II SA/Wa 1200/24

II SA/Wa 1200/24 - Wyrok WSA w Warszawie
Data orzeczenia
2024-12-11
orzeczenie nieprawomocne
Data wpływu
2024-07-24
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Iwona Maciejuk /sprawozdawca/
Karolina Kisielewicz-Sierakowska /przewodniczący/
Mateusz Rogala
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 455/25 - Wyrok NSA z 2026-02-27
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1 art. 4, art. 6, art. 5 ust. 1, art. 28 ust. 1, art. 77, art. 58 ust. 2,
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2022 poz 2000
art. 7, art. 8, art. 11, art. 77, art. 80, art. 107
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U. 2019 poz 1781
art. 34, art. 23
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz-Sierakowska, Sędzia WSA Iwona Maciejuk (spr.), Asesor WSA Mateusz Rogala, po rozpoznaniu w trybie uproszczonym w dniu 11 grudnia 2024 r. sprawy ze skargi F. S.A. z siedzibą w G. na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] maja 2024 r. nr [...], na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2024 r., poz. 572 ze zm.), w zw. z art. 7 ust. 1 i ust. 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781), art. 5 ust. 1 lit. f, art. 6 ust. 1, art. 28 ust. 1, art. 18 oraz art. 58 ust. 2 lit. b Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 74 z 4.03.2021, s. 35), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie ze skargi D. S., zwany dalej wnioskodawcą/uczestnikiem, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez F. S.A. z siedzibą w [...], polegające na przetwarzaniu danych pomimo złożonego żądania usunięcia tych danych oraz naruszeniu ochrony danych osobowych poprzez ich ujawnienie w zakresie imienia, nazwiska, adresu, numeru telefonu i numeru PESEL podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz F. S.A., Prezes UODO w pkt 1 udzielił F. S.A. z siedzibą w [...] upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na ujawnieniu danych osobowych D. S. podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz F. S.A., w pkt 2 odmówił uwzględnienia wniosku w zakresie nakazania F. z siedzibą w [...] usunięcia danych osobowych D. S., w pkt 3 umorzył postępowanie w zakresie wniosku dotyczącego nakazania F. S.A. z siedzibą w [...] ograniczenia przetwarzania danych osobowych D. S.
Prezes UODO w uzasadnieniu wskazał, że do UODO wpłynęła skarga D.S. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez F. S.A. z siedzibą w [...], polegające na przetwarzaniu danych pomimo złożonego żądania usunięcia tych danych oraz naruszeniu ochrony danych osobowych poprzez ich ujawnienie w zakresie imienia, nazwiska, adresu, numeru telefonu i numeru PESEL podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes UODO, ustalił następujący stan faktyczny:
1. Spółka pozyskała dane osobowe wnioskodawcy [...] września 2017 r. w związku z zawarciem z nim umowy kompleksowej sprzedaży [...]. Wnioskodawca wypowiedział umowę ze skutkiem na dzień [...] września 2019 r. [dowód: pismo wnioskodawcy z [...] czerwca 2020 r. oraz wyjaśnienia Spółki z [...] sierpnia 2020 r. oraz [...] lipca 2023 r.];
2. Spółka wskazała: "Ze względu na możliwość przekazania przez Operatora Systemu Dystrybucyjnego korekty końcowego odczytu licznika już po zakończeniu umowy, [...] może jeszcze dokonywać korekty końcowego rozliczenia" [dowód: wyjaśnienia Spółki z [...] sierpnia 2020 r.];
3. Dnia [...] maja 2020 r. Spółka wysłała wnioskodawcy pismo informujące o naruszeniu ochrony jego danych osobowych poprzez ich udostępnienie osobom nieupoważnionym [dowód: pismo wnioskodawcy z [...] czerwca 2020 r.];
4. Dnia [...] maja 2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z [...] sp. z o.o., z którą łączy ją również wcześniej zawarta umowa o współpracy [dowód: kopia umowy powierzenia przetwarzania danych zawartej pomiędzy Spółką a [...] sp. z o.o. z [...] maja 2018 r.];
5. Na podstawie ww. umów [...] sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki [dowód; załącznik pisma Dyrektora Departamentu Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych z [...] czerwca 2021 r. w postaci załącznika nr 1 do umowy powierzenia przetwarzania danych z [...] maja 2018 r.];
6. Dnia [...] kwietnia 2020 r. Spółka powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. [...] sp. z o.o. oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. [dowód: wyjaśnienia Spółki z [...] sierpnia 2020 r.];
7. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany poprzez wdrożenie zabezpieczeń przez [...] sp. z o.o. [dowód: wyjaśnienia Spółki z [...] sierpnia 2020 r.];
8. Dnia [...] kwietnia 2020 r. Spółka zgłosiła ww. naruszenie do Prezesa UODO [dowód: wyjaśnienia Spółki z [...] sierpnia 2020 r.];
9. Spółka ustaliła, że w przypadku wnioskodawcy doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, numeru PESEL [dowód: wyjaśnienia Spółki z [...] sierpnia 2020 r.];
10. W związku z powyższym wyciekiem Spółka zawiadomiła o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w [...] - Wydział [...] Dział [...], Komendę Wojewódzką Policji w [...] - Wydział [...], [dowód: wyjaśnienia Spółki z [...] sierpnia 2020 r.];
11. W prowadzonym przez Departament Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych postępowaniu pod sygnaturą [...] ustalono, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] dnia [...] kwietnia 2020 r. pomiędzy godz. [...] a godz. [...]. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...] kwietnia 2020 r. godz. [...] do [...] kwietnia 2020 r. godz. [...] i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB [dowód: pismo Dyrektora Departamentu Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych z [...] czerwca 2021 r.].
W tym stanie faktycznym Prezes UODO, mając na względzie art. 6 ust. 1 RODO, wskazał, że wnioskodawca był klientem Spółki od [...] września 2017 r. do [...] września 2019 r., wobec czego podstawę prawną uprawniającą Spółkę do przetwarzania jego danych osobowych - w tym okresie - stanowił początkowo art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej ustawą o ochronie danych osobowych z 1997 r. Przepis ten stanowił, że przetwarzanie danych jest dopuszczalne wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Następnie, od [...] maja 2018 r., był nim art. 6 ust. 1 lit. b RODO stanowiący, że przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Po rozwiązaniu łączącej strony umowy dalszą podstawę przetwarzania danych osobowych wnioskodawcy stanowił i nadal stanowi art. 6 ust. 1 lit. c RODO. Przepis ten stanowi bowiem, że przetwarzanie jest zgodne z prawem gdy - i w takim zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Powyższe było związane z tym, że przetwarzanie było niezbędne do wypełnienia obowiązku prawnego wynikającego z art. 86 § 1 ustawy z dnia z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (Dz. U. z 2023 r. poz. 2383 ze zm.), zgodnie z którym podatnicy obowiązani do prowadzenia ksiąg podatkowych przechowują księgi i związane z ich prowadzeniem dokumenty do czasu upływu okresu przedawnienia zobowiązania podatkowego, chyba że ustawy podatkowe stanowią inaczej, co oznacza, że dane te będą przetwarzane przez okres 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (art. 70 § 1 wskazanej wyżej ustawy) oraz z art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U. z 2023 poz. 120 ze zm.), zwanej dalej ustawą o rachunkowości, zgodnie z którym Spółka zobligowana jest do przechowywania danych m.in. z ksiąg rachunkowych, czy dowodów księgowych.
Prezes UODO podkreślił, że przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO). Spółka była uprawniona do przetwarzania danych osobowych wnioskodawcy, ale nie w kwestionowanym zakresie, tj. do ujawnienia poprzez ich udostępnienie.
Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę poufności (lit. f), która wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 RODO wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
Spółka [...] maja 2018 r. zawarła umowę powierzenia przetwarzania danych z [...] sp. z o.o., z którą łączy ją również wcześniej zawarta umowa o współpracy. Na podstawie ww. umowy [...] sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki. W relacji tej Spółka jest administratorem danych a [...] sp. z o.o. podmiotem przetwarzającym. Zgodnie z art. 4 pkt 7 i 8 RODO "Administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Natomiast "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora (art. 28 ust. 3 RODO). Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).
Prezes UODO zwrócił także uwagę na treść art. 32 RODO, zgodnie z którym uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym m.in. w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się, w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 32 ust.2 RODO).
Ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika, że w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych wnioskodawcy, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. [...] sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu [...] dnia [...] kwietnia 2020 r. pomiędzy godz. [...] a godz. [...]. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...] kwietnia 2020 r. godz. [...] do [...] kwietnia 2020 r. godz. [...] i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Powyższy incydent doprowadził do naruszenia poufności danych osobowych wnioskodawcy w zakresie imienia, nazwiska, numeru PESEL.
Do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu [...] sp. z o.o., jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za wskazane naruszenie. Prezes UODO biorąc pod uwagę powyższe uznał, że ujawnienie danych osobowych wnioskodawcy podmiotom i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO). Spółka naruszyła również zasadę poufności poprzez przetwarzanie danych wnioskodawcy w sposób niezapewniający im odpowiedniego bezpieczeństwa.
Prezes UODO wyjaśnił, że prowadzone przez niego postępowanie administracyjne służy kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej. Decyzje służą zastosowaniu uprawnień naprawczych, o których mowa w art. 58 ust. 2 RODO.
Prezes UODO ocenił, że Spółka dopuściła się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych wnioskodawcy podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W związku z powyższym Prezes UODO udzielił Spółce upomnienia. Prezes UODO nie uznał za zasadne nakazanie Spółce usunięcia danych osobowych wnioskodawcy na podstawie uprawnienia z art. 58 ust. 2 lit. c RODO, ponieważ Spółka legitymuje się obecnie podstawą prawną do przetwarzania danych wnioskodawcy, którą jest art. 6 ust. 1 lit. c RODO - Spółka zobligowana jest do przechowywania danych m.in. z ksiąg rachunkowych, czy dowodów księgowych, a wynika to z art. 86 § 1 i art. 70 § 1 ordynacja podatkowa oraz art. 74 ustawy o rachunkowości. Z uwagi na to, że umowa pomiędzy stronami została rozwiązana ze skutkiem na [...] września 2019 r., zobowiązanie podatkowe, o którym mowa art. 70 § 1 ordynacja podatkowa, nie zostało jeszcze przedawnione. Ponadto zebrany w sprawie materiał dowodowy wykazał, że wnioskodawca nie zwracał się do Spółki z żądaniem w zakresie ograniczenia przetwarzania jego danych, stosownie do treści art. 18 ust. 1 RODO zgodnie z którym, osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania, gdy kwestionuje prawidłowość danych osobowych - na okres pozwalający administratorowi sprawdzić prawidłowość tych danych (art. 18 ust. 1 lit. a RODO); przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania (art. 18 ust. 1 lit. b RODO); administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń (art. 18 ust. 1 lit. c RODO); osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania - do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą (art. 18 ust. 1 lit. d RODO). Wobec braku takiego żądania, postępowanie w tym zakresie podlegało umorzeniu wobec jego bezprzedmiotowości.
F. S.A. z siedzibą w [...], reprezentowana przez radcę prawnego, w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na pkt 1 decyzji Prezesa UODO z dnia [...] maja 2024 r. nr [...], wniosła o uchylenie tego punktu decyzji, zasądzenie od organu na rzecz strony skarżącej kosztów postępowania, w tym kosztów zastępstwa prawnego, według norm przepisanych, pełnomocnik wniósł o rozpoznanie sprawy w trybie uproszczonym, na podstawie art. 119 pkt 2 ustawy – Prawo o postępowaniu przed sądami administracyjnymi oraz o dopuszczenie i przeprowadzenie dowodu z postanowienia Prokuratury Okręgowej w [...] o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r. w sprawie o sygn. akt [...] na okoliczność, że skarżąca nie dokonywała przetwarzania danych poprzez ujawnienie ich osobom trzecim. Pełnomocnik zarzucił:
- naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 7, art. 8, art. 11 w zw. z art. 107 § 3 oraz art. 77 § 1 k.p.a. w zw. z art. 7 ust. 1 u.o.d.o., polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do wydania wadliwej i przedwczesnej decyzji;
- naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 80 k.p.a. w zw. z art. 7 ust. 1 u.o.d.o. polegające na przekroczeniu granic swobodnej oceny dowodów i - w konsekwencji - błędnym przyjęciu, że Spółka przetwarzała dane osobowe uczestniczka postępowania bez podstawy prawnej, podczas gdy podstawa ta istniała w postaci art. 6 ust. 1 lit c RODO, a ewentualne naruszenie poufności danych osobowych uczestnika postępowania nie może zostać zakwalifikowane jako udostępnienie danych poprzez ich udostępnienie przez administratora;
- naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na jego błędnym zastosowaniu skutkującej przyjęciem, że Spółka przetwarzała dane osobowe uczestnika postępowania bez podstawy prawnej, podczas gdy w stanie faktycznym sprawy taka podstawa istniała w art. 6 ust. 1 lit f) i c) RODO.
W uzasadnieniu skargi pełnomocnik wskazał, że w zakresie ustalenia stanu faktycznego sprawy organ oparł się w całości na oświadczeniu [...] oraz swoich własnych ustaleniach poczynionych w sprawie o sygnaturze [...], dotyczącej zgłoszenia naruszenia bezpieczeństwa ochrony danych przez [...] z dnia [...] kwietnia 2020 r.
Pełnomocnik zwrócił uwagę, że organ błędnie powołał przepisy RODO, które rzekomo naruszyła Spółka, czym sam naruszył art. 7, 8 i art. 11 w zw. z art. 107 § 3 k.p.a.
W sentencji decyzji PUODO orzekł, że udziela upomnienia za naruszenie przepisów art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO polegające na ujawnieniu danych osobowych uczestnika postępowania podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki. Z uzasadnienia wnioskować tymczasem można, że kara upomnienia została nałożona za naruszenie poufności danych (art. 5 ust. 1 lit. f RODO).
Zdaniem Spółki stanowisko organu wyrażone w uzasadnieniu zaskarżonej decyzji jest niekonsekwentne. Z jednej strony organ wydaje się całkowicie pomijać stan faktyczny sprawy oraz działania, które zostały podjęte przez Spółkę, z drugiej strony sam przywołuje działania podjęte przez nią. Spółka podniosła, że decyzja wydana przez PUODO w sprawie o sygnaturze [...], której ustalenia faktyczne stanowiły podstawę wydania zaskarżonej decyzji w sprawie niniejszej została uchylona w wyniku kontroli sądowej przez Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 10 października 2022 r. (sygn. akt. II SA/Wa 567/22) ze względu na istniejące poważne nieprawidłowości po stronie organu w zakresie ustalenia stanu faktycznego. Tym samym oznacza to, że zaskarżona decyzja narusza art. 77 i 80 k.p.a., gdyż nie została oparta na prawidłowo ustalonym stanie faktycznym. Organ nie ustalił w szczególności, czy rzeczywiście i w jakim zakresie doszło do naruszenia przez Spółkę zasady poufności z art. 5 ust. 1 lit f RODO w zw. z art. 32 i nast. RODO.
Pełnomocnik podkreślił, że Prokuratura Okręgowa w [...] postanowieniem z dnia [...] kwietni 2021 r. w sprawie o sygn. akt [...] [...] czerwca 2021 r. umorzyła dochodzenie: w sprawie uzyskania bez uprawnień w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. w nieustalonym miejscu za pośrednictwem sieci Internet poprzez niezabezpieczony port serwera informacji dla niego nieprzeznaczonej w postaci bazy danych klientów firmy F. S.A., tj. o czyn z art. 267 § 1 k.k. – wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego; w sprawie przetwarzania, w nieustalonym okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. w [...], danych osobowych klientów firmy F. S.A. chociaż ich przetwarzanie nie jest dopuszczalne lub bez uprawnienia, tj. o czyn z art. 107 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych - wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego. W treści uzasadnienia wyżej wskazanego postanowienia: "Dane personalne klientów F. Polska S.A. poprzez błąd ludzki zostały pozostawione na niezabezpieczonym serwerze danych, skąd zostały dwukrotnie skutecznie pobrane przez M. B. i V. D. Niezwłoczna reakcja tychże dwóch osób i powiadomienie właściciela danych o ich wycieku, uchroniło wskazane informacje przed dalszym skutecznym pobieraniem z serwera i następczym rozpowszechnianiem" (str. 9 postanowienia Prokuratury Okręgowej w [...]). Bezzasadny jest zatem zarzut PUODO jakoby [...] nie podjęła określonego działania, bowiem niezwłocznie po uzyskaniu informacji od wyżej wskazanych osób dostęp do danych został zabezpieczony. Nie zaistniało wobec tego żadnego rodzaju udostępnianie danych klientów [...] osobom nieupoważnionym.
Spółka zarzuciła również, że zastosowany środek naprawczy w postaci upomnienia jest nieadekwatny i oderwany od realiów sprawy. Prezes UODO wskazał wprawdzie stan, który uznał za niepożądany, udzielając Spółce upomnienia (organ określił go błędnie jako brak uprawnienia Spółki do przetwarzania danych osobowych uczestnika w zakresie ich ujawnienia); nie wskazał jednak czy i w jakim zakresie Spółka uchybiła swoim obowiązkom - poza "ujawnieniem danych", czego w istocie nie uczyniła. Jak wskazał PUODO "do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu [...] sp. z o.o." Spółka podniosła, że nie można jednak zgodzić się z dalszą częścią wywodu PUODO, wedle której "jednak w procesie przetwarzania danych osobowych działał on [[...] sp. z o.o.] jako podmiot przetwarzający, a zatem w imieniu i na rzecz spółki [[...]]. W związku z tym to Spółka [[...]] ponosi odpowiedzialność za wskazane naruszenie". Zdaniem Spółki organ w płynny sposób przeszedł od "ujawnienia" danych do przypisania [...] odpowiedzialności za "naruszenie bezpieczeństwa danych osobowych", nie dokonując w tym zakresie żadnych ustaleń faktycznych. Tymczasem kwestia naruszenia przez Spółkę poufności danych jest przedmiotem oceny w odrębnym postępowaniu, w którym decyzja PUODO [...] została uchylona przez WSA w Warszawie. Pełnomocnik wskazał m.in., że nie sposób przypisać prawodawcy intencji ustanowienia reguły odpowiedzialności administratora za utratę czy też ujawnienie danych na zasadzie ryzyka.
Spółka zarzuciła naruszenie przepisów prawa materialnego, tj. art. 6 ust. 1 RODO, polegające na błędnym jego zastosowaniu, skutkującym przyjęciem, że [...]przetwarzała dane osobowe uczestnika postępowania poprzez ich ujawnienie osobom nieupoważnionym, bez podstawy prawnej. Tymczasem Spółka nie dokonywała przetwarzania polegającego na ujawnieniu danych osobom nieupoważnionym, a dane uczestnika przetwarzała przede wszystkim na podstawie art. 6 ust. 1 lit f) RODO. W sentencji decyzji PUODO wskazał, że upomnienie zostało nałożone na [...] za "ujawnienie danych osobowych Pana D. S. (...) podmiotom i osobom do tego nieupoważnionym". Taką kwalifikację stosuje PUODO do naruszenia ochrony danych osobowych trwającego od [...] do [...] kwietnia 2020 r., polegającego na tym, że w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksującej przez podmiot przetwarzający, z którego usług korzystało [...], doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych (akapit 1 na 6 str. Decyzji) W ten sposób, zdaniem organu, [...] miała się dopuścić naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO. Pełnomocnik wskazał, że w żadnym wypadku w rozpatrywanej sprawie nie doszło do przetwarzania przez [...] danych osobowych bez podstawy prawnej poprzez ich ujawnienie podmiotom nieupoważnionym. Zgodnie z art. 4 ust. 2 RODO "ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie" jest rodzajem przetwarzania danych osobowych. Oznacza to, że przetwarzanie takich danych musi spełnić wymogi z art. 6 ust. 1 RODO, co m.in. wymaga posiadania podstawy prawnej dla przetwarzania danych zgodnie z prawem. Taką podstawę posiadała też strona skarżąca, w postaci umowy z uczestnikiem postępowania, co potwierdził również sam organ wskazując, że "Skarżący był klientem Spółki od [...] czerwca 2019 r. do [...] grudnia 2019 r., wobec czego podstawę prawną uprawniającą Spółkę do przetwarzania jego danych osobowych stanowił art. 6 ust. 1 lit. b RODO. Po rozwiązaniu łączącej strony umowy dalszą podstawę przetwarzania danych osobowych Skarżącego stanowił i nadal stanowi art. 6 ust. 1 lit. c RODO. Przepis ten stanowi bowiem, że przetwarzanie jest zgodne z prawem, gdy - i w takim zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze".
Pełnomocnik podkreślił, że z udostępnieniem danych osobowych będziemy mieli do czynienia jedynie wtedy, "gdy administrator danych osobowych w sposób faktyczny przekaże bądź inaczej umożliwi zapoznanie się z takimi danymi innej osobie lub podmiotowi, który to podmiot pełnić będzie w stosunku do tych danych osobowych funkcję administratora danych". Tymczasem w niniejszej sprawie celem przetwarzania danych uczestnika postępowania przez [...] nigdy nie było ujawnienie jego danych. Osoby lub podmioty, które potencjalnie mogły uzyskać dostęp do danych osobowych uczestnika nie są zaś w żadnym razie odrębnymi administratorami danych, na rzecz których ujawnienie nastąpiło. W czasie naruszenia bezpieczeństwa danych osobowych uczestnika, tj. w okresie od [...] do [...] kwietnia 2020 r. strona skarżąca przetwarzała dane osobowe uczestnika wyłącznie na podstawie art. 6 ust. 1 lit. f) RODO przez czas przedawnienia roszczeń oraz na podstawie art. 6 ust. 1 lit. c) RODO, czyli obowiązku przechowywania niektórych danych na podstawie przepisów prawa i nie dokonywała ich ujawnienia innym administratorom.
Spółka zwróciła uwagę, że w orzecznictwie: pojęcie "przetwarzania" opisuje czynność. Ze swej natury musi mieć ona swojego sprawcę. Spółka przytoczyła fragmenty uzasadnienia wyroku wyrok WSA w Warszawie z dnia 23 czerwca 2022 r., sygn. akt II SA/Wa 3752/21 i wskazała, że w niniejszej sprawie celem przetwarzania danych uczestniczki postępowania przez Spółkę nigdy nie było udostępnienie jej danych.
Zdaniem Spółki dostęp do danych przez osoby nieupoważnione należałoby rozważać wyłącznie w kategoriach naruszenia art. 5 ust. 1 lit. f w zw. z art. 32 RODO, jednakże w tym zakresie organ nie ustalił stanu faktycznego w zakresie pozwalającym na stwierdzenie, że wyżej wymienione przepisy mogą mieć zastosowanie. Jednocześnie nawet uznanie, że w rozpatrywanym stanie faktycznym mogło dojść do naruszenia bezpieczeństwa danych osobowych, nie oznacza, że Spółka dokonała czynności przetwarzania poprzez ujawnienie danych osobom nieupoważnionym. Kwestię ujawnienia (w tym również udostępnienia) danych bez podstawy prawnej odróżnić należy od przypadków, gdy osoba trzecia uzyskuje dostęp do danych bez działania osoby je przetwarzającej. Spółka przywołała wyrażony w doktrynie pogląd, z godnie z którym "Jeżeli zatem osoba trzecia złamie zabezpieczenia techniczne chroniące dane osobowe przed dostępem do nich lub ukradnie dokumenty zawierające dane osobowe, to nie będzie to udostępnienie danych osobowych. Takie sytuacje trzeba bowiem kwalifikować jako uzyskanie, niezgodnie z prawem, dostępu do danych osobowych." [D. Lubasz, W. Chomiczewski, M. Czerniawski, P. Drobek, U. Góral, M. Kuba, P. Makowski, K. Witkowska-Nowakowska, art. 4 (w:) RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, pkt 16). Zdaniem Spółki w niniejszej sprawie za takie przełamanie zabezpieczeń należy właśnie uznać dwa połączenia z jej bazą danych, w ramach której były przetwarzane dane osobowe uczestnika postępowania.
W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi, podtrzymując argumentację zawartą w zaskarżonej decyzji. Organ odniósł się do zarzutów skargi wskazując na ich niezasadność. Organ nie wnosił o przeprowadzenie rozprawy.
Prezes UODO podniósł nadto m.in., że w przedmiotowej sprawie należało oczekiwać od Spółki określonego działania (co zostało wskazane w skarżonej decyzji), tj. odpowiedniego zabezpieczenia danych, co zniwelowałoby ryzyko ich utraty. To jednak brak działania był przyczyną ujawnienia danych osobowych prowadząc do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie jej zawartości.
W myśl motywu 39 RODO, dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. W związku z tym należało się do ww. naruszenia odnieść w treści uzasadnienia decyzji, gdyż ten fakt spowodował przetworzenie danych osobowych uczestnika postępowania, tj. ich udostępnienie i to ono było przedmiotem postępowania. Podstawą badania udostępnienia było zaś znalezienie podstawy prawnej takiego przetworzenia, której - zgodnie z ustaleniami PUODO - nie było. W związku z powyższym, organ był zobligowany do odniesienia się do naruszenia zasady poufności przez Spółkę, której skutkiem było kwestionowane przetworzenie, tj. ujawnienie danych osobowych wnioskodawcy i tak też określił podstawę prawną zarówno w sentencji, jak i uzasadnieniu decyzji (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f).
Organ ustosunkowując się do treści skargi zwrócił również uwagę, że w sprawie nie doszło do złamania zabezpieczeń, lecz do ich niezastosowania polegającego na niezabezpieczeniu hasłem dostępu do bazy danych osobowych, tym samym zaś na umożliwieniu dostępu do nich i finalnie ich ujawnieniu, a więc przetworzeniu. Zdaniem Prezesa UODO postanowienie, na które powołuje się Spółka potwierdza słuszność skarżonej obecnie decyzji organu. Z ww. postanowienia jednoznacznie wynika, że przez błąd ludzki baza danych zawierająca dane osobowe klientów Spółki nie została odpowiednio zabezpieczona przed udostępnieniem.
Prezes UODO odnosząc się do skargi stwierdził nadto m.in., że w zaskarżonej decyzji stwierdził, że Spółka miała podstawę prawną do przetwarzania danych osobowych uczestniczki, jednak nie była uprawniona do ich przetwarzania poprzez udostępnienie tychże danych.
W piśmie procesowym z dnia [...] sierpnia 2024 r. Spółka podtrzymała zarzuty skargi oraz zakwestionowała słuszność argumentacji przedstawionej przez organ w odpowiedzi na skargę. Pełnomocnik wskazał m.in., że decyzja wydana przez PUODO w sprawie o sygnaturze [...], której ustalenia faktyczne stanowiły podstawę wydania decyzji w sprawie niniejszej została uchylona w wyniku kontroli sądowej przez Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 10 października 2022 r. (sygn. akt. II SA/Wa 567/22) ze względu na istniejące poważne nieprawidłowości po stronie organu w zakresie ustalenia stanu faktycznego. Z drugiej strony PUODO nie kwestionuje twierdzeń strony dotyczących podjętych przez nią działań oraz sam przywołuje je w odpowiedzi na skargę.
Pełnomocnik podkreślił, że nawet uznanie, że w rozpatrywanym stanie faktycznym mogło dojść do naruszenia bezpieczeństwa danych osobowych, nie oznacza, że [...] dokonało czynności przetwarzania poprzez ujawnienie danych osobom nieupoważnionym. Spółka zarzuciła, że organ nie odniósł się wprost do zarzutu naruszenia art. 77 i 80 KPA, gdyż decyzja nie została oparta na prawidłowo ustalonym stanie faktycznym. Organ nie ustalił w szczególności, czy rzeczywiście i w jakim zakresie doszło do naruszenia przez stronę skarżącą zasady poufności z art. 5 ust. 1 lit f RODO w zw. z art. 32 i nast. RODO. Pełnomocnik zaznaczył, że [...] w żadnym wypadku nie kwestionuje celowości ochrony praw osób fizycznych.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2024 r., poz. 1267), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W świetle powołanych przepisów, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.
Sprawa rozpoznana została w trybie uproszczonym. Zgodnie z art. 119 pkt 2 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2024 r., poz. 935), zwanej dalej p.p.s.a., sprawa może być rozpoznana w trybie uproszczonym, jeżeli strona zgłosi wniosek o skierowanie sprawy do rozpoznania w trybie uproszczonym, a żadna z pozostałych stron w terminie czternastu dni od zawiadomienia o złożeniu wniosku nie zażąda przeprowadzenia rozprawy.
Stosownie do treści art. 134 § 1 p.p.s.a., sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).
Skarga oceniana w świetle powyższych kryteriów nie podlegała uwzględnieniu.
W sprawie tej Sąd dokonując oceny legalności decyzji Prezesa UODO w zaskarżonym zakresie dotyczącym jej punktu 1, zobowiązany był – co do zasady – zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami RODO.
Analizowana pod tym kątem skarga nie zasługuje na uwzględnienie, albowiem decyzja Prezesa UODO z dnia [...] maja 2024 r. w kwestionowanym zakresie dotyczącym punktu 1 – nie narusza obowiązujących przepisów prawa. Sąd uznał, że Prezes UODO, wydając decyzję w kwestionowanym zakresie nie dopuścił się naruszenia zarówno wiążących Polskę przepisów prawa europejskiego, jak i regulacji prawa krajowego, w tym k.p.a., w stopniu, który miałby istotny wpływ na wynik sprawy zakończonej wydaniem zaskarżonej decyzji.
Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych) i jednocześnie organem nadzorczym, w rozumieniu RODO (art. 34 ust. 2 u.o.d.o.).
Jak stanowi art. 57 ust. 1 lit. a i lit. f RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia, a także rozpatruje skargi wniesione przez osobę, której dane dotyczą.
W sprawie tej Sąd stwierdził, że - wbrew zarzutom skargi – organ ochrony danych osobowych, rozstrzygając w punkcie 1 decyzji, nie dopuścił się - mogącego mieć wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 8 k.p.a. art. 11 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., czy art. 107 § 3 k.p.a., albowiem organ wyjaśnił wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia niniejszej sprawy, w granicach prowadzonego postępowania, wyznaczonych skargą D. S. - uczestnika niniejszego postępowania. Prezes UODO dokonał także zdaniem Sądu właściwej oceny zebranego w sprawie materiału dowodowego, dokonując tej oceny w kontekście prawidłowo zastosowanych przepisów RODO.
W działaniach Prezesa UODO w tej sprawie Sąd nie stwierdził jakichkolwiek istotnych nieprawidłowości, zarówno w zakresie dokonanych ustaleń stanu faktycznego, jak i zastosowania do jego oceny przepisów prawa materialnego. Uzasadnienie zaskarżonej decyzji odpowiada wymogom art. 107 § 3 k.p.a., Prezes UODO wyjaśnił motywy podjętego w punkcie 1 rozstrzygnięcia i powody, jakie legły u jego podstaw. Argumentacja organu jest w tym zakresie wyczerpująca i wyjaśnia dlaczego zapadło takie a nie inne rozstrzygnięcie.
Podkreślenia wymaga, że celem postępowania administracyjnego jest rozstrzygnięcie sprawy administracyjnej dotyczącej konkretnej osoby (podmiotu danych). W wyniku postępowania wyjaśniającego organ administracji publicznej ma dojść do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych. W sprawie tej organ dokonał niezbędnych ustaleń faktycznych, opartych na oświadczeniu Spółki i własnych ustaleniach. W sprawie jest bezsporne, że uczestnik postępowania był klientem Spółki do [...] września 2019 r. Spółka w dniu [...] kwietnia 2020 r. powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. [...] sp. z o.o. oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. Uwzględniając wniosek Spółki o przeprowadzenie dowodu z postanowienia Prokuratury Okręgowej z dnia [...] kwietnia 2021 r. w sprawie sygn. akt [...]. o umorzeniu dochodzenia, wskazania wymaga, że wymienione wyżej okoliczności potwierdza treść tegoż postanowienia Prokuratury Okręgowej, załączonego przez Spółkę. Nadto, Spółka samodzielnie ustaliła, że w przypadku uczestnika postępowania doszło do naruszenia ochrony danych osobowych i ich udostępnienia osobom nieupoważnionym. Potwierdza to postanowienie Prokuratury Okręgowej.
Zgodnie z art. 4 pkt 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Z motywu 26 RODO wynika, że zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Pseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. [...] Rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.
W sprawie nie ma zatem wątpliwości, że wymienione wyżej dane stanowią dane osobowe.
Uczestnik postępowania był klientem Spółki od [...] września 2017 r. do [...] września 2019 r., stąd też zasadnie organ wskazał, że przetwarzanie jego danych osobowych przez Spółkę znajdowało oparcie początkowo w art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.). W świetle tego przepisu przetwarzanie danych jest dopuszczalne wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Następnie, tj. od 25 maja 2018 r., podstawę prawna przetwarzania stanowił art. 6 ust. 1 lit. b RODO, zgodnie z którym przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Po rozwiązaniu umowy dalszą podstawę przetwarzania danych osobowych uczestnika stanowił i stanowi art. 6 ust. 1 lit. c RODO. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem gdy - i w takim zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Przetwarzanie było bowiem niezbędne do wypełnienia obowiązku prawnego wynikającego z art. 86 § 1 ustawy z dnia z dnia 29 sierpnia 1997 r. Ordynacja podatkowa ( Dz. U. z 2023 r. poz. 2383 ze zm.) oraz z art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U. z 2023 poz. 120 ze zm.).
Kwestia przechowywania danych osobowych uczestnika postępowania w badanym okresie nie była przez Prezesa UODO kwestionowana. W niniejszej sprawie Prezes UODO udzielił bowiem Spółce w punkcie 1 decyzji upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na ujawnieniu danych osobowych uczestnika postępowania, podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki. Istota sprawy sprowadzała się zatem do oceny legalności ujawnienia danych podmiotom i osobom nieuprawnionym.
Z ustaleń organu, dokonanych m.in. w oparciu o wyjaśnienia Spółki, wynika, że
w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych uczestnika postepowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. [...] sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu [...] dnia [...].04.2020 r. pomiędzy godz. [...] a godz. [...]. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...].04.2020 r. godz. [...] do [...].04.2020 r. godz. [...] i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Kwestię pobrania danych potwierdza załączone przez Spółkę do pisma procesowego postanowienie o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r. W sprawie jest bezsporne, że powyższy incydent doprowadził do naruszenia poufności danych osobowych uczestnika postępowania we wskazanym już wyżej zakresie.
Słusznie organ podnosi, iż choć do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu [...] sp. z o.o., to jednak
w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający,
a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za wskazane naruszenie. Zauważyć bowiem należy, że zgodnie z art. 28 ust. 1 RODO jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
W niniejszej sprawie Spółka skorzystała z usług podmiotu, który nie zapewniał wystarczających gwarancji wdrożenia odpowiednich środków technicznych
i organizacyjnych, by przetwarzanie spełniało wymogi RODO.
Proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Wspomniana zasada wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 RODO wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
Zdaniem Sądu prawidłowo Prezes UODO zakwalifikował ujawnienie danych osobowych uczestnika postępowania podmiotom i osobom nieupoważnionym – podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum – jako przetwarzanie danych osobowych.
Stosownie do art. 4 pkt 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Podkreślenia wymaga, że nieuprawnione ujawnienie (udostępnienie) danych dotyczy każdej sytuacji, gdy z danymi miała możliwość zapoznać się jakakolwiek osoba nieuprawniona, co w tej sprawie jest bezsporne (potwierdza to przedłożone przez skarżącą Spółkę postanowienie o umorzeniu dochodzenia). Podkreślenia wymaga, że istotą sprawy administracyjnej dotyczącej ochrony danych osobowych ze skargi uczestnika postępowania nie jest ustalenie kwestii odpowiedzialności osoby trzeciej nieupoważnionej, nieuprawnionej do pozyskania danych (zapoznania się z nimi), ale kwestia odpowiedzialności administratora za zgodność z RODO przetwarzania danych osobowych. Okoliczność, że to nie Spółka skarżąca dokonała bezpośrednio ujawnienia (udostępnienia) danych uczestnika niniejszego postępowania a podmiot przetwarzający nie wyłącza odpowiedzialności Spółki w zakresie oceny zgodności z prawem tego przetwarzania – ujawnienia danych, zwłaszcza w sytuacji gdy do tego ujawnienia danych (ich udostępnienia) doszło w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze.
Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem. W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji. Art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie, co zostało w rozporządzeniu nazwane "rozliczalnością".
Powyższe przepisy nakładają zatem na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie. Na gruncie RODO pojęcie rozliczalności oznacza odpowiedzialność za przestrzeganie przepisów rozporządzenia i możność wykazania ich przestrzegania. Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad.
W przypadku naruszenia, do którego doszło (jak w niniejszej sprawie), to na administratorze spoczywał obowiązek wykazania, iż zasady określone w RODO były przestrzegane. Okolicznością niesporną w sprawie jest zaś to, że miało miejsce naruszenie ochrony danych osobowych uczestnika postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. [...] sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze, co umożliwiło dostęp osobom nieupoważnionym. Tak wskazywała sama Spółka w toku postępowania przed Prezesem UODO. Potwierdza to również treść uzasadnienia postanowienia Prokuratury Okręgowej w [...] o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r., na które powołuje się Spółka. Poza sporem pozostaje fakt, że w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. W świetle powyższego nie budzi wątpliwości poprawność konkluzji organu, że skarżąca Spółka jako administrator danych osobowych nie zastosowała właściwego poziomu bezpieczeństwa, co doprowadziło do nieuprawnionego ujawnienia danych osobowych uczestnika postępowania i w sytuacji złożenia indywidualnej skargi, skutkuje odpowiedzialnością administratora na gruncie RODO.
Podkreślenia wymaga, że w sprawie będącej przedmiotem rozpoznania przez Sąd nie chodziło o ustalenie stopnia wadliwości zabezpieczeń technicznych stosowanych przez [...] sp. z o.o. Zwrócić trzeba uwagę, że innym postępowaniem jest postępowanie w ramach którego dokonywana jest ocena prawidłowości stosowania przepisów sekcji 1 (Obowiązki ogólne) czy sekcji 2 (Bezpieczeństwo danych osobowych) rozdziału IV RODO, czego w tej sprawie organ nie dokonywał, a innym rozpatrywanie przez organ indywidualnej skargi wniesionej przez osobę, której dane dotyczą w zakresie zgodności przetwarzania jej danych z przepisami RODO.
Zgodnie z art. 77 ust. 1 RODO, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
Uczestnik postępowania miał zatem prawo wystąpić do Prezesa UODO z indywidualną skargą podnosząc kwestię niezgodnego z przepisami RODO przetwarzania (tj. ujawnienia) podmiotom nieuprawnionym jego danych osobowych przez administratora. Zasadnie zatem organ prowadził to postępowanie i rozstrzygnął je decyzją udzielając Spółce w punkcie 1 decyzji upomnienia za naruszenie RODO polegające na ujawnieniu danych osobowych uczestnika postępowania podmiotom i osobom nieupoważnionym.
Należy podzielić stanowisko organu, iż zgodnie z motywem 39 RODO, dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
Opisana wyżej okoliczność polegająca na niezabezpieczeniu hasłem jednego
z portów pomocniczej bazy indeksów znajdującej się w chmurze spowodowała, że dane osobowe uczestnika postepowania zostały ujawnione podmiotom do tego nieupoważnionym. W przedmiotowej sprawie nie doszło do złamania zabezpieczeń technicznych, lecz do ich niezastosowania polegającego na niezabezpieczeniu hasłem dostępu do bazy danych osobowych, tym samym zaś na umożliwieniu dostępu do nich i finalnie ich ujawnieniu, a więc przetworzeniu.
Niezasadne jest twierdzenie Spółki, iż w tym przypadku nie mamy do czynienia z przetwarzaniem danych osobowych uczestnika postępowania. Ujawnienie danych osobowych, o którym mowa w powołanym wyżej art. art. 4 pkt 2 RODO, nie musi być wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak zamierzone przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi). Może ono polegać także na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych. Do takiej sytuacji niewątpliwie doszło w realiach rozpoznanej sprawy.
Poprzez opisane wyżej ujawnienie danych osobowych uczestnika postępowania doszło do ich przetworzenia i to ono było przedmiotem postępowania prowadzonego przez Prezesa UODO. Kluczowe dla oceny takiego przetwarzania było zaś znalezienie dającej do tego podstawy prawnej, której - zgodnie z ustaleniami PUODO - nie było. Sąd taką ocenę podziela. Pamiętać należy, że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Przepis art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.
W świetle przepisów RODO przetwarzanie (a zatem także ujawnienie, udostępnienie) danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 RODO, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Żadna z powyższych przesłanek nie została w niniejszej sprawie spełniona w odniesieniu do ujawnienia danych osobowych uczestnika postępowania podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy.
Prawidłowo zatem organ uznał, że Spółka dopuściła się naruszenia art. 6 ust. 1
w zw. z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych uczestnika postępowania podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W związku z powyższym Prezes UODO korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO zasadnie udzielił Spółce upomnienia.
Wskazać należy, że jest to jeden z najłagodniejszych środków stosowanych przez Prezesa UODO. Organ pomimo tego, że nie poświęcił więcej uwagi w uzasadnieniu decyzji wyjaśnieniu proporcjonalności zastosowanego środka do stwierdzonej nieprawidłowości w przetwarzaniu danych osobowych nie przekroczył zasad proporcjonalności. Zdaniem Sądu zastosowany środek jest adekwatny do stwierdzonego w decyzji naruszenia RODO. Waga stwierdzonego naruszenia i jego charakter dawały podstawę do zastosowania upomnienia.
Decyzja Prezesa UODO w zakwestionowanym zakresie (dotyczącym punktu 1) nie narusza norm prawa materialnego jak również procesowego, w stopniu który miałby wpływ na wynik sprawy. Organ prawidło ustalił stan faktyczny sprawy, w wystarczający sposób zebrał i ocenił materiał dowodowy, a następnie w przekonywujący sposób uzasadnił swoje rozstrzygnięcie. Postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi k.p.a., a w szczególności art. 7, art. 8, art. 11 k.p.a., a także innymi normami, zwłaszcza art. 77 i art. 80 k.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.
Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 w zw. z art. 119 pkt 2 i art. 120 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w wyroku.