II SA/WA 1462/23

II SA/Wa 1462/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-02-21
orzeczenie nieprawomocne
Data wpływu
2023-07-24
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej
Izabela Głowacka-Klimas /przewodniczący/
Lucyna Staniszewska /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 1634
art. 134, 145 par. 1 pkt 1 lit. c, 151.
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1, 5 ust. 1 lit. f,
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Andrzej Kołodziej, Asesor WSA Lucyna Staniszewska (spr.), po rozpoznaniu w trybie uproszczonym w dniu 21 lutego 2024 r. sprawy ze skargi [...] Polska S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
I. Przedmiotem zaskarżenia jest decyzja Prezesa Urzędu Ochrony Danych Osobowych (dalej: ,,Prezes UODO’’, ,,Organ’’) z dnia [...] maja 2023 r. nr [...]. w przedmiocie udziela spółce [...] S.A. z siedzibą w [...] (dalej: ,,Skarżąca’’, ,,Spółka’’, ,,Administrator’’), upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia 2016/679, polegające na ujawnieniu danych osobowych Pani H. H. (dalej: ,,Uczestnik postępowania’’) podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...] S.A.
II. Zaskarżona decyzja została wydana w następujących okolicznościach faktycznych i prawnych:
1. Postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych zainicjowała skarga Pani H. H. na nieprawidłowości w procesie przetwarzania danych osobowych przez [...] S.A. z siedzibą w [...], polegające na naruszeniu ochrony danych osobowych Skarżącej poprzez ich udostępnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...] S.A.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych, ustalił następujący stan faktyczny:
1) Skarżąca była klientem Spółki, która prowadzi działalność w zakresie sprzedaży i dostawy energii elektrycznej i paliwa gazowego [dowód: pismo Skarżącej z dnia [...] kwietnia 2020 r. oraz wyjaśnienia Spółki z dnia [...] lipca 2020 r.];
2) Dnia [...] kwietnia 2020 r. Spółka poinformowała Skarżącą o wycieku jej danych osobowych [dowód: pismo Skarżącej z dnia [...] kwietnia 2020 r.];
3) Skarżąca umowę zawartą ze Spółką w październiku 2018 r. wypowiedziała ze skutkiem na [...] lipca 2020 r. [dowód: wyjaśnienia Spółki z dnia [...] lipca 2020 r.];
4) Dnia [...] maja 2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z [...] Sp. z o.o., z którą łączy ją również wcześniej zawarta umowa o współpracy [dowód: kopia umowy powierzenia przetwarzania danych zawartej pomiędzy Spółką a [...] Sp. z o.o. z [...] maja 2018 r.];
5) Na podstawie ww. umów [...] Sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki [dowód: załącznik pisma Dyrektora Departamentu [...] Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2021 r. w postaci załącznika nr 1 do umowy powierzenia przetwarzania danych z [...] maja 2018 r.];
6) Dnia [...] kwietnia 2020 r. Spółka powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. [...] Sp. z o.o., oraz ustaliła, że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. [dowód: wyjaśnienia Spółki z [...] lipca 2020 r.];
7) Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany poprzez wdrożenie zabezpieczeń przez [...] Sp. z o.o. [dowód: wyjaśnienia Spółki z [...] lipca 2020 r.];
8) Dnia [...] kwietnia 2020 r. Spółka zgłosiła ww. naruszenie do Prezesa UODO
[dowód: wyjaśnienia Spółki z [...] lipca 2020 r.];
9) Spółka ustaliła, że w przypadku Skarżącej doszło do naruszenia poufności danych osobowych w zakresie nazwy działalności gospodarczej, numeru NIP działalności gospodarczej oraz danych dotyczących Umów (numerów umów) [dowód: wyjaśnienia Spółki z dnia [...] lipca 2020 r.];
10) W związku z powyższym wyciekiem Spółka zawiadomiła o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w [...] - Wydział [...] Dział do Prowadzenia i Nadzorowania Spraw o Przestępstwa z Wykorzystaniem Internetu oraz Zaawansowanych Technologii i Systemów Informatycznych, Komendę Wojewódzką Policji w [...] - Wydział do [...] oraz [...] [dowód: wyjaśnienia Spółki z dnia [...] lipca 2020 r.];
11) W prowadzonym przez Departament [...] Urzędu Ochrony Danych Osobowych postępowaniu pod sygnaturą [...] ustalono, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] dnia [...] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...] kwietnia 2020 r. godz. 23:00 do [...] kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 1 1 GB [dowód: pismo Dyrektora Departamentu [...] Urzędu Ochrony Danych Osobowych z [...] czerwca 2021 r.].
2. W oparciu o powyższe ustalenia Prezes Urzędu Ochrony Danych Osobowych wydał w dniu [...] stycznia 2023 r. decyzję mocą której udzielił upomnienia [...] S.A. z siedzibą w [...], za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia 2016/679, polegające na udostępnieniu danych osobowych H. H., podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...] S.A.
W uzasadnieniu rozstrzygnięcia Prezes UODO wskazał, iż rozporządzenie 2016/679 określa obowiązki administratora danych, do których należy m.in. przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 rozporządzenia 2016/679, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest co najmniej jedna z przesłanek wskazanych w tym przepisie. Zebrany w sprawie materiał dowodowy wykazał w ocenie organu, że Skarżąca w chwili wycieku danych była klientem Spółki, wobec czego podstawę prawną uprawniającą Spółkę do przetwarzania jej danych osobowych stanowi art. 6 ust. 1 lit. b rozporządzenia 2016/679, zgodnie z którym przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 rozporządzenia 2016/679. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Wspomniana zasada wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 rozporządzenia 2016/679 wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
Dnia [...] maja 2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z [...] sp. z o.o., z którą łączy ją również wcześniej zawarta umowa o współpracy. Na podstawie ww. umowy [...] sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki. W relacji tej Spółka jest administratorem danych a [...] sp. z o.o. podmiotem przetwarzającym.
Ponadto, Prezes UODO wskazał, iż zgodnie z art. 4 pkt 7 i 8 rozporządzenia 2016/679 "Administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Natomiast "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora (art. 28 ust. 3 rozporządzenia 2016/679). Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 rozporządzenia 2016/679
Prezes UODO wskazał, iż ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika, że w okresie od [...] kwietnia 2020 r. do [...] kwietnia 2020 r. doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych Skarżącej, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. [...] sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] dnia [...] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...] kwietnia 2020 r. godz. 23:00 do [...] kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...] W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Powyższy incydent doprowadził do naruszenia poufności danych osobowych Skarżącej w zakresie imienia, nazwiska, adresu, numeru PESEL oraz numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących Umowy (numer umowy) oraz numeru punktu poboru.
Do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu [...] sp. z o.o., jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za wskazane naruszenie. Biorąc pod uwagę powyższe uznać bowiem należy w ocenie organu, że ujawnienie danych osobowych Skarżącej podmiotom i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia 2016/679). Spółka naruszyła również zasadę poufności poprzez przetwarzanie danych Skarżącej w sposób niezapewniający im odpowiedniego bezpieczeństwa.
III. 1. Skarżąca wywiodła skargę na powyższą decyzję Prezesa Urzędu Ochrony Danych Osobowych do Wojewódzkiego Sądu Administracyjnego w Warszawie zaskarżając ją w całości.
Zaskarżonej decyzji zarzucała:
1) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 7, art. 8, art. 11 w zw. z art. 107 § 3 oraz art. 77 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j. Dz. U. z 2022 r. poz. 2000 z późn. zm., dalej jako: k.p.a.) w zw. z art. 7 ust. 1 UODO, polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do wydania wadliwej i przedwczesnej Decyzji;
2) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 80 k.p.a. w zw. z art. 7 ust. 1 UODO polegające na przekroczeniu granic swobodnej oceny dowodów i - w konsekwencji - błędnym przyjęciu, że Strona Skarżąca przetwarzała dane osobowe Uczestniczki postępowania bez podstawy prawnej, podczas gdy podstawa ta istniała w postaci art. 6 ust. 1 lit. b RODO, a ewentualne naruszenie poufności danych osobowych Uczestnika postępowania nie może zostać zakwalifikowane jako ujawnienie danych przez administratora;
3) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnej jego wykładni skutkującej przyjęciem, że Strona Skarżąca przetwarzała dane osobowe Uczestnika postępowania poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, podczas gdy w stanie faktycznym sprawy należało rozważyć jedynie możliwość naruszenia poufności danych osobowych, w rozumieniu art. 5 ust. 1 lit f RODO w zw. z 32 RODO.
W oparciu o powyższe zarzuty strona Skarżąca wnosiła o uchylenie przedmiotowej decyzji w całości oraz o zasądzenie od Organu na rzecz Skarżącej na podstawie art. 200 p.p.s.a. kosztów postępowania, w tym kosztów zastępstwa prawnego, według norm przepisanych. W skardze Spółka wniosła o rozpoznanie sprawy w trybie uproszczonym.
W uzasadnieniu skargi rozwinęła powyższe zarzuty. Spółka zwróciła uwagę na niespójność a wręcz rozbieżność sentencji zaskarżonej decyzji i jej uzasadnienia. Organ przyjął, że Spółka dopuściła się naruszenia przepisów RODO przez ujawnienie danych osobowych Skarżącej podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W sentencji decyzji zaś PUODO orzekł, że udziela upomnienia za naruszenie przepisów art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO polegające na ujawnieniu danych osobowych Pani H. H. podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...]. Sentencja decyzji w żadnym razie zatem nie odpowiada – w ocenie Spółki – jej uzasadnieniu. Z uzasadnienia wnioskować bowiem można, że kara upomnienia została nałożona za naruszenie poufności danych (art. 5 ust. 1 lit. f RODO), ale już z samej sentencji wynika, że dotyczy ona przetwarzania bez podstawy prawnej (art. 6 ust. 1 RODO), polegającego na ujawnieniu danych osobom nieupoważnionym.
Ponadto, Spółka wskazała, że decyzja wydana przez PUODO w sprawie o sygnaturze [...], której ustalenia faktyczne stanowiły podstawę wydania decyzji w sprawie niniejszej została uchylona w wyniku kontroli sądowej przez Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 10 października 2022 r. (sygn. akt. II SA/ Wa 567/22) ze względu na istniejące poważne nieprawidłowości po stronie Organu w zakresie ustalenia stanu faktycznego. Tym samym oznacza to, że zaskarżona decyzja także narusza art. 77 i 80 KPA, gdyż nie została oparta na prawidłowo ustalonym stanie faktycznym. Organ nie ustalił w szczególności, czy rzeczywiście i w jakim zakresie doszło do naruszenia przez Stronę Skarżącą zasady poufności z art. 5 ust. 1 lit f RODO w zw. z art. 32 i nast. RODO.
Ponadto, Spółka wskazała, że zastosowany przez PUODO środek prawny w postaci upomnienia jest nieadekwatny i oderwany od realiów niniejszej sprawy. Zgodnie ze stanowiskiem orzecznictwa oraz wedle powszechnego rozumienia, słowo "upomnienie" oznacza czynność zwrócenia komuś uwagi - przypomnienia o obowiązkach. W uzasadnieniu skarżonej decyzji PUODO wskazał wprawdzie stan, który uznał za niepożądany, udzielając Stronie Skarżącej upomnienia lecz nie wskazał jednak czy i w jakim zakresie [...] uchybiła swoim obowiązkom - poza "ujawnieniem danych", czego w istocie nie uczyniła.
Strona Skarżąca zarzuca zaskarżonej decyzji także naruszenie przepisów prawa materialnego, tj. art. 6 ust. 1 RODO, polegające na błędnej jego wykładni skutkującej przyjęciem, że [...] przetwarzała dane osobowe Uczestniczki postępowania poprzez ich ujawnienie osobom nieupoważnionym, a zatem, że nastąpiło to bez podstawy prawnej, podczas gdy w stanie faktycznym sprawy należało rozważyć jedynie możliwość naruszenia poufności danych osobowych, w rozumieniu art. 5 ust. 1 lit f RODO.
W sentencji decyzji Prezes UODO wskazał, że upomnienie zostało nałożone na [...] za "ujawnienie danych osobowych Pani H. H. podmiotom i osobom do tego nieupoważnionym". Taka kwalifikację stosuje PUODO do naruszenia ochrony danych osobowych trwającego od [...] do [...] kwietnia 2020 r., polegającego na tym, że w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksującej przez podmiot przetwarzający, z którego usług korzystało [...], doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych (akapit 3 na 5 str. Decyzji oraz akapit 2 na 4 str. decyzji) W ten sposób, zdaniem Organu, [...] miała się dopuścić naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO.
Z taką kwalifikacją nie może zgodzić się Strona Skarżąca. W żadnym wypadku w rozpatrywanej sprawie nie doszło do przetwarzania przez [...] danych osobowych bez podstawy prawnej poprzez ich ujawnienie podmiotom nieupoważnionym.
2. Prezes Urzędu Ochrony Danych Osobowych wniósł zaś o oddalenie skargi w całości.
Organ w uzasadnieniu pisma wyjaśnił, że zgodnie z art. 4 pkt 2 rozporządzenia 2016/679 przetwarzaniem jest operacja lub zestaw operacji wykonywanych na danych lub zestawach danych, jest to m.in. ujawnienie danych, które może nastąpić poprzez przesłanie, rozpowszechnienie lub innego rodzaju udostępnienie. Zgodnie z doktryną "ujawnienie oznacza uczynienie określonych informacji jawnymi, co powoduje, że w jego wyniku dane osobowe mogą być poznane przez inne osoby, które do tej pory ich nie znały." (D. Lubasz, W. Chomiczewski, M. Czerniawski, P. Drobek, U. Góral, M. Kuba, P. Makowski, K. Witkowska-Nowakowska [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 4). W przedmiotowej sprawie należało oczekiwać od Spółki określonego działania (co zostało wskazane w skarżonej decyzji), tj. odpowiedniego zabezpieczenia danych, co zniwelowałoby ryzyko ich utraty. To jednak brak działania był przyczyną ujawnienia danych osobowych prowadząc do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie jej zawartości. Pierwsze połączenie nastąpiło z adresu IP [...] dnia [...] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...] kwietnia 2020 r. godz. 23:00 do [...] kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...] W jego wyniku mogło dojść do pobrania 9 danych o wolumenie ok. 11 GB. Takie bowiem wnioski wynikły wprost ze sprawdzenia zdarzenia przy udziale kontrolerów Prezesa UODO. Niezrozumiałe dla Prezesa UODO jest na jakiej podstawie Strona Skarżąca stwierdziła, że z uzasadnienia można było wywnioskować, że nałożone na Spółkę upomnienie było konsekwencją naruszenia jedynie zasady poufności. Prezes UODO ustalił, iż doszło do naruszenia poufności danych osobowych. Organ zwrócił uwagę, że w myśl motywu 39 rozporządzenia 2016/679, dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. W związku z tym należało się do ww. naruszenia odnieść w treści uzasadnienia decyzji, gdyż ten fakt spowodował przetworzenie danych osobowych Skarżącej, tj. ich ujawnienie i to ono było przedmiotem postępowania. Podstawą badania ujawnienia było zaś znalezienie podstawy prawnej takiego przetworzenia, której - zgodnie z ustaleniami Prezesa UODO - nie było. W związku z powyższym, Prezes UODO był zobligowany do odniesienia się do naruszenia zasady poufności przez Spółkę, której skutkiem było kwestionowane przetworzenie, tj. ujawnienie danych osobowych Skarżącej i tak też określił podstawę prawną zarówno w sentencji, jak i uzasadnieniu decyzji (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f).
W odniesieniu do zarzutu Strony Skarżącej w przedmiocie błędnej wykładni art. 6 ust. 1 rozporządzenia 2016/679 skutkującego przyjęciem, że Strona Skarżąca przetwarzała dane osobowe Skarżącej poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, Prezes UODO ustalił, iż doszło do naruszenia poufności danych osobowych. Strona Skarżąca w wyjaśnieniach składanych w ramach prowadzonego postępowania potwierdziła ten fakt stwierdzając, że - cyt. "do naruszenia poufności danych osobowych doszło w środowisku informatycznym Podmiotu Przetwarzającego oraz że "w przypadku Skarżącej, doszło do naruszenia poufności następujących danych osobowych (...)’’. Prezes UODO podkreśla przy tym, że w sprawie ze skargi indywidualnej Skarżącej badane było ujawnienie jej danych osobowych, do którego to badania podstawą było znalezienie podstawy prawnej takiego przetworzenia. Organ wskazał, że poza przedmiotem sprawy zaś pozostaje przetwarzanie danych w związku z zawarciem umowy jako innego procesu przetwarzania, którego Skarżąca nie kwestionowała.
Podstawa prawna wskazana w decyzji w ocenie Organu kompleksowo oddaje naruszenie polegające na ujawnieniu danych Uczestniczki postępowania podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawy świadczącego usługi cyfrowego archiwum na rzecz Skarżącej. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Wspomniana zasada wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 rozporządzenia 2016/679 wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. Z tych więc względów rozstrzygnięcie zawierało odniesienie do art. 5 ust. 1 lit. f rozporządzenia 2016/679 i dopiero w odniesieniu do tego przepisu było kompletne.
Zarzut Strony Skarżącej dotyczący naruszenia art. 7, 8 i 11 w zw. z art. 107 § 3, art. 77 § 1 k.p.a. są w ocenie Organu błędne. Skarżąca błędnie przytacza, że decyzja wydana przez PUODO w sprawie o sygnaturze [...], której ustalenia faktyczne stanowiły podstawę do wydania Decyzji w sprawie niniejszej została uchylona w wyniku kontroli sądowej przez Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 10 października 2022 r. (sygn. akt. Il SA/Wa 567/22) ze względu na istniejące poważne nieprawidłowości po stronie Organu w zakresie ustalenia stanu faktycznego co skutkuje wadliwością zaskarżonej decyzji. Sąd we wskazanym przez Stronę Skarżącą wyroku orzekł o naruszeniu przez Prezesa UODO art. 11 k.p.a. polegającym na niewystarczającym uzasadnieniu ww. decyzji poprzez brak oceny wiarygodności oświadczeń stron skutkującym brakiem ustalenia stanu faktycznego sprawy w aspekcie niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, w wyniku którego doszło do naruszenia ich poufności, oraz polegającym na braku weryfikacji, czy zapewnione zostały wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. Sąd nie uchylił ww. decyzji z powodu zakwestionowania faktu, że do samego udostępnienia doszło. Kwestionował jedynie ustalenia organu dotyczące zabezpieczeń bazy danych i mechanizmów ich kontroli przyjętych pomiędzy administratorem danych a podmiotem przetwarzającym. Przyczyną zaś zaistnienia przedmiotu sprawy, w której wydano decyzję zaskarżoną decyzję było udostępnienie danych osobowych prowadzące do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie jej zawartości. Takie zdarzenie zostało stwierdzone przez kontrolerów Prezesa UODO i było ono bezsporne. Tym samym zarzut naruszenia zasady przekonywania jest tutaj chybiony w ocenie Organu.
Dodatkowo Organ podkreślił, że Strona Skarżąca nie przedstawia innych okoliczności, które jej zdaniem - stanowią o naruszeniu art. 7 i art. 8 k.p.a. w uzasadnieniu decyzji, tym samym Prezes UODO nie może się do nich odnieść.
Prezes UODO zauważył, że spółka podnosi dodatkowo zarzut uchybienia przez organ dyspozycji art. 77 i art. 80 k.p.a. nie wskazuje jednak dowodów, które organ pominął, którym nie dał wiary, czy których omówienia w treści uzasadnienia do decyzji zaniechał.
3. Pismem z dnia [...] sierpnia 2023 r. Skarżąca złożyła wniosek dowodowy o dopuszczenie i przeprowadzenie przez Sąd dowodu z dokumentu w postaci . postanowienia Prokuratury Okręgowej w [...] o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r. w sprawie o sygn. akt [...] . Jednocześnie Skarżąca wskazała, że przeprowadzenie wyżej wskazanego dowodu jest niezbędne do w wyjaśnienia istotnych wątpliwości i nie spowoduje nadmiernego przedłużenia postępowania w sprawie.
IV. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
1. Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2022 r., poz. 2492), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, sprawowaną pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Na podstawie art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. 2023 r. 1634, zwanej dalej ,,p.p.s.a.’’) Sąd przy rozstrzyganiu sprawy nie jest związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
2. Oceniając zaskarżoną decyzję według powyższych kryteriów, uznać należy, iż odpowiada ona prawu.
Przedmiotem oceny Organu było to, czy Skarżąca podjęła właściwe środki zaradcze celem zabezpieczenia przed możliwością "wycieku" danych (Administrator powinien wykazać prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń).
W ocenie tut. Sądu trafnie Organ udzielił negatywnej odpowiedzi na to pytanie.
3. Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe powinny być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem (zasada poufności danych). Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem. W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji. Ustęp 2 komentowanego artykułu stanowi, że administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie, co zostało w rozporządzeniu nazwane "rozliczalnością". Przepisy nakładają bowiem na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie.
Na gruncie RODO znaczenie pojęcia rozliczalności jest odmienne, oznacza ono odpowiedzialność za przestrzeganie przepisów rozporządzenia i możność wykazania ich przestrzegania (P. Litwiński, P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony..., red. P. Litwiński, s. 268). Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych.
Dlatego też, pomimo braku wyraźnego wymogu wynikającego z przepisów RODO, zasadne wydaje się prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu (np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń). Wymóg taki wynikał z krajowych przepisów wykonawczych (rozporządzenia wykonawczego do u.o.d.o.1997), jednak utrata ich mocy obowiązującej sprawiła, że wymóg taki nie jest zasadniczo obowiązkiem wyraźnie wskazanym w przepisach o ochronie danych osobowych. Informacje pozwalające wykazać przestrzeganie przepisów mogą być zawarte np. w polityce bezpieczeństwa lub w innym dokumencie, natomiast przewidziany w art. 30 obowiązek prowadzenia rejestru czynności przetwarzania ograniczony jest w tym zakresie jedynie do ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa (tak np., P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5.).
4. W przypadku naruszenia do którego doszło w kontrolowanej sprawie to na Administratorze spoczywał obowiązek wykazania, iż omówione wyżej zasady były przestrzegane. Okolicznością niesporną w sprawie jest zaś to, że miało miejsce naruszenie ochrony danych osobowych klientów Spółki, w tym danych osobowych Uczestniczki postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. [...] sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. Poza sporem pozostaje także fakt, że w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. W świetle powyższego nie budzi wątpliwości poprawność konkluzji Organu, iż administrator danych osobowych i podmiot zewnętrzny którym posługiwał się przy przetwarzaniu danych, nie wdrożyli należytego zabezpieczenia przetwarzanych danych. Całokształt materiału dowodowego świadczy też o tym, że Administrator danych nie wykazał, by w sposób poprawny przeprowadził analizę ryzyka.
Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 01 stycznia 2022r., sygn. akt II SA/Wa 3211/21, wypowiedział się, że RODO wprowadziło wytyczne, w których zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są do zapewnienia wdrażania organizacyjnych i technicznych środków bezpieczeństwa, jak również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych.
Spółka nie wykazała aby zastosowane zostały adekwatne zabezpieczenia do istniejącego poziomu ryzyka zarówno u niej samej jako administratora danych, jak i w firmie zewnętrznej którą się posługiwała. Sam fakt dojścia do omawianego "wycieku danych" świadczy zaś o czymś wprost odwrotnym.
5. Organ wydał rozstrzygniecie w oparciu o art. 6 ust. 1 rozporządzenia 2016/679, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest co najmniej jedna z przesłanek wskazanych w tym przepisie. Zebrany w sprawie materiał dowodowy wykazał, że Skarżąca w chwili wycieku danych była klientem Spółki, wobec czego podstawę prawną uprawniającą Spółkę do przetwarzania jej danych osobowych stanowi art. 6 ust. 1 lit. b rozporządzenia 2016/679, zgodnie z którym przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. W motywie 39 rozporządzenia 2016/679 wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
Powołując się na art. 5 ust. 1 rozporządzenia 2016/679 wskazać należy, że proces przetwarzania danych osobowych musi być zgodny z zawartymi w ww. normie zasadami. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Wspomniana zasada wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Organ trafnie wskazał w uzasadnieniu w oparciu o zgromadzony materiał dowodowy, że ,,Spółka była uprawniona do przetwarzania danych osobowych Skarżącej, ale nie w kwestionowanym zakresie’’. Zauważyć bowiem należy, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. W niniejszej sprawie Skarżąca skorzystała z usług podmiotu, który nie zapewniał wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO.
6. Organ przyjął naruszenie polegające na naruszeniu ochrony danych osobowych Uczestniczki postępowania poprzez ich udostępnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...] S.A. Sąd podziela stanowisko Spółki Skarżącej, że przywołanie w rozstrzygnięciu art. 6 ust. 1 RODO było nieprawidłowe, nie wpłynęło to jednak na prawidłowość rozstrzygnięcia, które odpowiada prawu. Organ prawidłowo wskazał, że oceniał naruszenie polegające na ujawnieniu danych osobowych Skarżącej podmiotom i osobom do tego nieupoważnionym, a nadto, że doszło do naruszenia zasady poufności poprzez przetwarzanie danych Skarżącej w sposób niezapewniający im odpowiedniego bezpieczeństwa. Ponadto, podstawa prawna zaskarżonej decyzji zawiera art. 5 ust. 1 lit f RODO. W uzasadnieniu Organ przywołał także niezgodność postępowania Skarżącej z art. 32 RODO. Nie ulega bowiem wątpliwości, że po wyeliminowaniu stwierdzonych przez Sąd nieprawidłowości w przywołaniu art. 6 ust. 1 RODO – sentencja decyzji nie uległaby zmianie rozstrzygniecie bowiem doszło do naruszenia art. 5 ust. 1 lit. f RODO.
Ponadto, zastosowane Przez Prezesa UODO uprawnienie naprawcze w postaci upomnienia, w stosunku do ujawnionego naruszenia nie przekroczyło zasady proporcjonalności.
Wskazać należy, że jest to jeden z najłagodniejszych środków stosowanych przez Prezesa UODO. Organ pomimo tego, że nie poświęcił więcej uwagi w uzasadnieniu decyzji wyjaśnieniu proporcjonalności zastosowanego środka do stwierdzonej nieprawidłowości w przetwarzaniu danych osobowych nie przekroczył zasad proporcjonalności, czy równości wobec prawa. W stanie faktycznym sprawy mamy do czynienia z rażącym brakiem zastosowania zabezpieczeń jakim jest niezabezpieczenie hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze. Nadto, spowodowało to nieuprawnione połączenie z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] dnia [...] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...] kwietnia 2020 r. godz. 23:00 do [...] kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...] W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Doszło zatem do ujawnienie danych osobowych Skarżącej podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy. Powyższe incydenty doprowadziły do naruszenia poufności danych osobowych Skarżącej w zakresie imienia, nazwiska, adresu, numeru PESEL oraz numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących Umowy (numer umowy) oraz numeru punktu poboru. Ponadto, o doniosłości naruszenia świadczy także treść postanowienia Prokuratury Okręgowej w [...] o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r. w sprawie sygn. akt [...] z którego Sąd przeprowadził dowód. W treści postanowienia wskazano, że ,,Dane personalne klientów Skarżącej poprzez błąd ludzki zostały pozostawione na niebezpiecznym serwerze danych, skąd dwukrotnie skutecznie pobrane przez określone w postanowieniu osoby.’’. Nieuprawniony jest jednak wniosek Skarżącej, że Prezes UODO zarzucił Skarżącej brak podjęcia działań po uzyskaniu informacji o incydentach. Próżno szukać tego rodzaju zarzutów w uzasadnieniu decyzji Organu, nie odzwierciedla tego także nałożony najłagodniejszy z środków w postaci upomnienia.
U podstaw zastosowania środka naprawczego w postaci upomnienia a nie kary pieniężnej wobec Spółki legły takie okoliczności łagodzące jak to, że naruszenie nie było umyślne, Spółka powiadomiła organ jak i Uczestnika postępowaniu o naruszeniu, jak i to, że złożyła wyjaśnienia w toku postępowania. W konsekwencji Organ określił właściwy środek naprawczy aby stanowił on adekwatną reakcję organu nadzorczego na stopień naruszenia i spełnił swoją funkcję prewencyjną.
7. W świetle powyższego, rozpoznając skargę wniesioną w niniejszej sprawie w Sąd uznał, że zaskarżona decyzja nie narusza norm prawa materialnego czy procesowego, a postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi k.p.a., a w szczególności art. 7, art. 8, art. 11 k.p.a., a także art. 77 i art. 80 k.p.a. Ponadto, Organ nie naruszył 107 § 3 k.p.a. Sądowi znany jest wyrok Wojewódzkiego Sądu Administracyjnego z dnia 17 stycznia 2023 r., sygn. akt II SA/Wa 633/22, w którym uchylono zaskarżoną decyzję Prezesa Urzędu Ochrony Danych Osobowych nakładającą upomnienie na [...] S.A. z siedzibą w [...] na podstawie art. 145 § 1 pkt 1 lit. c p.p.s.a. ze względu na naruszenie art. 107 § 3 k.p.a. W kontrolowanej przez Sąd w przytoczonym wyroku decyzji jednak nie wskazano kiedy umowa między stronami przestała obowiązywać a także Organ oparł się wyłącznie na skardze Uczestnika postępowania. Tymczasem w zaskarżonej w niniejszym postępowaniu decyzji, Organ wskazał, że umowa Uczestniczki postępowania ze Spółką została wypowiedziana ze skutkiem na dzień [...] lipca 2020 r. Organ informację tę powziął na skutek złożonych wyjaśnień przez spółkę dnia [...] lipca 2020 r. i uwzględnił, że w momencie naruszenia strony pozostawały związane umową.
8. Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie działając na podstawie art. 151 p.p.s.a. oddalił skargę.