II SA/Wa 1069/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-01-16
orzeczenie nieprawomocne
Data wpływu
2024-07-03
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Danuta Kania /sprawozdawca/
Dorota Kozub-Marciniak
Iwona Maciejuk /przewodniczący/
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk, Sędzia WSA Danuta Kania (spr.), Asesor WSA Dorota Kozub-Marciniak, , po rozpoznaniu w trybie uproszczonym w dniu 16 stycznia 2025 r. sprawy ze skargi [...] S. A. z siedzibą w G. na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") decyzją z dnia [...] kwietnia 2024 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572 ze zm.), dalej: "k.p.a.", w związku z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), dalej: "u.o.d.o. z 2018 r.", art. 5 ust. 1 lit. f, art. 6 ust. 1, art. 28 ust. 1 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., s. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., s. 35), dalej: "RODO": udzielił F. S.A. z siedzibą w G. (dalej: "Spółka", "strona skarżąca") upomnienia za naruszenie art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO polegające na ujawnieniu danych osobowych A. S. (dalej: "uczestniczka postępowania") podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz F. S.A. (punkt 1); odmówił uwzględnienia wniosku w pozostałym zakresie (punkt 2).
W uzasadnieniu decyzji organ wskazał, że do UODO wpłynęła skarga A. S. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez F. S.A. polegające na naruszeniu ochrony jej danych osobowych poprzez ich ujawnienie w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki. Uczestniczka postępowania wniosła o: nakazanie Spółce prawidłowego zabezpieczenia jej danych osobowych oraz pokrycia zobowiązań finansowych w przypadku posłużenia się jej danymi.
W toku postępowania Prezes UODO ustalił, że w 2017 r. A. S. zawarła ze Spółką umowę sprzedaży energii o nr[...], jednak ze względu na to, że - jak podała uczestniczka postępowania - umowa została zawarta z naruszeniem prawa, uległa rozwiązaniu z pomocą Powiatowego Rzecznika Konsumentów w S..
W dniu 29 kwietnia 2020 r. A. S. została poinformowana przez Spółkę o naruszeniu bezpieczeństwa na serwerach Spółki oraz kradzieży danych osobowych takich jak: imię, nazwisko, adres zamieszkania, numer PESEL, numer dowodu osobistego. Zdaniem uczestniczki, Spółka przetwarzając jej dane osobowe nie zachowała właściwej staranności w zabezpieczeniu tych danych, co spowodowało ich wyciek.
Spółka podniosła, że skarga zawiera błędną datę zawarcia umowy kompleksowej sprzedaży energii elektrycznej oraz błędny numer. Skarżąca bowiem w dniu [...] grudnia 2018 r. zawarła ze Spółką umowę kompleksowej sprzedaży energii elektrycznej o nr [...]. Zgodnie z postanowieniami umowy uczestniczce postępowania przysługiwał 30-dniowy termin na odstąpienie od umowy, z którego nie skorzystała. W maju 2019 r. uczestniczka wypowiedziała umowę ze skutkiem na dzień [...] czerwca 2019 r.
W dniu [...] maja 2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z P. sp. z o.o., z którą łączy ją również wcześniej zawarta umowa o współpracy.
Na podstawie ww. umów P. sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki.
Spółka wyjaśniła, że w dniu [...] kwietnia 2020 r. powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. P. sp. z o.o. oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od dnia [...] kwietnia 2020 r. do dnia [...] kwietnia 2020 r. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany poprzez wdrożenie zabezpieczeń przez P. sp. z o.o.
W dniu [...] kwietnia 2020 r. Spółka zgłosiła ww. naruszenie do Prezesa UODO.
Nadto Spółka wystąpiła do osób, których dotyczyło naruszenie, informując o zaistniałym zdarzeniu oraz możliwych konsekwencjach, a także aby umożliwić im podjęcie stosownych działań zapobiegawczych. Spółka ustaliła, że w przypadku uczestniczki postępowania doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego, numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących umowy oraz numeru punktu poboru.
W związku z powyższym wyciekiem Spółka zawiadomiła o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w G. - Wydział [...] Dział[...] , Komendę Wojewódzką Policji w G. – Wydział [...].
W prowadzonym przez Departament Kontroli i Naruszeń UODO postępowaniu pod sygnaturą [...] ustalono, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych (pismo Dyrektora DKiN UODO z dnia [...] czerwca 2021 r.).
Uwzględniając powyższe Prezes UODO wskazał, że uczestniczka postępowania była klientką Spółki od dnia [...] grudnia 2018 r. do dnia [...] czerwca 2019r. W tym okresie podstawę prawną przetwarzania przez Spółkę jej danych osobowych stanowił art. 6 ust. 1 lit. b RODO. Po rozwiązaniu umowy dalszą podstawę przetwarzania danych osobowych uczestniczki stanowił początkowo art. 6 ust. 1 lit. c RODO, zgodnie z którym przetwarzanie jest zgodne z prawem gdy - i w takim zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Przetwarzanie było niezbędne do wypełniania obowiązku prawnego wynikającego z art. 86 § 1 w związku z art. 70 § 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (Dz. U. z 2023 r., poz. 2383 ze zm.) oraz z art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U. z 2023 poz., 120 ze zm.). Zatem Spółka po rozwiązaniu umowy posiadała podstawę prawną do dalszego przetwarzania danych uczestniczki ze względu na ww. przepisy prawa i określone w nich terminy.
Organ podkreślił, że przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO). Wskazał, że jakkolwiek Spółka jest uprawniona do przetwarzania danych osobowych uczestniczki, to jednak nie w kwestionowanym zakresie, tj. ujawnienia danych poprzez ich udostępnienie. Dodatkowo zaznaczył, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę poufności (lit. f), do której odwołuje się również motyw 39 RODO.
W okresie od dnia [...] kwietnia 2020 r. do dnia [...] kwietnia 2020 r. doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych uczestniczki postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] w dniu [...] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od dnia [...] kwietnia 2020 r. godz. 23:00 do dnia [...] kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Powyższy incydent doprowadził do naruszenia poufności danych osobowych uczestniczki postępowania w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego, numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących umowy (numer umowy) oraz numeru punktu poboru.
Do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o., jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za wskazane naruszenie. Ujawnienie danych osobowych uczestniczki postępowania podmiotom i osobom do tego nieupoważnionym odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO). Spółka naruszyła zasadę poufności poprzez przetwarzanie danych uczestniczki w sposób niezapewniający im odpowiedniego bezpieczeństwa.
W związku z powyższym Prezes UODO stwierdził, że Spółka dopuściła się naruszenia art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych uczestniczki postępowania podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. Z tych względów, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO, organ udzielił Spółce upomnienia.
Jednocześnie organ wskazał, że uczestniczka postępowania żądała od organu: nakazania Spółce prawidłowego zabezpieczenia jej danych osobowych oraz pokrycia zobowiązań finansowych w przypadku posłużenia się jej danymi. Żądania te nie mieszczą się w katalogu uprawnień określonych w rozdziale III RODO, zatem zależało odmówić uwzględnienia żądania w tym zakresie.
Uczestniczka żądała również od organu nałożenia kary pieniężnej na Spółkę. Uprawnienia do nałożenia kary pieniężnej znajduje się wprawdzie w zakresie uprawnień przysługujących Prezesowi UODO na podstawie art. 58 ust. 2 lit. i RODO, jednak podjęcie tego rodzaju działań stanowi autonomiczną decyzję organu niezależną od woli osoby składającej skargę. Uczestniczka postępowania nie może żądać od organu działań, które należą wyłącznie do jego autonomii.
W skardze na powyższą decyzję, zaskarżając punkt 1 decyzji, F. S.A., reprezentowana przez pełnomocnika, zarzuciła:
1) naruszenie art. 7, art. 8, art. 11 w związku z art. 107 § 3 oraz art. 77 § 1 k.p.a. w związku z art. 7 ust. 1 u.o.d.o. polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do wydania wadliwej i przedwczesnej decyzji,
2) naruszenie art. 80 k.p.a. w związku z art. 7 ust. 1 u.o.d.o. polegające na przekroczeniu granic swobodnej oceny dowodów i - w konsekwencji - błędnym przyjęciu, że Spółka przetwarzała dane osobowe uczestniczki postępowania bez podstawy prawnej, podczas gdy podstawa ta istniała w postaci art. 6 ust. 1 lit. f i c RODO, a ewentualne naruszenie poufności danych osobowych uczestniczki postępowania nie może zostać zakwalifikowane jako ujawnienie danych przez administratora,
3) naruszenie art. 6 ust. 1 RODO polegające na jego błędnym zastosowaniu, skutkujące przyjęciem, że Spółka przetwarzała dane osobowe uczestniczki postępowania bez podstawy prawnej, podczas gdy w stanie faktycznym sprawy taka podstawa istniała w art. 6 ust. 1 lit. f i lit. c RODO.
W związku z powyższymi zarzutami strona skarżąca wniosła o :
1) uchylenie decyzji w części, tj. w zakresie punktu 1;
2) zasądzenie od organu na rzecz strony skarżącej kosztów postępowania, w tym kosztów zastępstwa prawnego, według norm przepisanych.
3) rozpoznanie sprawy w trybie uproszczonym na podstawie art. 119 pkt 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024 r., poz. 935 ze zm.), dalej: "p.p.s.a.",
4) dopuszczenie i przeprowadzenie przez Sąd dowodu z postanowienia Prokuratury Okręgowej w G. o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r. w sprawie o sygn. akt [...] na okoliczność, że strona skarżąca nie dokonywała przetwarzania danych poprzez ujawnienie ich osobom trzecim, zaś przeprowadzenie tego dowodu jest niezbędne do wyjaśnienia istotnych wątpliwości i nie spowoduje nadmiernego przedłużenia postępowania w sprawie.
W motywach skargi strona skarżąca podniosła, iż sentencja decyzji nie odpowiada jej uzasadnieniu. Z uzasadnienia można bowiem wnioskować, że kara upomnienia została nałożona za naruszenie poufności danych (art. 5 ust. 1 lit. f RODO), ale już z samej sentencji decyzji wynika, że dotyczy ona przetwarzania bez podstawy prawnej (art. 6 ust. 1 RODO) polegającego na ujawnieniu danych osobom nieupoważnionym.
W zaskarżonej decyzji Prezes UODO nie ustalił, czy rzeczywiście i w jakim zakresie doszło do naruszenia zasady poufności z art. 5 ust. 1 lit f RODO w związku z art. 32 i nast. RODO. Stanowisko organu jest niekonsekwentne - z jednej strony organ wydaje się całkowicie pomijać stan faktyczny sprawy oraz czynności, które zostały podjęte przez stronę skarżącą, z drugiej strony sam przywołuje działania podjęte przez Spółkę. Odnośnie stanu faktycznego sprawy Spółka wskazała, że decyzja wydana przez Prezesa UODO w sprawie [...], której ustalenia stanowiły podstawę wydania decyzji w sprawie niniejszej, została uchylona w wyniku kontroli sądowej przez Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 10 października 2022 r. (sygn. akt II SA/Wa 567/22).
Podkreśliła, że Prokuratura Okręgowa w G. postanowieniem z dnia [...] kwietnia 2021 r. w sprawie o sygn. akt [...] w dniu [...] czerwca 2021 r. umorzyła dochodzenie: 1) w sprawie uzyskania bez uprawnień w okresie od dnia [...] kwietnia 2020 r. do dnia [...] kwietnia 2020 r. w nieustalonym miejscu za pośrednictwem sieci internet poprzez niezabezpieczony port serwera informacji dla niego nieprzeznaczonej w postaci bazy danych klientów firmy F. S.A., tj. o czyn z art. 267 § 1 Kodeksu karnego - wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego; 2) w sprawie przetwarzania, w nieustalonym okresie od dnia [...] kwietnia 2020 r. do dnia [...] kwietnia 2020 r. w G., danych osobowych klientów firmy F. S.A. chociaż ich przetwarzanie nie jest dopuszczalne lub bez uprawnienia, tj. o czyn z art. 107 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych - wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego.
Jak wskazano w uzasadnieniu ww. postanowienia: "Dane personalne klientów F. S.A. poprzez błąd ludzki zostały pozostawione na niezabezpieczonym serwerze danych, skąd zostały dwukrotnie skutecznie pobrane przez M. B. i \/. D. Niezwłoczna reakcja tychże dwóch osób i powiadomienie właściciela danych o ich wycieku, uchroniło wskazane informacje przed dalszym skutecznym pobieraniem z serwera i następczym rozpowszechnianiem" (s. 9 postanowienia Prokuratury Okręgowej w G.).
Bezzasadny jest zatem zarzut Prezesa UODO jakoby Spółka nie podjęła określonego działania, bowiem niezwłocznie po uzyskaniu informacji od wyżej wskazanych osób dostęp do danych został zabezpieczony. Nie zaistniało wobec tego żadnego rodzaju udostępnianie danych klientów Spółki osobom nieupoważnionym.
Dalej strona skarżąca podniosła, że zastosowany przez Prezesa UODO środek prawny w postaci upomnienia jest nieadekwatny. Zgodnie ze stanowiskiem orzecznictwa "upomnienie" oznacza czynność zwrócenia komuś uwagi - przypomnienia o obowiązkach. W uzasadnieniu zaskarżonej decyzji organ wskazał stan, który uznał za niepożądany, udzielając stronie skarżącej upomnienia (określił go błędnie jako brak uprawnienia Spółki do przetwarzania danych osobowych skarżącej w zakresie ujawnienia poprzez ich udostępnienie); nie wskazał jednak czy i w jakim zakresie strona skarżąca uchybiła swoim obowiązkom - poza "udostępnieniem danych", czego w istocie nie uczyniła. Jak wskazał organ "do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o.". Nie można jednak zgodzić się z dalszą częścią uzasadnienia decyzji, wedle której "jednak w procesie przetwarzania danych osobowych działał on (P. sp. z o.o.) jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki (F.). W związku z tym to Spółka (F.) ponosi odpowiedzialność za wskazane naruszenie". Organ w płynny sposób przeszedł od "ujawnienia" danych do przypisania stronie skarżącej odpowiedzialności za "naruszenie bezpieczeństwa danych osobowych", nie dokonując w tym zakresie żadnych ustaleń faktycznych. Tymczasem kwestia naruszenia przez stronę skarżącą poufności danych jest przedmiotem oceny w odrębnym postępowaniu, w którym decyzja organu nr [...] została uchylona przez Wojewódzki Sąd Administracyjny w Warszawie.
Zdaniem strony skarżącej nie sposób przypisać prawodawcy intencji ustanowienia reguły odpowiedzialności administratora za utratę, czy też ujawnienie danych na zasadzie ryzyka. Powołując się na wyrok Wojewódzkiego Sądu Administracyjnego z dnia 23 czerwca 2022 r. sygn. akt II SA/Wa 3752/21 Spółka wskazała, że względy wykładni systemowej i celowościowej przemawiają przeciw przyjętej przez organ koncepcji, jakoby zasadne było udzielenie administratorowi danych osobowych - na podstawie art. 58 ust. 2 lit. b RODO - upomnienia wobec indywidualnych skarg w następstwie incydentów utraty danych, niezależnie od okoliczności danego zdarzenia - przyczynienia administratora. Prowadzenie zaś setek postępowań - wobec kolejnych wniosków osób poszkodowanych incydentami, gdzie może dochodzić do jednorazowej utraty tysięcy danych - stanowi bezzasadne obciążenie nie tylko dla podmiotu, od którego dane bezprawnie pozyskano (w niektórych przypadkach pomimo stosowania najwyższej klasy zabezpieczeń - wobec braku uchybienia wymaganiom art. 32 RODO), ale jest także poważnym uszczupleniem środków publicznych, z których utrzymywany jest wyspecjalizowany urząd. Prowadzenie takich postępowań administracyjnych nie służy jednocześnie eliminacji żadnych nieprawidłowości po stronie administratora.
Strona skarżąca zaznaczyła, że w żadnym wypadku w rozpatrywanej sprawie nie doszło do przetwarzania danych osobowych bez podstawy prawnej poprzez ich udostępnienie podmiotom nieupoważnionym. Zgodnie z art. 4 ust. 2 RODO "ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie" jest rodzajem przetwarzania danych osobowych. Oznacza to, że przetwarzanie takich danych musi spełnić wymogi z art. 6 ust. 1 RODO, co m.in. wymaga posiadania podstawy prawnej dla przetwarzania danych zgodnie z prawem. Taką podstawę posiadała też strona skarżąca w postaci umowy z uczestniczką postępowania (art. 6 ust. 1 lit. b RODO), a po wygaśnięciu umowy art. 6 ust. 1 lit. f oraz lit. c RODO.
Powołując się na poglądy orzecznictwa Strona skarżąca wskazała, że pojęcie "przetwarzania" opisuje czynność. Ze swej natury musi mieć ona swojego sprawcę. Oznacza to, że konkretna operacja musi być przypisana jednemu sprawcy, zaś kilku tylko gdy współdziałają. W tym kontekście w pełni zasadne jest stanowisko strony skarżącej, w którym podkreślano, że incydent - w postaci utraty danych - nie stanowi żadnej operacji na tych danych przeprowadzonej przez samego administratora. Przetworzenia danych - w postaci ich nielegalnego pozyskania - dokonał podmiot trzeci. Wyklucza to przyjęcie, jakoby doszło do przetworzenia danych przez stronę skarżącą jako administratora bez podstawy prawnej - jak kwalifikował to zdarzenie organ. Nie można zatem uznać za czynność administratora zdarzenia polegającego na nielegalnym uzyskaniu danych z jego zasobów. Odrębną kwestią jest ciążący na administratorze obowiązek zapewnienia integralności danych - ich właściwego zabezpieczenia. Rozumie się przez to zastosowanie środków adekwatnych do przewidywalnych zagrożeń.
Tymczasem w niniejszej sprawie celem przetwarzania danych uczestniczki postępowania przez stronę skarżącą nie było udostępnienie jej danych. Osoby lub podmioty, które potencjalnie mogły uzyskać dostęp do danych osobowych uczestniczki postępowania nie są w żadnym razie odrębnymi administratorami danych, na rzecz których ujawnienie nastąpiło. Tak więc w czasie naruszenia bezpieczeństwa danych osobowych uczestniczki, tj. w okresie od [...] do [...] kwietnia 2020 r., strona skarżąca przetwarzała jej dane osobowe wyłącznie na podstawie art. 6 ust. 1 lit. c, f RODO i nie dokonywała ich udostępnienia innym administratorom. Dostęp do danych przez osoby nieupoważnione należałoby rozważać wyłącznie w kategoriach naruszenia art. 5 ust. 1 lit. f w związku z art. 32 RODO, jednak w tym zakresie organ nie ustalił stanu faktycznego w zakresie pozwalającym na stwierdzenie, że wyżej wymienione przepisy mogą mieć zastosowanie. Kwestię ujawnienia (lub innego rodzaju udostępnienia) danych bez podstawy prawnej odróżnić należy od przypadków, gdy osoba trzecia uzyskuje dostęp do danych bez działania osoby je przetwarzającej. Jeżeli zatem osoba trzecia złamie zabezpieczenia techniczne chroniące dane osobowe przed dostępem do nich lub ukradnie dokumenty zawierające dane osobowe, to nie będzie to udostępnienie danych osobowych.
W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi podtrzymując stanowisko jak w zaskarżonej decyzji.
W piśmie procesowym z dnia 23 lipca 2024 r. strona skarżąca w całości podtrzymała stanowisko przedstawione w skardze. Podkreśliła, że w rozpatrywanej sprawie nie doszło do przetwarzania przez Spółkę danych osobowych uczestniczki postępowania bez podstawy prawnej poprzez ich ujawnienie podmiotom nieupoważnionym. Osoby lub podmioty, które potencjalnie mogły uzyskać dostęp do danych osobowych uczestniczki nie są odrębnymi administratorami danych, na rzecz których ujawnienie nastąpiło. W czasie naruszenia bezpieczeństwa danych osobowych uczestniczki, tj. w okresie [...] -[...] kwietnia 2020 r., Spółka przetwarzała dane osobowe uczestniczki wyłącznie na podstawie art. 6 ust. 1 lit. b RODO i nie dokonywała ich ujawnienia innym administratorom.
Zatem nawet uznanie, że w rozpatrywanym stanie faktycznym mogło dojść do naruszenia bezpieczeństwa danych osobowych, nie oznacza, że Spółka dokonała czynności przetwarzania poprzez ujawnienie danych osobom nieupoważnionym.
W ocenie strony skarżącej, popartej stanowiskiem WSA w Warszawie (w sprawie o sygn. akt II SA/Wa 567/22), nie sposób przypisać prawodawcy intencji ustanowienia reguły odpowiedzialności administratora za utratę czy też ujawnienie danych na zasadzie ryzyka, a upomnienie jest nieadekwatnym w niniejszym stanie faktycznym środkiem prawnym. W uzasadnieniu zaskarżonej decyzji wskazano wprawdzie stan, który organ uznał za niepożądany, udzielając upomnienia. Określono go - zresztą błędnie - jako udostępnienie danych bez podstawy prawnej. Nie wskazano jednak czy i w jakim zakresie sama Spółka uchybiła w istocie swoim obowiązkom - poza udostępnieniem danych, czego w istocie sama nie uczyniła.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Sprawa została rozpoznana w trybie uproszczonym. Zgodnie z art. 119 pkt 2 p.p.s.a., sprawa może być rozpoznana w trybie uproszczonym, jeżeli strona zgłosi wniosek o skierowanie sprawy do rozpoznania w trybie uproszczonym, a żadna z pozostałych stron w terminie czternastu dni od zawiadomienia o złożeniu wniosku nie zażąda przeprowadzenia rozprawy. W niniejszej sprawie Spółka wniosła o rozpoznanie sprawy w trybie uproszczonym, zaś organ nie zażądał przeprowadzenia rozprawy.
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2023 r., poz. 2492 ze zm.) oraz art. 3 § 1 p.p.s.a., sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego.
W myśl art. 134 § 1 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).
Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie, bowiem decyzja Prezesa UODO z dnia [...] kwietnia 2024 r. w kwestionowanym zakresie dotyczącym punktu 1 - nie narusza prawa. Sąd stwierdził, że Prezes UODO, wydając decyzję w ww. zakresie nie dopuścił się naruszenia przepisów prawa materialnego w stopniu mającym wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. a p.p.s.a.), ani przepisów postępowania administracyjnego w stopniu mogącym mieć istotny wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. c p.p.s.a.).
Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych i jednocześnie organem nadzorczym, w rozumieniu RODO (art. 34 ust. 1 i 2 u.o.d.o. z 2018 r.).
Jak stanowi art. 57 ust. 1 lit. a i lit. f RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia, a także rozpatruje skargi wniesione przez osobę, której dane dotyczą.
Zgodnie z art. 77 ust. 1 RODO bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
W rozpoznawanej sprawie A. S. skierowała do Prezesa UODO skargę z dnia 11 maja 2020 r. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez F. S.A., poprzez naruszenie ochrony jej danych osobowych w związku z wyciekiem tychże danych w okresie: [...] kwietnia 2020 r. - [...] kwietnia 2020 r.
W sprawie jest bezsporne, że uczestniczka postępowania była klientką Spółki w okresie od dnia [...] grudnia 2018 r. do dnia [...] czerwca 2019 r. Spółka w dniu [...] kwietnia 2020 r. powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. P. sp. z o.o. oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od dnia [...] kwietnia 2020 r. do dnia [...] kwietnia 2020 r. Okoliczności te potwierdzają wyjaśnienia Spółki złożone w toku postępowania administracyjnego oraz treść załączonego do skargi postanowienia Prokuratury Okręgowej w G. o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r. w sprawie sygn. akt [...], z którego to postanowienia Sąd, na podstawie art. 106 § 3 p.p.s.a., przeprowadził dowód uzupełniający z dokumentów. Spółka samodzielnie ustaliła, że w przypadku uczestniczki postępowania doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego, numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących umowy oraz numeru punktu poboru.
Zgodnie z art. 4 pkt 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
W myśl motywu 26 RODO zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Pseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. (...) Rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.
W sprawie niniejszej nie ma wątpliwości, że wymienione wyżej dane stanowią dane osobowe w rozumieniu ww. przepisów.
Jak już wyżej wskazano uczestniczka postępowania była klientem Spółki, zatem organ trafnie stwierdził, że do dnia rozwiązania umowy przetwarzanie jej danych osobowych przez Spółkę znajdowało oparcie w art. 6 ust. 1 lit. b RODO, zgodnie z którym przetwarzanie danych jest dopuszczalne wtedy, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Natomiast dalsze przetwarzanie danych osobowych uczestniczki (tj. po rozwiązaniu łączącej strony umowy), stanowił art. 6 ust. 1 lit. c RODO, zgodnie z którym przetwarzanie jest zgodne z prawem gdy - i w takim zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Organ prawidłowo przy tym stwierdził, że przetwarzanie danych osobowych uczestniczki postępowania było niezbędne do wypełnienia obowiązku prawnego wynikającego, po pierwsze, z art. 86 § 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (Dz. U. z 2023 r., poz. 2383 ze zm.), a po drugie z art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2023 r., poz. 120 ze zm.).
Zgodnie z art. 86 ust. 1 Ordynacji podatkowej podatnicy obowiązani do prowadzenia ksiąg podatkowych przechowują księgi i związane z ich prowadzeniem dokumenty do czasu upływu okresu przedawnienia zobowiązania podatkowego, chyba że ustawy podatkowe stanowią inaczej. Oznacza to, że dane te podlegają przetwarzaniu przez okres 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (art. 70 § 1 tej ustawy). Analogicznie, przez okres 5 lat, przetwarzaniu podlegają dane m.in. z ksiąg rachunkowych, czy dowodów księgowych (art. 74 ustawy o rachunkowości). Nie ulega zatem wątpliwości, że po rozwiązaniu umowy z uczestniczką postępowania, w dacie ujawnienia (udostępnienia) danych osobom nieuprawnionym, Spółka posiadała podstawę prawną do (dalszego) przetwarzania jej danych osobowych.
W niniejszej sprawie Prezes UODO w punkcie 1 decyzji udzielił Spółce upomnienia za naruszenie art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu danych osobowych uczestniczki postępowania, podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki. Istota sprawy sprowadzała się zatem do oceny legalności udostępnienia (ujawnienia) danych osobom nieuprawnionym.
W toku postępowania organ ustalił, m.in. w oparciu o wyjaśnienia Spółki, że w okresie od dnia [...] kwietnia 2020 r. do dnia [...] kwietnia 2020 r. doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych uczestniczki postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] w dniu [...] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58, skutkiem czego mogło dojść do skopiowania danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od dnia [...] kwietnia 2020 r. godz. 23:00 do dnia [...] kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...], skutkiem czego mogło dojść do pobrania danych o wolumenie ok. 11 GB.
Kwestię pobrania danych potwierdza załączone przez Spółkę do pisma procesowego postanowienie o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r.
Powyższy incydent doprowadził do naruszenia poufności danych osobowych uczestniczki postępowania we wskazanym już wyżej zakresie, co potwierdziła Spółka w złożonych do organu wyjaśnieniach. I jakkolwiek do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o., to jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. Zatem to Spółka ponosi odpowiedzialność za wskazane naruszenie. Zauważyć bowiem należy, że zgodnie z art. 28 ust. 1 RODO jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
W niniejszej sprawie Spółka skorzystała z usług podmiotu, który nie zapewniał wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO.
Trafnie zatem Prezes UODO podniósł, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Zasada ta wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zgodnie z motywem 39 RODO dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
Organ prawidłowo również zakwalifikował ujawnienie danych osobowych uczestniczki postępowania podmiotom i osobom nieupoważnionym - podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum - jako udostępnienie danych osobowych.
Stosownie do art. 4 pkt 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Spółka argumentowała w skardze, że nie dokonywała udostępnienia danych osobowych uczestniczki innym administratorom. Jednakże nieuprawnione udostępnienie (ujawnienie) nie odnosi się tylko do udostępnienia danych na rzecz konkretnego innego administratora, czy podmiotu przetwarzającego. Nieuprawnione udostępnienie (ujawnienie) danych dotyczy każdej sytuacji, gdy z danymi miała możliwość zapoznać się jakakolwiek osoba nieuprawniona, co miało miejsce w niniejszej sprawie, a co potwierdza przedłożone przez stronę skarżącą postanowienie Prokuratury Okręgowej w G. o umorzeniu dochodzenia w sprawie [...].
Podkreślenia wymaga, że istotą sprawy administracyjnej dotyczącej ochrony danych osobowych ze skargi uczestniczki postępowania nie jest ustalenie kwestii odpowiedzialności osoby trzeciej nieupoważnionej, nieuprawnionej do pozyskania danych (skopiowania tych danych, zapoznania się z nimi), ale kwestia odpowiedzialności administratora za zgodność z RODO przetwarzania danych osobowych. Okoliczność, że to nie strona skarżąca dokonała bezpośrednio udostępnienia danych uczestniczki postępowania, lecz podmiot przetwarzający, nie wyłącza odpowiedzialności Spółki w zakresie oceny zgodności z prawem tego przetwarzania - udostępnienia danych, zwłaszcza w sytuacji, gdy do tego udostępnienia (ujawnienia danych) doszło w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze (s. 4 ww. postanowienia o umorzeniu dochodzenia).
Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem. W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji. Zgodnie z zasadą rozliczalności administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie (art. 5 ust. 2 RODO).
Powyższe przepisy nakładają zatem na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie. Na gruncie RODO pojęcie rozliczalności oznacza odpowiedzialność za przestrzeganie przepisów rozporządzenia i możność wykazania ich przestrzegania. Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad.
Zatem w niniejszej sprawie - wobec naruszenia ochrony danych, do którego doszło - to na administratorze spoczywał obowiązek wykazania, iż zasady określone w RODO były przestrzegane. Okolicznością niesporną w sprawie jest zaś to, że miało miejsce naruszenie ochrony danych osobowych uczestniczki postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze, co umożliwiło dostęp do danych (kopiowanie) osobom nieupoważnionym. Na okoliczności te wskazywała Spółka w toku postępowania, przedstawiając jednocześnie uzasadnienie postanowienia Prokuratury Okręgowej w G. o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r.
Prawidłowo zatem organ stwierdził, że skarżąca Spółka jako administrator danych osobowych nie zastosowała właściwego poziomu bezpieczeństwa, co doprowadziło do nieuprawnionego udostępnienia danych osobowych uczestniczki postępowania i w sytuacji złożenia indywidualnej skargi skutkuje odpowiedzialnością administratora na gruncie RODO.
Wobec argumentacji skargi wskazać należy, że w sprawie będącej przedmiotem rozpoznania przez Sąd nie chodziło o ustalenie stopnia wadliwości zabezpieczeń technicznych stosowanych przez P. sp. z o.o. (jak w sprawie o sygn. akt II SA/Wa 567/22, w której zapadł nieprawomocny wyrok przez Wojewódzkim Sądem Administracyjnym w Warszawie). Zwrócić trzeba uwagę, że innym postępowaniem jest postępowanie w ramach którego dokonywana jest ocena prawidłowości stosowania przepisów sekcji 1 (Obowiązki ogólne) czy sekcji 2 (Bezpieczeństwo danych osobowych) rozdziału IV RODO, czego w tej sprawie organ nie dokonywał, a innym rozpatrywanie przez organ indywidualnej skargi wniesionej przez osobę, której dane dotyczą w zakresie zgodności przetwarzania jej danych z przepisami RODO na podstawie art. 77 ust. 1 RODO.
Uczestniczka postępowania miała zatem prawo wystąpić do Prezesa UODO z indywidualną skargą podnosząc kwestię niezgodnego z przepisami RODO przetwarzania (tj. ujawnienia) podmiotom nieuprawnionym jej danych osobowych przez administratora. Zasadnie zatem organ prowadził to postępowanie i rozstrzygnął je decyzją udzielając upomnienia Spółce za naruszenie RODO polegające na udostępnieniu (ujawnieniu) bez podstawy prawnej danych osobowych uczestniczki postępowania podmiotom nieuprawnionym.
Zgodnie z motywem 39 RODO dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. Opisana wyżej okoliczność polegająca na niezabezpieczeniu hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze spowodowała, że dane osobowe uczestniczki postępowania zostały ujawnione podmiotom do tego nieuprawnionym. Co istotne, w przedmiotowej sprawie nie doszło do złamania zabezpieczeń technicznych, lecz do ich niezastosowania polegającego na niezabezpieczeniu hasłem dostępu do bazy danych osobowych, tym samym zaś na umożliwieniu dostępu do nich i finalnie ich ujawnieniu, a więc przetworzeniu.
Nie można zgodzić się ze stanowiskiem Spółki, iż w tym przypadku nie mamy do czynienia z przetwarzaniem (udostępnieniem) danych osobowych uczestniczki postępowania. Ujawnienie danych osobowych, o którym mowa w powołanym wyżej art. 4 pkt 2 RODO, nie musi być wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak zamierzone przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi). Może ono polegać także na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych. Do takiej sytuacji niewątpliwie doszło w realiach rozpoznanej sprawy.
Poprzez opisane wyżej ujawnienie danych osobowych uczestniczki postępowania doszło do ich przetwarzania i to ono było przedmiotem postępowania prowadzonego przez Prezesa UODO. Kluczowe dla oceny takiego przetwarzania było zaś wskazanie podstawy prawnej, której - jak trafnie stwierdził organ - nie było.
Podkreślić w związku z tym należy, że w świetle przepisów RODO przetwarzanie (a zatem także ujawnienie, udostępnienie) danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 RODO, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Żadna z powyższych przesłanek nie została w niniejszej sprawie spełniona w odniesieniu do udostępnienia danych osobowych uczestniczki postępowania podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy.
Prawidłowo zatem organ uznał, że Spółka dopuściła się naruszenia art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych uczestniczki postępowania podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum.
W związku z powyższym Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO, udzielił Spółce upomnienia.
Organ zastosował zatem jeden z najłagodniejszych środków nie przekraczając zasady proporcjonalności. Zdaniem Sądu zastosowany środek jest adekwatny do stwierdzonego w decyzji naruszenia RODO. W stanie faktycznym sprawy doszło bowiem do ujawnienia danych osobowych uczestniczki podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy. Powyższe incydenty doprowadziły do naruszenia poufności danych osobowych uczestniczki zakresie imienia i nazwiska oraz numeru PESEL. Ponadto, o doniosłości naruszenia świadczy także treść postanowienia Prokuratury Okręgowej w G. o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r. w sprawie sygn. akt [...]. W treści postanowienia wskazano, że "Dane personalne klientów Skarżącej poprzez błąd ludzki zostały pozostawione na niebezpiecznym serwerze danych, skąd dwukrotnie skutecznie pobrane" przez wymienione w postanowieniu osoby (s. 8 i 9 postanowienia).
Zatem waga stwierdzonego naruszenia i jego charakter dawały podstawę do udzielenia Spółce upomnienia. Zauważyć przy tym należy, że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Przepis art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Stwierdzenie naruszenia ochrony danych przez administratora musi wiązać się z określonymi konsekwencjami.
Konkludując stwierdzić należy, że zaskarżona decyzja Prezesa UODO w zakwestionowanym zakresie (dotyczącym punktu 1) nie narusza prawa, zaś zarzuty skargi nie zasługują na uwzględnienie. Organ nie dopuścił się naruszenia przepisów RODO - zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego. W toku postępowania nie doszło również do naruszenia art. 7, art. 77 § 1 i art. 80 k.p.a. Organ prawidło ustalił stan faktyczny sprawy, w wystarczający sposób zebrał i ocenił materiał dowodowy, zaś ocena ta nie ma charakteru dowolnego. Wydając rozstrzygnięcie w sprawie organ w sposób przekonujący je uzasadnił, zgodnie z art. 107 § 3 k.p.a. Brak jest jednocześnie podstaw by stwierdzić, że w sprawie doszło do naruszenia zasady zaufania uczestnika postępowania do władzy publicznej (art. 8 k.p.a.), czy też zasady przekonywania (art. 11 k.p.a.).
Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 w związku z art. 119 pkt 2 i art. 120 p.p.s.a., orzekł jak w sentencji.Pełny tekst orzeczenia
II SA/Wa 1069/24
Oryginalna, niezmieniona treść orzeczenia. Jeżeli chcesz przeczytać analizę (zagadnienia prawne, podstawa prawna, argumentacja, rozstrzygnięcie), wróć do strony orzeczenia.