II SA/Wa 1277/23

II SA/Wa 1277/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-03-04
orzeczenie nieprawomocne
Data wpływu
2023-06-26
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /sprawozdawca/
Karolina Kisielewicz /przewodniczący/
Mateusz Rogala
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Administracyjne postępowanie
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz, Sędzia WSA Andrzej Góraj (spr.), Asesor WSA Mateusz Rogala, Protokolant starszy specjalista Bogumiła Kobierska, po rozpoznaniu na rozprawie w dniu 4 marca 2024 r. sprawy ze skargi Miejskiego Ośrodka Pomocy Społecznej w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Postępowanie zainicjował S. K. wnosząc do Prezesa Urzędu Ochrony Danych Osobowych skargę w przedmiocie naruszenia jego danych osobowych.
Prezes Urzędu Ochrony Danych Osobowych prowadząc postępowanie ustalił, że skarżący jest pracownikiem Miejskiego Ośrodka Pomocy Społecznej w [...]. Dnia 16 lutego 2021 r. zostało ujawnione naruszenie danych osobowych skarżącego polegające na użyciu ich w celu zagłosowania na zadanie w budżecie obywatelskim. Do zdarzenia doszło prawdopodobnie w listopadzie 2020 r. i polegało ono na złamaniu przez pracownika lub pracowników MOPS regulaminu ochrony danych osobowych obowiązującego w placówce i na wskazanym już posłużeniem się m.in. danymi skarżącego.
MOPS powyższe naruszenie zgłosił do organu nadzoru jak i organów ścigania.
Decyzją z dnia [...] kwietnia 2023 r. Prezes Urzędu Ochrony Danych Osobowych udzielił Miejskiemu Ośrodkowi Pomocy Społecznej w [...] upomnienia za naruszenie art. 6 ust.1 w zw. z art. 5 ust.1 lit. a RODO polegające na uzyskaniu nieuprawnionego dostępu do danych osobowych skarżącego i posłużenie się nimi w celu oddania za niego głosu w budżecie obywatelskim.
W uzasadnieniu podkreślił, że doszło do nieuprawnionego udostępnienia danych osobowych skarżącego na rzecz osób trzecich. To zaś sprawia, że pomimo niezamierzonego działania administratora, będącego jednocześnie pracodawcą odpowiedzialnym za swoich podwładnych, doszło jednak do nieuprawnionego dostępu do danych skarżącego za co MOPS ponosi odpowiedzialność.
Od powyższej decyzji skargę do tut. Sądu wywiódł Miejski Ośrodek Pomocy Społecznej w [...] wnosząc o jej uchylenie i zarzucając organowi naruszenie:
1- Art. 7, 77 § 1 i 107 § 3 K.p.a. w zw. z art. 7 ust. 2 ustawy o ochronie danych osobowych gdyż organ nie wziął pod uwagę tego, że osoby które uzyskały dostęp do danych skarżącego, były uprawnione do przetwarzania tych danych więc brak podstaw do uznania, że uzyskały dane skarżącego w sposób nieuprawniony,
2- Art. 6 ust.1 w zw. z art. 5 ust. 1 lit. a RODO polegające na błędnym przyjęciu, że administrator danych odpowiada za naruszenie zasad przetwarzania danych nawet niezależnie od stopnia zawinienia.
W uzasadnieniu strona rozwinęła powyższe zarzuty.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
zgodnie z treścią przepisu art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492 z późn. zm.) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym. Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż nie narusza ona prawa.
Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy organ poprawnie przyjął, że doszło do naruszenia sprecyzowanych w decyzji przepisów RODO a MOPS ponosi odpowiedzialność za owo naruszenie.
W ocenie tut. Sądu na w/postawione pytanie należało udzielić pozytywnej odpowiedzi.
Rozważania w sprawie należało rozpocząć od uwag o charakterze ogólnym, iż przepisem uprawniającym administratorów do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO a wymieniony w nim katalog przesłanek ma charakter zamknięty. Każda z przesłanek ma charakter niezależny i autonomiczny. Spełnienie więc choćby jednej z nich legalizuje proces przetwarzania danych.
Koniecznym uwypuklenia było też to, że RODO nakłada na administratora danych obowiązek ich przetwarzania z zachowaniem zasad określonych w art. 5 ust. 1 RODO. Zasada zgodności przetwarzania danych z prawem ma szeroki charakter. Legalność przetwarzania odnosi się do przestrzegania przepisów prawa materialnego i procesowego.
W realiach faktycznych niniejszej sprawy szczególnego podkreślenia wymaga to, że administrator danych osobowych ponosi pełną odpowiedzialność za działania i zaniechania swoich pracowników, którymi posługuje się w procesie przetwarzania i ochrony posiadanego zbioru danych. Pracownicy ci działają bowiem w imieniu i na rzecz administratora. Jest to szczególnie oczywiste w sytuacji, gdy administratorem danych nie jest konkretna osoba fizyczna, a jest nim osoba prawna, działająca przez swoje organy i ewentualnie za pośrednictwem swoich pracowników, na rzecz których przelewa część swoich uprawnień. Stąd też wynika konkluzja, ąe administrator danych, który przy ich przetwarzaniu posługuje się pracownikami, powinien tak ich dobierać i tak organizować ich system pracy, kontroli i szkolenia, by wyeliminować lub przynajmniej bardzo znacznie ograniczyć ryzyko nieprawidłowej ochrony posiadanych danych osobowych.
Dodatkowo – w świetle zarzutów skargi podkreślenia wymagało to, że nie każde działanie pracowników administratora danych – zatrudnionych do ich przetwarzania – będzie działaniem uprawnionym. Administrator danych (a więc i pracownicy, którymi posługuje się przy ich przetwarzaniu), może przetwarzać posiadane dane ale tylko zgodnie z celem w jakim je przetwarza. Każde działanie wykraczające poza ten cel, będzie musiało być traktowane jako niedozwolone.
Przenosząc powyższe na realia faktyczne niniejszej sprawy uznać należało, że skarżona decyzja odpowiada prawu. Okolicznością niesporną było to, że danymi osobowymi S. K. (których administratorem był MOPS), posłużyli się pracownicy MOPS.
Poza sporem pozostawało tez to, że skarżący podmiot, będąc administratorem danych osobowych powyższej osoby, nie przetwarzał ich w celu oddawania w jego imieniu głosu na konkretne inwestycje w budżecie obywatelskim.
W sprawie niniejszej administrator danych nie udowodnił też tego, aby dochował należytej staranności przy doborze kadr zajmujących się w jego imieniu materią przetwarzania danych, przy tworzeniu systemu kontroli tych pracowników i przy procesie ich szkolenia.
Z powyższego wynika więc wprost wniosek, że skarżący podmiot nie zapewnił należytej ochrony danych osobowych S. K.. Po stronie organu istniała więc podstawa faktyczna i prawna ku temu, aby ukarać administratora danych za owo zaniechanie.
Na marginesie wyjaśnić należało, iż w ocenie tut. Sądu nie do przyjęcia jest koncepcja skarżącego podmiotu, iż wyłączna odpowiedzialność za nieuprawnione wykorzystanie danych osobowych obciąża pracowników MOPS. Takie założenie sprawiałoby, iż egzekwowanie prawidłowej ochrony danych osobowych stawałaby się bardzo utrudnione jeśli nie niemożliwe. Pracodawca zatrudniając pracowników do przetwarzania administrowanych danych osobowych, nie miałby żadnego interesu w tym, aby szkolić i kontrolować takich pracowników. Tego typu zwolnienie od odpowiedzialności za prawidłowe przetwarzanie danych pozbawiałoby de facto posiadacza danych, przymiotu ich administratora. Przymiot ten nie przechodziłby zaś na jego pracowników, gdyż ci nie zajmują się ich przetwarzaniem we własnym imieniu. To zaś prowadziłoby do skutku w postaci iluzji ochrony danych osobowych.
W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze, oraz uznając iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, oraz iż przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w sentencji wyroku na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 z późn. zm.).