II SA/WA 1850/21

II SA/Wa 1850/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-04-20
orzeczenie nieprawomocne
Data wpływu
2021-05-12
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Iwona Maciejuk
Karolina Kisielewicz /przewodniczący sprawozdawca/
Michał Sułkowski
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 2182/22 - Wyrok NSA z 2025-06-18
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz (spr.), Sędzia WSA Iwona Maciejuk, Asesor WSA Michał Sułkowski, , Protokolant starszy referent Magdalena Frąckiewicz, po rozpoznaniu na rozprawie w dniu 20 kwietnia 2022 r. sprawy ze skargi [...] Sp. z o.o. w likwidacji z siedzibą w [...] na pkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
P.G. w piśmie z 3 kwietnia 2020 r. wniósł do Prezesa Ochrony Danych Osobowych skargę na niezgodne z prawem przetwarzanie jego danych osobowych przez [...] sp. z o.o. z siedzibą w [...]. Skarżący podał, że [...] sp. z o.o. z siedzibą w [...], której przedmiotem działalności jest udzielanie pożyczek z wykorzystaniem serwisu internetowego [...], jako administrator danych osobowych nie zapewnił bezpieczeństwa i poufności przetwarzanych danych osobowych i w ten sposób naruszył art. 5 ust. 1 lit. f oraz art. 32 ust. 1 lit. b i art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej "RODO").
P.G. wyjaśnił, że na skutek niedopełnienia przez administratora powyższych obowiązków, doszło do wycieku z zasobów administratora jego danych osobowych w szczególności takich jak: imię, nazwisko, PESEL, seria i numer dowodu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, numer telefonu pracodawcy, nazwa pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...].
Skarżący podał, że 14 marca 2020 r. otrzymał od administratora portalu [...] informację o zainicjowaniu automatycznego resetowania hasła dostępu do konta użytkownika. Następnie, 16 marca 2020 r. administrator poinformował, że dane osobowe zapisane na koncie użytkownika założonym za pośrednictwem strony internetowej [...] zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu administrator powierzył przetwarzanie danych osobowych. Wedle informacji administratora, błąd miał polegać na braku zabezpieczenia danych w okresie od 3 do 14 marca 2020 r. przez podmiot współpracujący z [...].
Skarżący odwołał się także do informacji uzyskanych ze strony internetowej [...], zgodnie z którymi [...] marca 2020 r. ujawniono w sieci serwer z ogólnodostępną bazą danych [...], w której znajdowały się dane klientów [...], w tym imiona i nazwiska, adresy e-mail, numery PESEL, numery dowodów osobistych lub paszportów, hasła zapisane otwartym tekstem, a także numery rachunków bankowych. Zaistniałe zdarzenie miało zostać ujawnione i zgłoszone administratorowi 9 marca 2020 r., jednakże dopiero 14 marca wykonano reset hasła użytkownika. Informację o naruszeniu skarżący otrzymał natomiast dopiero 16 marca 2020 r., zatem 7 dni od momentu ujawnienia naruszenia.
P.G. wniósł o usunięcie uchybień w procesie przetwarzania danych osobowych, w szczególności domagając się usunięcia danych osobowych z zasobów administratora, ewentualnie o ograniczenie przetwarzania jego danych przez administratora.
W pismach z 10 czerwca 2020 r., z 15 lipca 2020 r. i z 18 stycznia 2021 r. Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 58 ust. 1 lit. a i e RODO, zwrócił się do [...] o złożenie wyjaśnień i dostarczenie informacji w sprawie skargi P.G. na nieprawidłowości w procesie przetwarzania jego danych osobowych.
W pismach z 22 czerwca 2020 r. i z 22 stycznia 2021 r. Spółka wyjaśniła, że dane osobowe P.G. przetwarza od 9 stycznia 2019 r., tj. od dnia, w którym skarżący dokonał rejestracji na stronie internetowej [...] oraz zawarł ze Spółką ramową umowę pożyczki. Wskazała, że przetwarzała jego dane (imię, nazwisko, serię i nr dowodu osobistego, nr PESEL, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres zameldowania, adres korespondencyjny, adres zameldowania, adres e-mail skarżącego, numer telefonu komórkowego, numer telefonu pracodawcy, nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródła przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta), na podstawie art. 6 ust. 1 lit a, b, c, f rozporządzenia RODO. Spółka podała, że faktycznie nie prowadzi działalności gospodarczej, "całkowicie" usunęła profil skarżącego jako klienta [...] i obecnie przetwarza jego dane osobowe wyłącznie w celach rachunkowych i podatkowych, a także w zakresie niezbędnym do realizacji obowiązków prawnych lub obrony roszczeń, na podstawie art. 6 ust. 1 lit c i f rozporządzenia.
[...] Sp. z o.o. w likwidacji dodała, że podmiotem, który popełnił błąd skutkujący naruszeniem ochrony danych osobowych jest [...] sp. z o.o. w [...] na [...], z którą w dniu [...] marca 2018 r. zawarła umowę powierzenia przetwarzania danych osobowych. Incydent naruszenia ochrony danych osobowych był przedmiotem postępowania toczącego się przed Prezesem UODO wszczętego z urzędu (sygn. [...]) zakończonego decyzją z [...] grudnia 2020 r. W zakresie okoliczności dotyczących naruszenia objętego skargą P.G. odwołała się do ustaleń poczynionych w tym postępowaniu.
Spółka wyjaśniła również, że poinformowała skarżącego o nieprawidłowościach będących przedmiotem skargi, wysłanymi 14, 15 i 19 marca 2020 r. wiadomościami SMS i e-mail o zresetowaniu i zmianie hasła do [...], a także wysłaną 16 marca 2020 r. wiadomością e-mail, w której m. in. wymieniła dane osobowe objętych nieuprawnionym udostępnieniem, zawarła odpis przewidywanych konsekwencji i zagrożeń związanych z ujawnieniem danych osobowych oraz środków proponowanych w celu minimalizacji negatywnych skutków związanych z naruszeniem; opis kroków podjętych w celu zaradzenia naruszeniu danych osobowych; informację o możliwości uzyskania dalszych informacji oraz informację o zgłoszeniu naruszenia danych osobowych Prezesowi UODO.
[...] podała ponadto, że 18 marca 2020 r. zamieściła na swojej stronie internetowej dwa oświadczenia na temat bezpieczeństwa danych osobowych. W pierwszym z nich zawarła informację o przeprowadzonej 14 marca 2020 r., automatycznej zmianie haseł z uwagi na podejrzenie możliwości nieuprawnionego dostępu do części bazy danych. W drugim oświadczeniu poinformowała natomiast, że na skutek błędu podmiotu trzeciego współpracującego ze Spółką, osoba trzecia uzyskała nieuprawniony dostęp do danych osobowych części użytkowników portalu [...] oraz że podjęła natychmiastowe działania celem zabezpieczenia danych, zidentyfikowała przyczynę incydentu oraz ją niezwłocznie usunęła.
W tych okolicznościach faktycznych i prawnych Prezes Urzędu Ochrony Danych Osobowych decyzją z [...] marca 2021 r. (nr [...]) wydaną na podstawie art. 104 § 1 k.p.a. w zw. z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz na podstawie art. 6 ust. 1 lit. c oraz art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f i art. 58 ust. 2 lit. b RODO, udzielił [...] Sp. z o.o. w likwidacji z siedzibą w [...] upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu danych osobowych P.G. podmiotom nieuprawnionym (pkt 1 decyzji). W pozostałym zakresie organ nadzorczy odmówił uwzględnienia wniosku (pkt 2 decyzji).
W uzasadnieniu decyzji Prezes Urzędu Ochrony Danych Osobowych podał, że przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Na administratorze danych osobowych, którym w rozumieniu art. 4 pkt 7 RODO jest [...] Sp. z o.o. w likwidacji z siedzibą w [...], ciąży obowiązek prawny przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, a w szczególności obowiązek zapewnienia, by przetwarzanie odbywało się na podstawie co najmniej jednej z przesłanek enumeratywnie wymienionych w art. 6 ust. 1 RODO.
Prezes UODO wskazał również, że art. 5 ust. 1 lit. f RODO nakłada na administratora danych osobowych obowiązek przetwarzania danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Organ nadzorczy podniósł także, że zgodnie z art. 28 ust. 1 RODO to na administratorze spoczywa obowiązek wyboru takiego podmiotu przetwarzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi integralności i poufności oraz chroniło prawa osób, których dane dotyczą.
Prezes Urzędu Ochrony Danych Osobowych stwierdził, że [...] Sp. z o.o. w likwidacji w złożonych wyjaśnieniach przyznała, że w wyniku błędu pracownika [...], z którym Spółka zawarła umowę powierzenia przetwarzania danych osobowych, polegającego na braku zabezpieczenia w dniach 3 -14 marca 2020 r. danych osobowych P.G., doszło do udostępnienia jego danych osobowych osobie nieuprawnionej w zakresie: imienia, nazwiska, numeru PESEL, serii i numeru dokumentu tożsamości, NIP, obywatelstwa, miejsca urodzenia, numeru rachunku bankowego, adresu korespondencyjnego, adresu zameldowania, adresu e-mail, numeru telefonu stacjonarnego, numeru telefonu komórkowego, poprzedniego numer telefonu komórkowego (jeśli uległ zmianie), numeru telefonu pracodawcy, adresu e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwy pracodawcy, zatrudnienia (rodzaju umowy), przychodu miesięcznego netto, źródła przychodu, ilości osób pozostających na utrzymaniu, stanu cywilnego, wykształcenia, hasła do profilu klienta na [...]. W zakresie powyższego udostępnienia nie została spełniona żadna z przesłanek legalizujących proces przetwarzania danych osobowych określonych w art. 6 ust. 1 RODO.
Prezes Urzędu Ochrony Danych Osobowych podkreślił także, że w postępowaniu zainicjowanym indywidualną skargą, może dokonać wyłącznie oceny legalności przetwarzania danych i w przypadku stwierdzenia nieprawidłowości w procesie przetwarzania danych - w celu przywrócenia stanu zgodnego z prawem - zastosować uprawnienia naprawcze, o których mowa w art. 58 ust. 2 RODO, w tym udzielić upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania (lit. b).
Organ wskazał ponadto, że stosowane przez administratora danych w procesach ich przetwarzania praktyki, w tym sposoby zabezpieczeń, ich adekwatność oraz skuteczność mogą być natomiast przedmiotem postępowania wszczętego z urzędu.
W konkluzji Prezes Urzędu Ochrony Danych Osobowych stwierdził, że przetwarzanie danych osobowych skarżącego, polegające na ich udostępnieniu w dniach 3 - 14 marca 2020 r. na rzecz nieznanej i nieuprawnionej osoby, stanowiło naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, co uzasadnia zastosowanie wobec [...] Sp. z o.o. w likwidacji upomnienia, o którym mowa w art. 58 ust. 2 lit. b RODO.
W pozostałym zakresie, wobec legitymowania się przez [...] Sp. z o.o. w likwidacji przesłanką określoną w art. 6 ust. 1 lit. c RODO, stanowiącą o legalności przetwarzania przez Spółkę danych osobowych P.G., Prezes Urzędu Ochrony Danych Osobowych odmówił uwzględniania wniosku skarżącego.
[...] Sp. z. o. w likwidacji z siedzibą w [...] złożyła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] marca 2021 r. w zakresie objętym pkt 1 tej decyzji.
Spółka zarzuciła naruszenie:
1. przepisów prawa materialnego, mające istotny wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnym przyjęciu, że art. 6 ust 1 RODO miał w sprawie zastosowanie w zakresie podstawy prawnej udostępnienia danych, podczas gdy incydent polegający na cyberataku na bazę danych oraz uzyskanie dostępu do niej przez nieznaną osobę trzecią nie oznacza, że skarżąca udostępniła dane osobowe na rzecz nieznanej osoby trzeciej;
2. przepisów prawa materialnego, mające wpływ na wynik sprawy, tj. art. 6 ust. 1 oraz art. 5 ust. 1 lit. f RODO, polegające na błędnym przyjęciu, że ważność podstawy prawnej przetwarzania danych zależy od odpowiedniego zabezpieczenia danych osobowych, podczas gdy zasada zgodności z prawem (art. 5 ust. 1 lit. a RODO) jest niezależna od zasady integralności i poufności (art. 5 ust. 1 lit. f RODO), zaś ewentualne naruszenie wymogów bezpieczeństwa, np. art. 32 RODO nie oznacza automatycznie, że dane były przetwarzane bez ważnej podstawy prawnej;
3. przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 6, 7, 8 § 1, art. 77 § 1 oraz art. 80 K.p.a., polegające na braku zgromadzenia materiału dowodowego pozwalającego uznać naruszenie zasady integralności i poufności oraz niezgodne z prawem przetwarzanie danych osobowych przez skarżącą za udowodnione;
4. przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 8 ust. 1 i 2, art. 77 § 1 i § 4 i art. 110 § 1 K.p.a. poprzez całkowity brak uwzględnienia znanego z urzędu faktu, że działanie Spółki będące w istocie przedmiotem skargi P.G. do Prezesa Urzędu Ochrony Danych Osobowych, tzn. rzekome nieadekwatne zabezpieczenie przez skarżącą bazy danych osobowych użytkowników portalu [...], było już przedmiotem decyzji Prezesa UODO z [...] grudnia 2020 r. (nr [...]), do którego to postępowania skarżąca odwoływała się w swoich pismach procesowych, jak również jest przedmiotem szeregu podobnych postępowań w sprawach indywidualnych, co prowadzi do wielokrotnej oceny tego działania lub zaniechania, wielokrotnego nakładania sankcji w różnych postępowaniach, jak również wprowadzenie do obrotu prawnego sytuacji, w których jeden i ten sam incydent w części spraw jest uznany za naruszenie przez skarżącą przepisów prawa, a w innych nie.
[...] Sp. z o.o. w likwidacji wniosła o uchylenie pkt 1 zaskarżonej decyzji oraz zasądzenie od Prezesa Urzędu Ochrony Danych Osobowych kosztów postępowania według norm przepisanych.
Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie z przyczyn wywiedzionych w zaskarżonej decyzji.
P.G. w piśmie procesowym z 30 czerwca 2021 r. podniósł m. in., że wyciek danych osobowych był skutkiem naruszenia przez administratora art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f oraz art. 32 ust. 1 lit. b i art. 32 ust. 2 rozporządzenia RODO i wniósł o oddalenie skargi [...] Sp. z o.o. w likwidacji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skarga jest nieuzasadniona.
Zaskarżoną decyzją Prezes Urzędu Ochrony Danych Osobowych skorzystał z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 ze zm.; dalej powoływane jako "RODO"), który stanowi dla organu nadzorczego podstawę do udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania.
"Przetwarzanie", zgodnie z art. 4 pkt 2 RODO, oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Zgodnie z art. 6 ust. 1 rozporządzenia RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Z akt sprawy wynika, że dane osobowe P.G., których administratorem jest skarżąca Spółka, zostały udostępnione nieznanej osobie trzeciej na skutek błędu pracownika podmiotu przetwarzającego ([...] w [...] na [...]), z którą skarżąca zawarła umowę powierzenia przetwarzania danych osobowych. Błąd ten polegał na niezabezpieczeniu danych w okresie od 3 do 14 marca 2020 r. Zakres danych osobowych objętych nieuprawnionym dostępem objął: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny wykształcenie, hasło do profilu klienta na [...]. Spółka zgłosiła to naruszenie ochrony danych osobowych stosownie do art. 33 ust. 1 rozporządzenia RODO. W dniu [...] grudnia 2020 r. Prezes Urzędu Ochrony Danych Osobowych wydał decyzję (nr [...]), którą m. in. stwierdził naruszenie przez skarżącą Spółkę przepisów art. 5 ust. 1 lit. f, art. 25 ust. 1m art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 rozporządzenia RODO, polegające na niewdrożeniu przez Spółkę, zarówno w fazie projektowania procesu przetwarzania jak i w czasie samego przetwarzania, odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność do skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków.
Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie, w przedstawionym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych prawidłowo stwierdził, że ujawnienie danych osobowych konkretnej osoby fizycznej podmiotowi trzeciemu jest udostępnieniem danych w rozumieniu rozporządzenia (art. 4 pkt 2). Ujawnienie danych osobowych nie musi być bowiem wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi). Może ono polegać także na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych. Taka sytuacja wystąpiła niewątpliwie w rozpatrywanej sprawie, skoro skarżąca przyznała, że dane osobowe P.G. zapisane na jego koncie użytkownika zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu powierzono przetwarzanie danych osobowych, polegającego na braku zabezpieczenia tych danych. Chybione jest zatem stanowisko Spółki, która zmierza do wykazania, że ujawnienie danych osobowych P.G., o którym mowa w zaskarżonej decyzji, nie stanowi ich udostępnienia, lecz naruszenie ochrony danych osobowych (art. 4 pkt 12 RODO) będące wynikiem "cyberataku".
Sąd orzekający w niniejszej sprawie podziela również zapatrywanie Prezesa Urzędu Ochrony Danych Osobowych, że udostępnienie danych osobowych skarżącego, polegające na ich ujawnieniu nieznanemu, nieuprawnionemu odbiorcy, nie znajdowało oparcia w żadnej z wymienionych w art. 6 ust. 1 RODO podstaw legalizujących proces przetwarzania danych osobowych.
W konsekwencji, zdaniem Sądu, zaistniały przesłanki do skorzystania przez Prezesa Urzędu Ochrony Danych Osobowych z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b RODO.
Sąd dostrzega, że w podstawie prawnej zaskarżonej decyzji organ powołał się na art. 5 ust. 1 lit. f RODO, zgodnie z którym dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
Odwołanie się do tego przepisu należy, zdaniem Sądu, uznać za nieuzasadnione. Kwestie dotyczące zastosowania odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych nie były bowiem objęte zakresem postępowania zakończonego zaskarżoną decyzją, a sprawa niniejsza nie dotyczy stosowanych przez skarżącą Spółkę sposobów zabezpieczeń danych i ich skuteczności.
Stwierdzone uchybienie nie miało jednak wpływu na wynik sprawy, ponieważ w okolicznościach faktycznych sprawy zaistniały przesłanki do udzielenia upomnienia przez organ nadzorczy, na podstawie art. 58 ust. 2 lit. b rozporządzenia. Jak już bowiem podniesiono, doszło do naruszenia przepisów rozporządzenia przez operację przetwarzania (udostępnienia) bez podstawy prawnej. Ustalenie naruszenia art. 6 ust. 1 RODO pozostaje natomiast w związku z zasadą wyrażoną w art. 5 ust. 1 lit. a RODO, zgodnie z którym dane osobowe muszą być przetwarzane zgodnie z prawem (...).
W tej sytuacji – wobec prawidłowego stwierdzenia braku co najmniej jednej przesłanki legalizującej przetwarzania wymienionej w art. 6 ust. 1 RODO - niepowołanie w zaskarżonej decyzji art. 5 ust. 1 lit. a RODO, a wadliwe powołanie art. 5 ust. 1 lit. f RODO, pozostało bez wpływu na prawidłowość rozstrzygnięcia.
W związku z tym nie jest uzasadnione stanowisko skarżącej Spółki, że przedmiot postępowania wszczętego skargą P.G. jest tożsamy z przedmiotem postępowania zakończonego decyzją Prezesa Urzędu Ochrony Danych Osobowych z [...] grudnia 2020 r. (uchyloną wyrokiem Wojewódzkiego Sądu Administracyjnego z 5 października 2021 r. sygn. akt II SA/Wa 528/21 – od wyroku wniesiono skargę kasacyjną), a prowadzenie tego i szeregu innych postępowań skutkuje wielokrotną oceną tego samego działania i wielokrotnym nakładaniem sankcji za to samo zdarzenie.
Zgodnie z art. 77 ust. 1 rozporządzenia RODO, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
P.G. miał zatem prawo wystąpić do Prezesa Urzędu Ochrony Danych Osobowych z indywidualną skargą, zarzucając niezgodne z przepisami rozporządzenia RODO przetwarzanie (ujawnienie podmiotom nieuprawnionym) jego danych osobowych, a Prezes Urzędu Ochrony Danych Osobowych był zobowiązany do rozpatrzenia tej skargi.
Nie można tracić z pola widzenia, że uprawnienie przewidziane w art. 58 ust. 2 lit. b rozporządzenia jest to uprawnienie naprawcze, a nie sankcja, które w świetle jednoznacznej treści wskazanego przepisu może być udzielone administratorowi lub podmiotowi przetwarzającemu.
Jak już powiedziano, kwestie dotyczące zastosowania odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków podlegały badaniu i ocenie wyłącznie w postępowaniu zakończonym decyzją z [...] grudnia 2020 r., którą nałożono na skarżącą karę pieniężną.
Przedstawione rozważania faktyczne i przepisy prawa prowadzą do wniosku, że skarga [...] sp. z o.o. w likwidacji z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] marca 2021 r. nie zasługuje na uwzględnienie.
Mając powyższe na uwadze, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329 ze zm.), Wojewódzki Sąd Administracyjny w Warszawie, orzekł jak w sentencji wyroku.