II SA/Wa 1463/23

II SA/Wa 1463/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-03-13
orzeczenie nieprawomocne
Data wpływu
2023-07-24
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /przewodniczący sprawozdawca/
Arkadiusz Koziarski
Joanna Kruszewska-Grońska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj (spr.), Sędzia WSA Joanna Kruszewska-Grońska, Asesor WSA Arkadiusz Koziarski, , po rozpoznaniu w trybie uproszczonym w dniu 13 marca 2024 r. sprawy ze skargi [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Przedmiotem niniejszej sprawy jest skarga [...] S.A. z siedzibą w [...] (dalej również "[...]", "Spółka", "Administrator") na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023r., w przedmiocie przetwarzania danych osobowych.
Postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych zainicjowała zaś skarga S. I. (zwanej dalej "Skarżącym"), na nieprawidłowości w procesie przetwarzania danych osobowych przez [...] S.A. z siedzibą w [...], zwaną dalej Spółką, polegające na naruszeniu ochrony danych osobowych Skarżącej poprzez ich udostępnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...] S.A.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także "Prezesem UODO":), ustalił następujący stan faktyczny:
1. Skarżący zawarł umowę ze Spółką, która prowadzi działalność w zakresie sprzedaży i dostawy energii elektrycznej i paliwa gazowego,
2. Spółka zawarła umowę powierzenia przetwarzania danych z [...] sp. z o.o., z którą łączy ją również wcześniej zawarta umowa o współpracy;
3. Na podstawie ww. umów [...] sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki;
4. Dnia [...].04.2020 r. Spółka powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. [...] sp. z o.o. oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od [...].04.2020 r. do [...].04.2020 r.;
5. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany poprzez wdrożenie zabezpieczeń przez [...] sp. z o.o.;
6. Dnia[...].04.2022r. Spółka zgłosiła ww. naruszenie do Prezesa UODO;
7. Pismem z [...].05.2020 r. i [...].05.2022r. Spółka poinformowała Skarżącego o ww. incydencie;
8. Spółka ustaliła, że w przypadku Skarżącego doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących Umowy (numer umowy) oraz numeru punktu poboru
9. W związku z powyższym wyciekiem Spółka zawiadomiła o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w [...] - Wydział [...] [...] Dział do [...], Komendę Wojewódzką Policji w [...] - Wydział do [...] oraz [...] Polska;
10. W prowadzonym przez Departament Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych postępowaniu pod sygnaturą [...] ustalono, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] dnia [...].04.2020 r. pomiędzy godz. [...] a godz. [...]. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...].04.2020 r. godz. [...] do [...].04.2020 r. godz. [...] i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB;
W oparciu o powyższe ustalenia Prezes Urzędu Ochrony Danych Osobowych wydał wskazaną na wstępie decyzję mocą której udzielił upomnienia [...] S.A. z siedzibą w [...], za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia 2016/679, polegające na udostępnieniu danych osobowych A. A., podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...] S.A. odmawiając uwzględnienia wniosku w pozostałym zakresie.
W uzasadnieniu rozstrzygnięcia Prezes UODO wskazał, iż rozporządzenie 2016/679 określa obowiązki administratora danych, do których należy m.in. przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 rozporządzenia 2016/679, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest co najmniej jedna z przesłanek wskazanych w tym przepisie. Zebrany w sprawie materiał dowodowy wykazał w ocenie organu, że Skarżący w chwili wycieku danych był klientem Spółki, wobec czego podstawę prawną uprawniającą Spółkę do przetwarzania jego danych osobowych stanowi art. 6 ust. 1 lit. b rozporządzenia 2016/679, zgodnie z którym przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 rozporządzenia 2016/679. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Wspomniana zasada wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 rozporządzenia 2016/679 wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
Dnia [...].05.2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z [...] sp. z o.o., z którą łączy ją również wcześniej zawarta umowa o współpracy. Na podstawie ww. umowy [...] sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki. W relacji tej Spółka jest administratorem danych a Pika sp. z o.o. podmiotem przetwarzającym.
Prezes UODO wskazał, iż zgodnie z art. 4 pkt 7 i 8 rozporządzenia 2016/679 "Administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Natomiast "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora (art. 28 ust. 3 rozporządzenia 2016/679). Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 rozporządzenia 2016/679).
Prezes UODO wskazał, iż ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika, że w okresie od [...].04.2020 r. do [...].04.2020 r. doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych Skarżącej, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. [...] sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] dnia [...].04.2020 r. pomiędzy godz. [...] a godz. [...]. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...].04.2020 r. godz. [...] do [...].04.2020 r. godz. [...] i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Powyższy incydent doprowadził do naruszenia poufności danych osobowych Skarżącej w zakresie imienia, nazwiska, adresu, numeru PESEL oraz numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących Umowy (numer umowy) oraz numeru punktu poboru.
Do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu [...] sp. z o.o., jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za wskazane naruszenie. Biorąc pod uwagę powyższe uznać bowiem należy w ocenie organu, że ujawnienie danych osobowych Skarżącego podmiotom i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia 2016/679). Spółka naruszyła również zasadę poufności poprzez przetwarzanie danych Skarżącego w sposób niezapewniający im odpowiedniego bezpieczeństwa.
Co się tyczy odmowy uwzględnienia pozostałej części wniosku organ wyjaśnił, że nie może nakazać spółce zaprzestania przetwarzania danych osobowych skarżącej gdyż spółka posiada podstawę prawną do ich przetwarzania.
[...] S.A. z siedzibą w [...] złożyła skargę na powyższą decyzję Prezesa Urzędu Ochrony Danych Osobowych.
Zaskarżonej decyzji zarzucała:
1) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 7, art. 8, art. 11 w zw. z art. 107 § 3 oraz art. 77 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j. Dz. U. z 2022 r. poz. 2000 z późn. zm., dalej jako: k.p.a.) w zw. z art. 7 ust. 1 UODO, polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do wydania wadliwej i przedwczesnej Decyzji;
2) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 80 k.p.a. w zw. z art. 7 ust. 1 UODO polegające na przekroczeniu granic swobodnej oceny dowodów i - w konsekwencji - błędnym przyjęciu, że Strona Skarżąca przetwarzała dane osobowe Uczestniczki postępowania bez podstawy prawnej, podczas gdy podstawa ta istniała w postaci art. 6 ust. 1 lit b RODO, a ewentualne naruszenie poufności danych osobowych Uczestnika postępowania nie może zostać zakwalifikowane jako ujawnienie danych przez administratora;
3) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnej jego wykładni skutkującej przyjęciem, że Strona Skarżąca przetwarzała dane osobowe Uczestnika postępowania poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, podczas gdy w stanie faktycznym sprawy należało rozważyć jedynie możliwość naruszenia poufności danych osobowych, w rozumieniu art. 5 ust. 1 lit f RODO w zw. z 32 RODO.
W oparciu o powyższe zarzuty strona Skarżąca wnosiła o uchylenie przedmiotowej decyzji w całości. W uzasadnieniu skargi rozwinęła powyższe zarzuty.
Prezes Urzędu Ochrony Danych Osobowych wniósł zaś o oddalenie skargi w całości.
Dodania wymagała okoliczność, że skarżona decyzja została wydana w niniejszej sprawie po uchyleniu przez Wojewódzki Sąd Administracyjny wyrokiem z 10.10.2022r. (sygn. akt II SA/Wa 567/22) wcześniejszej decyzji, wskutek braku sporządzenia wyczerpującego jej uzasadnienia.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, sprawowaną pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Na podstawie art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634 ze zm., zwanej dalej p.p.s.a.) Sąd przy rozstrzyganiu sprawy nie jest związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Oceniając zaskarżoną decyzję według powyższych kryteriów, uznać należy, iż była ona zgodna z prawem.
Istota przedmiotowej sprawy sprowadza się do ustalenia tego, czy [...] podjęło właściwe środki zaradcze celem zabezpieczenia przed możliwością "wycieku" danych (Administrator powinien wykazać prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń).
W ocenie tut. Sądu na w/postawione pytanie należało udzielić negatywnej odpowiedzi.
Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe powinny być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem (zasada poufności danych). Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem. W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji. Ustęp 2 komentowanego artykułu stanowi, że administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie, co zostało w rozporządzeniu nazwane "rozliczalnością". Przepisy nakładają bowiem na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie.
Na gruncie komentowanego unijnego rozporządzenia znaczenie pojęcia rozliczalności jest odmienne, oznacza ono odpowiedzialność za przestrzeganie przepisów rozporządzenia i możność wykazania ich przestrzegania. W literaturze przedmiotu wskazuje się, że określenie "rozliczalność" (ang. accountability) powinno być rozumiane odmiennie od dotychczas przypisywanego mu znaczenia, jako synonim ponoszenia odpowiedzialności przez administratora, co prowadzi do wniosku, że polska wersja językowa komentowanego przepisu nie odpowiada w istocie jego zamierzonej treści (P. Litwiński, P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony..., red. P. Litwiński, s. 268). Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych. Dlatego też, pomimo braku wyraźnego wymogu wynikającego z przepisów komentowanego rozporządzenia, zasadne wydaje się prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu (np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń). Wymóg taki wynikał z krajowych przepisów wykonawczych (rozporządzenia wykonawczego do u.o.d.o.1997), jednak utrata ich mocy obowiązującej sprawiła, że wymóg taki nie jest zasadniczo obowiązkiem wyraźnie wskazanym w przepisach o ochronie danych osobowych. Informacje pozwalające wykazać przestrzeganie przepisów mogą być zawarte np. w polityce bezpieczeństwa lub w innym dokumencie, natomiast przewidziany w art. 30 obowiązek prowadzenia rejestru czynności przetwarzania ograniczony jest w tym zakresie jedynie do ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa (tak np., P.Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5.)
Wojewódzki Sąd Administracyjny rozpoznający sprawę podziela powyższe stanowisko. W przypadku naruszenia do którego doszło, to na Administratorze spoczywa obowiązek wykazania, iż omówione wyżej zasady były przestrzegane. Okolicznością niesporną w sprawie jest zaś to, że miało miejsce naruszenie ochrony danych osobowych klientów Spółki, w tym danych osobowych inicjatora postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. [...] sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. Poza sporem pozostaje także fakt, że w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. W świetle powyższego nie budzi wątpliwości poprawność konkluzji organu, iż administrator danych osobowych i podmiot zewnętrzny którym posługiwał się przy przetwarzaniu danych, nie wdrożyli należytego zabezpieczenia przetwarzanych danych. Całokształt materiału dowodowego świadczy też o tym, że administrator danych nie wykazał, by w sposób poprawny przeprowadził analizę ryzyka. Omawiając ową problematykę należy podzielić stanowisko zawarte w wyroku WSA w Warszawie z dnia 01.07.2022r., sygn. akt II SA/Wa 3211/21, że RODO wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są do zapewnienia wdrażania organizacyjnych i technicznych środków bezpieczeństwa, jak również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych.
W niniejszej sprawie próżno jednakże szukać przekonujących dowodów na adekwatność zabezpieczeń istniejących u administratora danych i firmy zewnętrznej którą się posługiwał, do istniejącego poziomu ryzyka. Sam fakt dojścia do omawianego "wycieku danych" świadczy zaś o czymś wprost odwrotnym. Na moment stwierdzenia naruszenia ochrony danych osobowych klientów [...], zmiany mające na celu usprawnienie działania systemu [...] były bowiem jeszcze w trakcie wdrażania (tj. realizacji etapu synchronizacji podsystemu opartego o rozwiązanie [...] z aktualnym środowiskiem [...]), tym samym prace wykonywane przez [...] sp. z o.o. nie były w pełni zakończone - trwał proces testów i zasilania nowoutworzonej bazy danymi.
Na zakończenie należało dodać, że okolicznością pozostającą bez wpływu na rozstrzygnięcie pozostawała okoliczność, że Prokuratura Okręgowa w [...] postanowieniem z dnia [...] kwietnia 2021 r. w sprawie o sygn. akt [...] czerwca 2021 r. umorzyła dochodzenie:
- w sprawie uzyskania bez uprawnień w okresie od [...] kwietnia 2020 roku do [...] kwietnia 2020 roku w nieustalonym miejscu za pośrednictwem sieci Internet poprzez niezabezpieczony port serwera informacji dla niego nieprzeznaczonej w postaci bazy danych klientów firmy [...] S.A. , tj. o czyn z art. 267 § 1 k.k. - wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego;
- w sprawie przetwarzania, w nieustalonym okresie od [...] kwietnia 2020 roku do [...] kwietnia 2020 roku w [...], danych osobowych klientów firmy [...] S.A. chociaż ich przetwarzanie nie jest dopuszczalne lub bez uprawnienia, tj. o czyn z art. 107 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych - wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego.
Dla istnienia odpowiedzialności po stronie administratora danych osobowych za skuteczną ochronę nad przetwarzanymi danymi osobowymi, nie ma znaczenia kwalifikacja prawno-karna samego czynu. Podstawą udzielenia upomnienia była wyłącznie kwestia braku wykazania podjęcia działań mających za zadanie ochronę posiadanego zasobu danych osobowych.
W świetle powyższego, rozpoznając skargę wniesioną w niniejszej sprawie w ramach przysługującej kognicji Sąd uznał zatem, że skarga nie jest zasadna, gdyż zaskarżona decyzja nie narusza norm prawa materialnego czy procesowego, a postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi k.p.a., a w szczególności art. 7, art. 8, art. 11 k.p.a., a także innymi normami, zwłaszcza art. 77 i art. 80 k.p.a., zaś zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.
Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie działając na podstawie art. 151 p.p.s.a. oddalił skargę.