II SA/Wa 1443/23

II SA/Wa 1443/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-03-22
orzeczenie nieprawomocne
Data wpływu
2023-07-20
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski
Ewa Radziszewska-Krupa /przewodniczący sprawozdawca/
Joanna Kube
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1 art. 5 ust. 1 lit. f; art. 5 ust. 2; art. 4 pkt 2; art. 6 ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2022 poz 2000
art. 7; art. 77; art. 80; art. 11; art. 107 § 1 pkt 4 i 6; art. 107 § 3
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa (spr.), Sędzia WSA Joanna Kube, Asesor WSA Arkadiusz Koziarski, po rozpoznaniu w trybie uproszczonym w dniu 22 marca 2024 r. sprawy ze skargi F. [...] S.A. z siedzibą w G. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
I. Stan sprawy przedstawia się następująco:
1. Prezes Urzędu Ochrony Danych Osobowych (zwana dalej "Prezesem UODO") w decyzji z [...] czerwca 2023r. nr [...] :
1) udzielił F. [....] S.A. z siedzibą w G. (zwana dalej "Spółką") upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f) rozporządzenia Parlamentu Europejskiego i Rady DE 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - Dz.Urz.UE L 119 z 4.05.2016, str. 1, Dz.Urz.UE L 127 z 23.05.2018, str. 2 oraz Dz.Urz.UE L 74 z 4.03.2021, str. 35, zwane dalej "RODO"), polegające na udostępnieniu danych osobowych M. M. (zwanej dalej "Uczestniczką") podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki;
2) odmówił uwzględnienia wniosku w pozostałym zakresie.
Prezes UODO w uzasadnieniu decyzji wskazał m.in., że Uczestniczka w skardze zarzuciła Spółce przetwarzanie danych w zakresie imienia, nazwiska, adresu, numeru telefonu i numeru PESEL bez podstawy prawnej i naruszenie ochrony danych osobowych Uczestniczki przez ich udostępnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki.
Prezes UODO ustalił, że Uczestniczka była klientką Spółki, która prowadzi działalność w zakresie sprzedaży i dostawy energii elektrycznej i paliwa gazowego od lipca 2013r. do grudnia 2015r. (pismo Uczestniczki z ....06.2020r. i wyjaśnienia Spółki z ....07.2020r.). Spółka wysłała Uczestniczce pismo z ....05.2020r., informujące o możliwym naruszeniu Jej danych osobowych. Spółka ....05.2018r. zawarła umowę powierzenia przetwarzania danych z [...] sp. z o.o. (zwana dalej "Przetwarzającym"), z którą łączy ją również wcześniej zawarta umowa o współpracy. Przetwarzający na podstawie ww. umów przetwarza w imieniu Spółki dane osobowe klientów, w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki (załącznik nr 1 do umowy powierzenia przetwarzania danych z ...05.2018r. załączony do pisma z ...06.2021r. Dyrektora Departamentu Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych – zwany dalej "Dyrektorem Departamentu Kontroli"). Spółka [...] kwietnia 2020r. powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym Przetwarzającego, a naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy, znajdującej się w chmurze, nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od [...] do [...] kwietnia 2020r. Przetwarzający po stwierdzeniu naruszenia bezpieczeństwa danych osobowych zablokował dostęp do bazy przez wdrożenie zabezpieczeń. Spółka zgłosiła Prezesowi UODO ww. naruszenie [...] kwietnia 2020r., wskazując, że Uczestniczka nie zwracała się z żądaniem usunięcia Jej danych osobowych (imienia, nazwiska oraz numeru PESEL). Spółka w związku z ww. wyciekiem danych zawiadomiła o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w G. - Wydział [...], Komendę Wojewódzką Policji w G. - Wydział do Walki z Cyberprzestępczością oraz [...]. Postępowanie w tej sprawie prowadzone jest pod sygnaturą PO I Ds. 48.2020.
Departament Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych (zwany dalej "Departamentem Kontroli") w postępowaniu pod sygnaturą [...]ustalił, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło [...] kwietnia 2020r., z adresu [...] pomiędzy godz.19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. [...] MB. Drugie połączenie trwało od [...] kwietnia 2020r. godz. 23:00 do [...] kwietnia 2020r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem [...] W jego wyniku mogło dojść do pobrania danych o wolumenie ok. [...] GB (pismo Dyrektora Departamentu Kontroli z ....06.2021r.).
Prezes UODO wykazał w związku z tym, że skoro Uczestniczka była klientką Spółki do grudnia 2015r., to podstawę prawną uprawniającą Spółkę do przetwarzania danych osobowych stanowił art. 23 ust. 1 pkt 3 ustawy z 29 sierpnia 1997r. o ochronie danych osobowych (Dz.U. z 1997r. Nr 133, poz. 883 ze zm., zwana dalej "u.o.d.o."). Przepis ten stanowił, że przetwarzanie danych jest dopuszczalne wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Po rozwiązaniu łączącej strony umowy dalszą podstawę przetwarzania danych osobowych Skarżącej stanowił początkowo art. 23 ust. 1 pkt 2 u.o.d.o., zgodnie z którym przetwarzanie danych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, a następnie art. 6 ust. 1 lit. c RODO - po wejściu w życie - od 25 maja 2018r. Ten ostatni przepis stanowi bowiem, że przetwarzanie jest zgodne z prawem gdy - i w takim zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Powyższe było związane z tym, że przetwarzanie było niezbędne do wypełnienia obowiązku prawnego wynikającego z art. 86 § 1 ustawy z 29 sierpnia 1997r. Ordynacja podatkowa (Dz.U. z 2022r., poz. 2651 ze zm., zwana dalej "O.p."), zgodnie z którym podatnicy obowiązani do prowadzenia ksiąg podatkowych przechowują księgi i związane z ich prowadzeniem dokumenty do czasu upływu okresu przedawnienia zobowiązania podatkowego, chyba że ustawy podatkowe stanowią inaczej, co oznacza, że dane te będą przetwarzane przez okres 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (art. 70 § 1 O.p.) oraz z art. 74 ustawy z 29 września 1994r. o rachunkowości (Dz.U. z 2023r., poz. 120 ze zm.), zgodnie z którym Spółka zobligowana jest do przechowywania danych m.in. z ksiąg rachunkowych, czy dowodów księgowych.
Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO). Spółka była uprawniona do przetwarzania danych osobowych Uczestniczki, ale zgodnie z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się m.in. zasadę poufności (lit. f). Wspomniana zasada wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 RODO wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. W sprawie należało oczekiwać od Spółki określonego działania - odpowiedniego zabezpieczenia danych, co zniwelowałoby ryzyko ich utraty. To jednak brak działania był przyczyną udostępnienia danych osobowych, przez dwa nieuprawnione połączenia z bazą, których charakterystyka wskazywała na kopiowanie jej zawartości.
Spółka zawarła z Przetwarzającym [...] maja 2018r. umowę powierzenia przetwarzania danych i na tej podstawie Przetwarzający mógł przetwarzać w imieniu Spółki dane osobowe jej klientów, w celu ich przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki. Spółka w tej relacji była administratorem danych, a Przetwarzający podmiotem przetwarzającym. "Administrator", zgodnie z art. 4 pkt 7 i 8 RODO to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Natomiast "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora (art. 28 ust. 3 RODO). Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO). Zgodnie z art. 32 RODO uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym m.in. w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się, w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Zdaniem Prezesa UODO skoro ze zgromadzonego w sprawie materiału dowodowego wynika, że w od [...] do [...] kwietnia 2020r. w wyniku ww. incydentu, w środowisku informatycznym Przetwarzającego doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym do naruszenia poufności danych osobowych danych osobowych Uczestniczki w zakresie imienia, nazwiska oraz numeru PESEL, to Spółka ponosi odpowiedzialność za wskazane naruszenie, gdyż Przetwarzający w procesie przetwarzania danych osobowych działał w imieniu i na rzecz Spółki. Udostępnienie danych osobowych Uczestniczki podmiotom i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO). Spółka naruszyła zasadę poufności przez przetwarzanie danych Uczestniczki w sposób niezapewniający im odpowiedniego bezpieczeństwa, gdyż port bazy danych, z której nastąpiło udostępnienie danych Uczestniczki nie był w żaden sposób zabezpieczony, co stanowi bezsprzecznie o niezastosowaniu właściwego poziomu bezpieczeństwa, a co za tym idzie, o odpowiedzialności Spółki za udostępnienie (w tym przypadku przetworzenie) danych osobowych.
Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej. Decyzje Prezesa UODO służą zastosowaniu uprawnień naprawczych, o których mowa w art. 58 ust. 2 RODO, m.in. poprzez udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO, przez operację przetwarzania (art. 58 ust. 2 lit. b) RODO). Skoro Spółka dopuściła się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO przez udostępnienie danych osobowych Uczestniczki podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum, to Prezes UODO, korzystając z przysługującego uprawnienia określonego w art. 58 ust. 2 lit. b RODO udzielił Spółce upomnienia.
Prezes UODO, odnosząc się do żądania Uczestniczki o usunięcie Jej danych osobowych z zasobów Spółki, wskazał, że wprawdzie umowa łącząca Ją ze Spółką uległa rozwiązaniu w grudniu 2015r. i odpadła podstawa prawna uprawniająca do ich przetwarzania (art. 6 ust. 1 lit. b RODO), ale niemożliwe jest nakazanie Spółce usunięcia danych osobowych Uczestniczki w zakresie jej imienia, nazwiska oraz numeru PESEL, na podstawie z art. 58 ust. 2 lit. c RODO. Baza, w której znajdują się ww. dane Uczestniczki musi być zachowana w celach dowodowych, do czasu zakończenia postępowania prowadzonego przez Prokuraturę Okręgową w G. oraz i przez Prezesa UODO. Skarżąca po odstąpieniu od umowy nie wyrażała zgody na przetwarzanie jej danych osobowych przez Spółkę. Zgodnie z art. 17 ust. 1 lit. a RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Spółka legitymuje się podstawą prawną do dalszego przetwarzania danych Uczestniczki w celach dowodowych, bo baza danych, w której znajdują się te dane może stanowić dowód zarówno w postępowaniu karnym, jak i w postępowaniu prowadzonym przez Prezesa UODO. Spółka ma obowiązek prawny w przetwarzaniu tych danych: art. 6 ust. 1 lit. c RODO; art. 167 ustawy z 6 czerwca 1997r. Kodeks postępowania karnego (Dz.U. z 2021r., poz. 534 ze zm., zgodnie z którym dowody przeprowadza się na wniosek stron albo z urzędu), a także art. 5 ust. 2 RODO (zgodnie z którym administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie). W Spółce Prezes UODO prowadzi postępowanie kontrolne, a dane osobowe, będące przedmiotem wycieku są niezbędne do ustalenia okoliczności faktycznych sprawy i dalszego procedowania przed Prezesem UODO i sądem administracyjnym.
2. Spółka w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie z [...] czerwca 2023r. wniosła o uchylenie ww. decyzji Prezesa UODO w całości, zarzucając naruszenie mające istotny wpływ na wynik sprawy:
1) art. 7, art. 8, art. 11 w zw. z art. 107 § 3 oraz art. 77 § 1 ustawy z 14 czerwca 1960r. - Kodeks postępowania administracyjnego (Dz.U. z 2022r., poz. 2000 ze zm., zwana dalej "k.p.a.") w zw. z art. 7 ust. 1 u.o.d.o. - polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do wydania wadliwej i przedwczesnej decyzji;
2) art. 80 k.p.a. w zw. z art. 7 ust. 1 u.o.d.o. - polegające na przekroczeniu granic swobodnej oceny dowodów i - w konsekwencji - błędnym przyjęciu, że Spółka przetwarzała dane osobowe Uczestniczki bez podstawy prawnej, gdy podstawa ta istniała - art. 6 ust. 1 lit. c) RODO, a ewentualne naruszenie poufności danych osobowych Uczestniczki nie może zostać zakwalifikowane jako ujawnienie danych przez administratora;
3) art. 6 ust. 1 RODO - polegające na błędnej wykładni tego przepisu, skutkującej przyjęciem, że Spółka przetwarzała dane osobowe Uczestniczki przez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, gdy w stanie faktycznym sprawy należało rozważyć jedynie możliwość naruszenia poufności danych osobowych, w rozumieniu art. 5 ust. 1 lit. f RODO w zw. z 32 RODO.
Spółka w uzasadnieniu skargi rozwinęła powyższe zarzuty.
3. Prezes UODO w odpowiedzi na skargę wniósł o oddalenie skargi w całości, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.
II. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
1. skarga jest niezasadna.
2. Sąd na wstępie zauważa, że Sądy administracyjne, zgodnie z art. 1 § 1 i 2 ustawy z 25 lipca 2002r. Prawo o ustroju sądów administracyjnych (Dz.U. z 2022r., poz. 2492) oraz art. 3 § 1 ustawy z 30 sierpnia 2002r. - Prawo o postępowaniu przed sadami administracyjnymi (Dz.U. z 2023r., poz. 1634 ze zm. zwana dalej "P.p.s.a."), sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. W związku z tym Sąd administracyjny kontroluje zaskarżoną decyzję wyłącznie w aspekcie jej zgodności z prawem i może ją wzruszyć jedynie wówczas, gdy narusza przepisy prawa materialnego lub postępowania odpowiednio w stopniu mającym wpływ na wynik sprawy (materialnoprawne naruszenia) lub w stopniu mogącym mieć istotny wpływ na wynik sprawy (procesowe naruszenia). Oznacza to, że badaniu w postępowaniu sądowym podlega prawidłowość zastosowania przez organy administracji publicznej przepisów prawa w odniesieniu do istniejącego w sprawie stanu faktycznego oraz trafność zastosowania wykładni tych przepisów. Sąd administracyjny na podstawie art. 134 § 1 P.p.s.a. przy rozstrzyganiu sprawy nie jest związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną. Zgodnie zaś z art. 151 P.p.s.a. Sąd w razie nieuwzględnienia skargi w całości albo w części oddala skargę odpowiednio w całości albo w części.
3. Sąd, oceniając według powyższych kryteriów zaskarżoną decyzję, uznał, że odpowiadała ona prawu, a pewne mankamenty proceduralne, które pojawiły się w zaskarżonej decyzji nie miały istotnego wpływu na wynik sprawy.
Zdaniem Sądu istota sporu w sprawie sprowadzała się do tego czy Prezes UODO właściwie przyjął w okolicznościach faktycznych sprawy, że Spółka – jako administrator danych osobowych Uczestniczki – powinna otrzymać upomnienie w związku z tym, że u kontrahenta Spółki – Przetwarzającego – doszło do wycieku opisanych w stanie faktycznym danych osobowych Uczestniczki. W związku z tym należało rozważyć, czy Spółka skarżąca podjęła, czy też nie podjęła właściwe środki zaradczych, w celu zabezpieczenia przed możliwością "wycieku" danych Uczestniczki.
W ocenie Sądu na postawione pytanie należało udzielić negatywnej odpowiedzi.
Zgodnie z art. 5 ust. 1 lit. f) RODO dane osobowe powinny być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem (zasada poufności danych). Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem. W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji.
Art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie, co zostało w rozporządzeniu nazwane "rozliczalnością". Przepisy nakładają bowiem na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie.
W związku z tym stwierdzić należy, że administrator powinien wykazać prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu, np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń.
Warto też podkreślić, że na gruncie RODO znaczenie pojęcia rozliczalności oznacza odpowiedzialność za przestrzeganie przepisów RODO i możność wykazania ich przestrzegania. W literaturze przedmiotu wskazuje się, że określenie "rozliczalność" (ang. accountability) powinno być rozumiane odmiennie od dotychczas przypisywanego mu znaczenia, jako synonim ponoszenia odpowiedzialności przez administratora, co prowadzi do wniosku, że polska wersja językowa komentowanego przepisu nie odpowiada w istocie jego zamierzonej treści (P. Litwiński, P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony..., red. P. Litwiński, s. 268). Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych. Dlatego też, pomimo braku wyraźnego wymogu wynikającego z przepisów komentowanego rozporządzenia, zasadne wydaje się prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu (np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń).
Wymóg taki wynikał z krajowych przepisów wykonawczych (rozporządzenia wykonawczego do u.o.d.o.1997), jednak utrata ich mocy obowiązującej sprawiła, że wymóg taki nie jest zasadniczo obowiązkiem wyraźnie wskazanym w przepisach o ochronie danych osobowych. Informacje pozwalające wykazać przestrzeganie przepisów mogą być zawarte np. w polityce bezpieczeństwa lub w innym dokumencie, natomiast przewidziany w art. 30 obowiązek prowadzenia rejestru czynności przetwarzania ograniczony jest w tym zakresie jedynie do ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa (tak np., P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5.)
Sąd rozpoznający sprawę ze skargi Spółki podziela powyższe stanowisko prezentowane w doktrynie, uznając tym samym za niezasadne podnoszone w skardze i w jej uzasadnieniu zarzuty. Skoro bowiem w przypadku naruszenia, które opisał Prezes UODO w stanie faktycznym sprawy, doszło, to na Spółce - administratorze -spoczywa obowiązek wykazania, że omówione wyżej zasady wynikające z przepisów RODO były przestrzegane. Okolicznością niesporną w sprawie jest to, że miało miejsce naruszenie ochrony danych osobowych klientów Spółki, w tym danych osobowych inicjatora postępowania – Uczestniczki - przez ich ujawnienie podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy – Przetwarzającego – który świadczył usługi cyfrowego archiwum na rzecz Spółki. Poza sporem pozostaje fakt, że w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Spółkę obciąża wybór kontrahenta, który w jej imieniu przetwarzał dane osobowe Uczestniczki. Sąd podziela bowiem stanowisko zawarte w wyroku WSA w Warszawie z 1 lipca 2022r. sygn. akt II SA/Wa 3211/21, że RODO wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są do zapewnienia wdrażania organizacyjnych i technicznych środków bezpieczeństwa, jak również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych.
W świetle powyższego nie budzi wątpliwości poprawność konkluzji Prezesa UODO, że Spółka – jako administrator danych osobowych, która zawarła umowę powierzenia przetwarzania danych (w tym ww. danych Uczestniczki) z podmiotem zewnętrznym – Przetwarzającym - nie wdrożyła należytego zabezpieczenia przetwarzanych danych oraz nie wykazała, by w sposób poprawny przeprowadziła analizę ryzyka wiążącego się z zawarciem ww. umowy. W aktach sprawie próżno szukać przekonujących dowodów na adekwatność zabezpieczeń istniejących u administratora danych (w Spółce skarżącej) oraz w firmie zewnętrznej, którą posługiwała się Spółka w procesie przetwarzania danych osobowych swoich klientów (u Przetwarzającego), do istniejącego poziomu ryzyka. Dojście do "wycieku danych" – incydentu opisanego przez Prezesa UODO w uzasadnieniu zaskarżonej decyzji - świadczy o tym, że zabezpieczenia były niewystarczające. Prezes UODO w uzasadnieniu zaskarżonej decyzji prawidłowo powołał się na motyw 39 RODO, wyjaśniając, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym m.in. ochronę przed nieuprawnionym dostępem do nich. W sprawie należało oczekiwać od Spółki określonego działania - odpowiedniego zabezpieczenia danych, co zniwelowałoby ryzyko ich utraty - ale brak działania był przyczyną udostępnienia danych osobowych, przez dwa nieuprawnione połączenia z bazą, których charakterystyka wskazywała na kopiowanie jej zawartości.
Prezes UODO odniósł się też w uzasadnieniu zaskarżonej decyzji do naruszenia przez Spółkę zasady poufności, której skutkiem było udostępnienie ww. danych osobowych Uczestniczki osobie nieuprawnionej i w tym zakresie właściwie powołał się na art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f) RODO. Skoro bowiem dostęp do danych klientów Spółki nie był zabezpieczony hasłem, co umożliwiało dostęp do danych – ich przetworzenie – osobie nieuprawnionej, co wykazano w postępowaniu, możliwe było zastosowanie przez Prezesa UODO przepisów wskazanych w podstawie prawnej zaskarżonej decyzji. Zgodnie bowiem z art. 4 pkt 2 RODO "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, m.in. taką jak przechowywanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie. Art. 4 pkt 2 RODO wymienia rodzaje przetwarzania danych osobowych, jednak sam fakt uprawnienia do ich przetwarzania, nie umożliwia administratorom ich udostępnienia podmiotom i osobom nieupoważnionym. "Chodzi o to, aby pojęciem przetwarzania objąć wszelkie operacje na danych, co ma umożliwić zapewnienie ochrony w odniesieniu do różnorodnych działań dokonywanych na danych, począwszy od gromadzenia danych poprzez rozmaite czynności, których przedmiotem są dane osobowe, a na usuwaniu danych skończywszy. Takie podejście prawodawcy motywowane jest praktycznymi doświadczeniami, z których wynika, że niektóre operacje, które potocznie nie są uznawane za przetwarzanie (np. przechowywanie danych), pociągają za sobą poważne ryzyko dla bezpieczeństwa danych." (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 4.). Ponownie należy podkreślić, że zasada integralności i poufności zobowiązuje administratorów do zapewnienia właściwego poziomu bezpieczeństwa danych osobowych, w taki sposób, aby nie doszło do niedozwolonego lub niezgodnego z prawem przetwarzania danych, przypadkowej utraty, zniszczenia lub uszkodzenia. Do obowiązków administratora – Spółki - należało zatem zastosowanie odpowiednich środków technicznych i organizacyjnych, które będą odpowiadały zidentyfikowanemu ryzyku związanemu z operacjami przetwarzania danych osobowych. Tym samym zasada integralności i poufności danych osobowych wpisuje się w przyjętą na gruncie RODO koncepcję tzw. podejścia opartego na ryzyku (A. Michałowicz, Stosowanie aplikacji mobilnych podczas pandemii COVID-19 z perspektywy ochrony danych osobowych, EPS 2020, nr 6, s. 34-42). Skoro w postępowaniu administracyjnym Prezes UODO wykazał, na podstawie danych, podanych także przez samą Spółkę, że port bazy danych, z której nastąpiło udostępnienie danych Uczestniczki, nie był zabezpieczony, co stanowi bezsprzecznie o niezastosowaniu właściwego poziomu bezpieczeństwa, a co za tym idzie, o odpowiedzialności Spółki, to należało przyjąć, że zaskarżona decyzja była prawidłowa. Zdaniem Sądu bez znaczenia była podnoszona w uzasadnieniu skargi okoliczność, czy osoba (podmiot) uzyskujący dostęp do danych stał się ich administratorem w rozumieniu art. 4 pkt 7 RODO, czy też nie. Ważne jest jedynie to, że dane Uczestniczki, które powinny być dla postronnych poufne, były pozbawione ochrony, a podmioty, które nie powinny mieć do nich dostępu taki dostęp zrealizowały, w wyniku niezachowania właściwych zasad także przez Spółkę (art. 5 ust. 1 lit. f) RODO w związku z art. 6 ust. 1 RODO).
Sąd, rozpoznając skargę, uznał zatem, że jest ona niezasadna, gdyż zaskarżona decyzja nie narusza norm prawa materialnego czy procesowego w stopniu mogącym mieć wpływ na wynik sprawy. Prezes UODO przeprowadził postępowanie administracyjne zgodnie z zasadami ogólnymi k.p.a., a w szczególności przy uwzględnieniu zasady prawdy obiektywnej wyrażonej w art. 7 i art. 77 k.p.a., ustalając na podstawie znajdujących się w aktach sprawy dowodów, zgromadzonych przy czynnym udziale Spółki skarżącej, istotne w sprawie okoliczności faktyczne. Prezes UODO ponadto na podstawie znajdujących się w aktach administracyjnych dowodów, rozważonych z punktu widzenia obowiązujących w chwili wydawania zaskarżonej decyzji przepisów prawa materialnego, ocenił - stosownie do art. 80 k.p.a. - czy możliwe było uwzględnienie skargi Uczestniczki i w jakim zakresie oraz dał temu wyraz w uzasadnieniu, o którym mowa w art. 107 § 1 pkt 4 i 6 oraz § 3 k.p.a. Nie doszło więc, wbrew stanowisku prezentowanemu w skardze, do naruszenia zasady zaufania do organów administracyjnych, o której mowa w art. 8, jak również do naruszenia zasady przekonywania przewidzianej w art. 11 k.p.a., a także innych norm, zwłaszcza art. 80 k.p.a. Zaskarżona decyzja wskazuje właściwą podstawę prawną oraz wyjaśnienie przesłanek, którymi kierował się organ administracyjny. Niezadowolenie Spółki z wydanej przez organ decyzji nie może być utożsamiany z naruszeniem ww. zasad wynikających z art. 8 § 1 i art. 11 k.p.a. Prezes UODO wykazał, że środek prawny zastosowany wobec Spółki – upomnienie, oznaczające zwrócenie uwagi, przypomnienie o obowiązkach – był, wbrew stanowisku prezentowanemu w skardze, adekwatny do okoliczności wynikających z akt sprawy. Skoro bowiem Spółka nie zapewniła odpowiedniego bezpieczeństwa danych swoich klientów, w tym danych Uczestniczki, czym naruszyła zasadę poufności przetwarzania danych, możliwe było zastosowanie art. 58 ust. 2 lit. b) RODO w związku z art. 5 ust. 1 lit. f) i art. 6 ust. 1 RODO.
4. Sąd, mając powyższe na względzie, na podstawie art. 151 P.p.s.a. oddalił skargę.