 5 § ust. 2
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 6 § ust. 1 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 6 § ust. 1 lit. c
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 6 § ust. 1 lit. f
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 28 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 32
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 58 § ust. 2 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 77 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 57 § ust. 1 lit. a
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
RODO art. 57 § ust. 1 lit. f
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Ord.pod. art. 86 § § 1
Ustawa z dnia 29 sierpnia 1997 r. Ordynacja podatkowa
Ord.pod. art. 70 § § 1
Ustawa z dnia 29 sierpnia 1997 r. Ordynacja podatkowa
u.o.r. art. 74
Ustawa z dnia 29 września 1994 r. o rachunkowości
p.u.s.a. art. 1 § § 1 i § 2
Ustawa z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych
p.u.s.a. art. 3 § § 1
Ustawa z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych
k.k. art. 267 § § 1
Kodeks karny
u.o.d.o. art. 107 § ust. 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
KPE art. 8 § ust. 1
Karta praw podstawowych Unii Europejskiej
TFUE art. 16 § ust. 1
Traktat o funkcjonowaniu Unii Europejskiej
Argumenty
Skuteczne argumenty
Ujawnienie danych osobowych podmiotom nieupoważnionym, nawet w wyniku incydentu u podmiotu przetwarzającego, stanowi naruszenie zasady poufności RODO. • Administrator danych ponosi odpowiedzialność za zapewnienie bezpieczeństwa danych, nawet jeśli naruszenie nastąpiło u podwykonawcy. • Upomnienie jest adekwatnym środkiem reakcji na stwierdzone naruszenie RODO.
Odrzucone argumenty
Spółka posiadała podstawę prawną do przetwarzania danych. • Incydent nie stanowił przetwarzania bez podstawy prawnej ani udostępnienia danych osobom trzecim. • Upomnienie jest nieadekwatnym środkiem prawnym. • Prokuratura umorzyła postępowanie w sprawie, uznając czyn za niebędący przestępstwem.
Godne uwagi sformułowania
nie zapewniając wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych • naruszenie zasady poufności (lit. f) • ujawnienie danych osobowych podmiotom i osobom do tego nieupoważnionym • nie można zgodzić się ze stanowiskiem Spółki, iż w tym przypadku nie mamy do czynienia z przetwarzaniem (udostępnieniem) danych osobowych uczestniczki postępowania • ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych
Skład orzekający
Iwona Maciejuk
przewodniczący
Danuta Kania
sprawozdawca
Dorota Kozub-Marciniak
członek
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Odpowiedzialność administratora danych za naruszenia bezpieczeństwa danych osobowych, które miały miejsce u podmiotu przetwarzającego. Konieczność zapewnienia odpowiednich środków technicznych i organizacyjnych."
Ograniczenia: Sprawa dotyczy konkretnego stanu faktycznego i interpretacji przepisów RODO w kontekście ujawnienia danych w wyniku incydentu u podwykonawcy.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnego problemu wycieku danych osobowych i odpowiedzialności firm za bezpieczeństwo danych swoich klientów, nawet gdy korzystają z usług zewnętrznych podwykonawców. Jest to temat istotny zarówno dla przedsiębiorców, jak i dla konsumentów.
“Wyciek danych u podwykonawcy – kto odpowiada? Sąd wyjaśnia odpowiedzialność administratora.”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.