II SA/Wa 2035/23

II SA/Wa 2035/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-05-29
orzeczenie nieprawomocne
Data wpływu
2023-10-23
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Danuta Kania
Dorota Kozub-Marciniak /sprawozdawca/
Iwona Maciejuk /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 51
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 58 ust. 2 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk, Sędzia WSA Danuta Kania, Asesor WSA Dorota Kozub-Marciniak (spr.), po rozpoznaniu w trybie uproszczonym w dniu 29 maja 2024 r. sprawy ze skargi F. S.A. z siedzibą w G. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
F. S.A. z siedzibą w G.(dalej, jako: skarżąca lub Spółka) wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2023 r., którą organ udzielił skarżącej upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej, jako: RODO), polegające na ujawnieniu danych osobowych T. S.(dalej, także, jako: uczestniczka), zam. w K. przy ul. K. [...], podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz F.S.A.
W uzasadnieniu zaskarżonej decyzji organ wskazał, że do Urzędu Ochrony Danych Osobowych wpłynęła skarga T.S.na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Spółkę.
W toku postępowania organ ustalił, że uczestniczka jest klientem Spółki, która prowadzi działalność w zakresie sprzedaży i dostawy energii elektrycznej i paliwa gazowego. Dnia [....] kwietnia 2020 r. Spółka poinformowała uczestniczkę o wycieku jej danych osobowych. Uczestniczka zawarła umowy ze Spółką w dniu [....] marca 2017 r. w miejscu zamieszkania, od których odstąpiła [....] maja 2017 r. Spółka podniosła, że "Dodatkowo pragnę wyjaśnić, iż wspomniane w skardze odstąpienie od umów było nieskuteczne ze względu na przekroczenie terminu przewidzianego dla odstąpień od umów zawartych poza lokalem przedsiębiorstwa. F. nie otrzymało również wypowiedzenia zawartych umów, w związku z czym obie umowy są realizowane, a co za tym idzie Skarżąca jest aktywnym Klientem F.. Co więcej Pani T. S.od 2017 roku do dnia dzisiejszego reguluje należności wynikające z obu umów." Dnia [....] maja 2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z P. Sp. z o.o. z siedzibą w G. przy ul. S. [....], z którą łączy ją również wcześniej zawarta umowa o współpracy. Na podstawie ww. umów P. Sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki. Dnia [....] kwietnia 2020 r. Spółka powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. P. Sp. z o.o., oraz ustaliła, że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od [....] kwietnia 2020 r. do [....] kwietnia 2020 r. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany poprzez wdrożenie zabezpieczeń przez P. Sp. z o.o. Dnia [....] kwietnia 2020 r. Spółka zgłosiła ww. naruszenie do Prezesa UODO. Spółka ustaliła, że w przypadku uczestniczki doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska i numeru PESEL. W związku z powyższym wyciekiem Spółka zawiadomiła o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w G.- Wydział [....] Śledczy Dział do Prowadzenia i Nadzorowania Spraw o Przestępstwa z Wykorzystaniem Internetu oraz Zaawansowanych Technologii i Systemów Informatycznych, Komendę Wojewódzką Policji w G.- Wydział do Walki z Cyberprzestępczością oraz [....] . W prowadzonym przez Departament Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych postępowaniu pod sygnaturą [....] ustalono, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [....] dnia [....] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od 15 kwietnia 2020 r. godz. 23:00 do 16 kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [....] W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB.
Dalej organ wskazał, że uczestniczka jest klientem Spółki, wobec czego podstawę prawną uprawniającą Spółkę do przetwarzania jej danych osobowych stanowi art. 6 ust. 1 lit. b RODO. Przywołując treść art. 27 ust. 1 i 2 ustawy z dnia 30 maja 2014 r. o prawach konsumenta (Dz. U. z 2020 poz. 287) organ podał, że Spółka oświadczyła, iż uczestnika przekroczyła termin przewidziany do odstąpienia od umów zawartych poza lokalem przedsiębiorstwa. Z wyjaśnień Spółki wynika dodatkowo, że umowy te nie zostały przez uczestniczkę wypowiedziane czego konsekwencją jest fakt, iż strony w momencie naruszenia były oraz są nadal związane umową.
Organ podkreślił, że przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO). Spółka jest uprawniona do przetwarzania danych osobowych Skarżącej, ale nie w kwestionowanym zakresie, tj. do ujawnienia poprzez ich udostępnienie. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę poufności (lit. f).
W dniu [....] maja 2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z P. sp. z o.o., z którą łączy ją również wcześniej zawarta umowa o współpracy. Na podstawie ww. umowy P. sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki. W relacji tej Spółka jest administratorem danych, a P. sp. z o.o. podmiotem przetwarzającym. Prezes UODO odwołał się do treści art. 4 pkt 7 i 8, art. 28 ust. 1 i 3, art. 32 RODO.
W ocenie organu ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika, że w okresie od 12 kwietnia 2020 r. do 16 kwietnia 2020 r. doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych uczestniczki, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. Sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...]dnia [...] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...] kwietnia 2020 r. godz. 23:00 do [...] kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Powyższy incydent doprowadził do naruszenia poufności danych osobowych uczestniczki w zakresie imienia, nazwiska i numeru PESEL.
Do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. Sp. z o.o., jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za wskazane naruszenie. Biorąc pod uwagę powyższe organ uznał, że ujawnienie danych osobowych uczestniczki podmiotom i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO). Spółka naruszyła również zasadę poufności poprzez przetwarzanie danych uczestniczki w sposób niezapewniający im odpowiedniego bezpieczeństwa.
Organ wskazał, że Spółka dopuściła się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych uczestniczki podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W związku z powyższym, Prezes UODO korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO udzielił Spółce upomnienia.
Z tym rozstrzygnięciem Spółka nie zgodziła się i wywiodła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc o uchylenie zaskarżonej decyzji oraz o zasądzenie na jej rzecz od organu kosztów postępowania.
Zaskarżonej decyzji zarzucono:
1. naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 7, art. 8, art. 11 w zw. z art. 107 § 3 oraz art. 77 § 1 K.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do wydania wadliwej i przedwczesnej decyzji;
2. naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 80 K.p.a. w zw. z art. 7 ust. 1 ww. ustawy polegające na przekroczeniu granic swobodnej oceny dowodów i - w konsekwencji - błędnym przyjęciu, że Strona Skarżąca przetwarzała dane osobowe Uczestniczki postępowania bez podstawy prawnej, podczas gdy podstawa ta istniała w postaci art. 6 ust. 1 lit b RODO, a ewentualne naruszenie poufności danych osobowych uczestniczki postępowania nie może zostać zakwalifikowane jako ujawnienie danych przez administratora;
3. naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnej jego wykładni skutkującej przyjęciem, że Strona Skarżąca przetwarzała dane osobowe uczestniczki postępowania poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, podczas gdy w stanie faktycznym sprawy należało rozważyć jedynie możliwość naruszenia poufności danych osobowych, w rozumieniu art. 5 ust. 1 lit f RODO w zw. z 32 RODO.
W uzasadnieniu skargi przedstawiono szeroką argumentację na poparcie stawianych zarzutów.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał swoje dotychczasowe stanowisko. Prezes UODO odniósł się do zarzutów skargi i uznał je za pozbawione racji.
W piśmie procesowym z dnia [...] grudnia 2023 r. Spółka podtrzymała stanowisko zaprezentowane w skardze, a twierdzenia organu przedstawione w odpowiedzi na skargę uznała za bezzasadne. Spółka przedstawiała dodatkowe stanowisko i na podstawie art. 106 § 3 ustawy z dnia 30 sierpnia 2022 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634 ze zm., dalej, jako: P.p.s.a.) wniosła o dopuszczenie i przeprowadzenie dowodu z dokumentu tj. postanowienia Prokuratury Okręgowej w G. umorzeniu dochodzenia z dnia [...] kwietnia 2021 r. w sprawie o sygn. akt PO [...].
Spółka podniosła, że w postanowieniu tym Prokuratura Okręgowa w G. postanowieniem umorzyła dochodzenie:
I. w sprawie uzyskania bez uprawnień w okresie od 15 kwietnia 2020 r. do 16 kwietnia 2020 r. w nieustalonym miejscu za pośrednictwem sieci Internet poprzez niezabezpieczony port serwera informacji dla niego nieprzeznaczonej w postaci bazy danych klientów firmy F. S.A. , tj. o czyn z art. 267 § 1 k.k. - wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego;
II. w sprawie przetwarzania, w nieustalonym okresie od 12 kwietnia 2020 roku do 16 kwietnia 2020 roku w G., danych osobowych klientów firmy F. S.A. chociaż ich przetwarzanie nie jest dopuszczalne lub bez uprawnienia, tj. o czyń z art. 107 ust. 1 ustawy z dnia [...] maja 2018 r. o ochronie danych osobowych - wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego.
Spółka zwróciła uwagę, że w treści uzasadnienia powyższego postanowienia wskazano: "Dane personalne klientów F.S.A. poprzez błąd ludzki zostały pozostawione na niezabezpieczonym serwerze danych, skąd zostały dwukrotnie skutecznie pobrane przez M. B. i V. D. . Niezwłoczna reakcja tychże dwóch osób i powiadomienie właściciela danych o ich wycieku, uchroniło wskazane informacje przed dalszym skutecznym pobieraniem z serwera i następczym rozpowszechnianiem".
Zdaniem Spółki bezzasadny jest zatem zarzut organu jakoby Spółka nie podjęła określonego działania, bowiem niezwłocznie po uzyskaniu informacji od wyżej wskazanych osób dostęp do danych został zabezpieczony. Nie zaistniało wobec tego żadnego rodzaju udostępnianie danych klientów Spółki osobom nieupoważnionym.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r. poz. 2492) sądy administracyjne są właściwe do badania zgodności z prawem zaskarżonych aktów administracyjnych, przy czym sąd nie może opierać tej kontroli na kryterium słuszności lub sprawiedliwości społecznej. Kontrolowane rozstrzygnięcie jest zgodne z prawem, jeżeli jest zgodne z powszechnie obowiązującymi przepisami prawa materialnego i przepisami prawa procesowego. Uchylenie decyzji, względnie stwierdzenie jej nieważności przez sąd następuje tylko w przypadku stwierdzenia istnienia istotnych wad w postępowaniu lub naruszenia przepisów prawa materialnego, mającego wpływ na wynik sprawy, o czym przesadza art. 145 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634 ze zm., dalej, jako: P.p.s.a.). Zakres kontroli Sądu wyznacza art. 134 P.p.s.a. stanowiący, iż sąd orzeka w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Dokonując kontroli legalności zaskarżonej decyzji w granicach kompetencji przysługujących sądowi administracyjnemu, na podstawie wymienionych ustaw, Sąd uznał zasadność zastosowania art. 151 P.p.s.a.
W pierwszej kolejności należy przypomnieć, że celem ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP (por. wyrok NSA z dnia 30 marca 2006 r., I OSK 628/05, LEX nr 198299; wyrok NSA w składzie 7 sędziów z dnia 6 czerwca 2005 r., I OPS 2/05).
W doktrynie, na gruncie art. 47 Konstytucji RP, prawo do prywatności oznacza "przymioty, wewnętrzne przeżycia osobiste (jednostkowe) człowieka i ich oceny, refleksje dotyczące wydarzeń zewnętrznych i jego wrażenia zmysłowe, a także stan zdrowia. Nie są one w założeniu przeznaczone do upowszechniania i sam zainteresowany decyduje o kręgu osób, z którymi zechce się nimi podzielić. Składową prawa do prywatności jest życie prywatne, które odnosi się generalnie do życia: osobistego, towarzyskiego, nienaruszalności mieszkania, tajemnicy korespondencji i ochrony informacji dotyczących danej osoby. Można je opisać jako "prawo do pozostawienia w spokoju" czy "prawo jednostki do bycia pozostawioną samej sobie" (B. Banaszak, Konstytucja RP,. Komentarz, Warszawa 2012, tekst za Legalis). Uprawnienie to oznacza, że ochronie podlegają te informacje o osobie fizycznej, które dotyczą jej najbliższej sfery życia, wyznaczonej przez nią samą, o której decydować powinna tylko ona lub ewentualnie osoby jej najbliższe. Sfera ta w istocie stanowi o tożsamości tej osoby i określa jej godność statuującą ją jako człowieka.
Zgodnie z art. 4 pkt 1 RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
W interesie osób fizycznych leży udostępnianie tych danych o tyle, o ile taka jest ich wola, chyba że ustawodawca realizując inne jeszcze wartości przesądza o udostępnianiu tych danych niezależnie od woli tych osób stanowiąc tym samym w konkretnym przypadku o pierwszeństwie wartości związanych z interesem publicznym nad wartościami powiązanymi z in T. mi indywidualnymi. Na gruncie obowiązującego prawa podstawą tą jest art. 6 ust. 1 RODO, w którym określono warunki uznania przetwarzania danych osobowych za zgodne z prawem. A więc przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają inT. lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Nie może też ujść uwadze, że RODO wiąże przetwarzanie danych z przestrzeganiem zasad określonych w art. 5 RODO, które mają charakter podstawowy w odniesieniu do całej regulacji. W art. 5 ust. 1 lit. f RODO, sformułowana została zasada poufności. Wspomniana zasada wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 RODO wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
W niniejszej sprawie organ udzielił Spółce, upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu danych osobowych uczestniczki postępowania, podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki.
W sprawie istotne jest, a przy tym jest to okoliczność niekwestionowana przez Spółkę, że w dniu 16 kwietnia 2020 r. powzięła ona informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. P. sp. z o.o. oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od 12 kwietnia 2020 r. do 16 kwietnia 2020 r. Okoliczności te potwierdza również treść uzasadnienia postanowienia Prokuratury Okręgowej w G. o umorzeniu dochodzenia z dnia 19 kwietnia 2021 r. w sprawie sygn. akt PO [...]. Spółka samodzielnie ustaliła, że w przypadku uczestniczki postępowania doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska oraz numeru PESEL.
Uczestniczka była klientem Spółki, stąd też przetwarzanie jej danych osobowych przez Spółkę znajdowało oparcie w art. 6 ust. 1 lit b RODO. Zgodnie z tym przepisem przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Jak słusznie podnosi organ proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO, w tym z zasadą poufności (lit. f).
Z ustaleń organu, dokonanych m.in. w oparciu o wyjaśnienia Spółki, wynika, że w okresie od 12 kwietnia 2020 r. do 16 kwietnia 2020 r. doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych uczestniczki, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...]dnia [...] kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od [...] kwietnia 2020 r. godz. 23:00 do 16 kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...] W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Powyższy incydent doprowadził do naruszenia poufności danych osobowych uczestniczki w zakresie imienia, nazwiska oraz numeru PESEL.
Słusznie organ podnosi, iż choć do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o., to jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za wskazane naruszenie. Zauważyć bowiem należy, że zgodnie z art. 28 ust. 1 RODO jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
W niniejszej sprawie Spółka skorzystała z usług podmiotu, który nie zapewniał wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO.
Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem.
W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji. Art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie, co zostało w rozporządzeniu nazwane "rozliczalnością".
Powyższe przepisy nakładają zatem na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie. W przepisach RODO można zaobserwować tendencję do zapewnienia administratorom większej swobody w zakresie stosowanych zabezpieczeń, z jednoczesnym zwiększeniem odpowiedzialności za naruszenia przepisów o ochronie danych. Administrator danych powinien przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia, aby móc zastosować odpowiednie środki pozwalające skutecznie zabezpieczyć przetwarzane dane.
Na gruncie RODO pojęcie rozliczalności oznacza odpowiedzialność za przestrzeganie przepisów rozporządzenia i możność wykazania ich przestrzegania.
W literaturze przedmiotu wskazuje się, że określenie "rozliczalność" (ang. accountability) powinno być rozumiane odmiennie od dotychczas przypisywanego mu znaczenia, jako synonim ponoszenia odpowiedzialności przez administratora, co prowadzi do wniosku, że polska wersja językowa komentowanego przepisu nie odpowiada w istocie jego zamierzonej treści (P. Litwiński, P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. i swobodnym przepływem takich danych. Komentarz, red. P. Litwiński, s. 268). Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych. Dlatego też, pomimo braku wyraźnego wymogu wynikającego z przepisów komentowanego rozporządzenia, zasadne wydaje się prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu (np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń). Wymóg taki wynikał z krajowych przepisów wykonawczych (rozporządzenia wykonawczego do u.o.d.o.1997), jednak utrata ich mocy obowiązującej sprawiła, że wymóg taki nie jest zasadniczo obowiązkiem wyraźnie wskazanym w przepisach o ochronie danych osobowych. Informacje pozwalające wykazać przestrzeganie przepisów mogą być zawarte np. w polityce bezpieczeństwa lub w innym dokumencie, natomiast przewidziany w art. 30 obowiązek prowadzenia rejestru czynności przetwarzania ograniczony jest w tym zakresie jedynie do ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa (tak np., P. F. [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5.)
Sąd podziela powyższe stanowisko. W przypadku naruszenia, do którego doszło (jak w niniejszej sprawie), to na administratorze spoczywał obowiązek wykazania, iż omówione wyżej zasady były przestrzegane. Okolicznością niesporną w sprawie jest zaś to, że miało miejsce naruszenie ochrony danych osobowych klientów Spółki, w tym danych osobowych uczestniczki, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze, co umożliwiło dostęp osobom nieupoważnionym. Tak wskazywała sama Spółka w toku postępowania przed organem. Potwierdza to również treść uzasadnienia postanowienia Prokuratury Okręgowej w G. o umorzeniu dochodzenia z dnia [...] kwietnia 2021 r. w sprawie sygn. akt PO [...]. Poza sporem pozostaje także fakt, że w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. W świetle powyższego nie budzi wątpliwości poprawność konkluzji organu, iż administrator danych osobowych i podmiot zewnętrzny którym posługiwał się przy przetwarzaniu danych, nie wdrożyli należytego zabezpieczenia przetwarzanych danych.
Podkreślenia jednak wymaga, że w sprawie będącej przedmiotem rozpoznania przez Sąd nie chodziło o ustalenie stopnia wadliwości zabezpieczeń technicznych stosowanych przez P. sp. z o.o. Zwrócić trzeba uwagę, że innym postępowaniem jest postępowanie w ramach którego dokonywana jest ocena prawidłowości stosowania przepisów sekcji 1 (Obowiązki ogólne) czy sekcji 2 (Bezpieczeństwo danych osobowych) rozdziału IV RODO, czego w tej sprawie organ nie dokonywał, a innym rozpatrywanie przez organ indywidualnej skargi wniesionej przez osobę, której dane dotyczą w zakresie zgodności przetwarzania jej danych z przepisami RODO.
Zgodnie z art. 77 ust. 1 RODO, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
Uczestniczka miała zatem prawo wystąpić do Prezesa UODO z indywidualną skargą podnosząc kwestię niezgodnego z przepisami RODO przetwarzania (tj. ujawnienia) podmiotom nieuprawnionym jego danych osobowych przez administratora. Zasadnie zatem organ prowadził zatem to postępowanie i rozstrzygnął je decyzją udzielając upomnienia Spółce za naruszenie RODO polegające na udostępnieniu bez podstawy prawnej danych osobowych uczestnika postępowania podmiotom nieuprawnionym.
Należy podzielić stanowisko PUODO, iż zgodnie z motywem 39 RODO, dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
Opisana wyżej okoliczność polegająca na niezabezpieczeniu hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze spowodowała, że dane osobowe uczestniczki zostały ujawnione podmiotom do tego nieuprawnionym. W sprawie nie doszło do złamania zabezpieczeń, lecz do ich niezastosowania polegającego na niezabezpieczeniu hasłem dostępu do bazy danych osobowych, tym samym zaś na umożliwieniu dostępu do nich i finalnie ich ujawnieniu, a więc przetworzeniu.
Nie można zgodzić się z zarzutem Spółki, że ujawnienie danych osobowych, które miało miejsce w niniejszej sprawie, nie było przetworzeniem danych w myśl przepisów RODO. Zgodnie bowiem z art. 4 pkt 2 RODO "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Ujawnienie danych osobowych, o którym mowa w powołanym wyżej art. art. 4 pkt 2 RODO, nie musi być wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi). Może ono polegać także na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych. Do takiej sytuacji niewątpliwie doszło w realiach rozpoznanej sprawy. Chybione jest zatem stanowisko Spółki, która zmierza do wykazania, że ujawnienie danych osobowych uczestniczki, nie stanowi ich udostępnienia i w konsekwencji przetworzenia.
Poprzez opisane wyżej ujawnienie danych osobowych uczestniczki doszło do ich przetworzenia i to ono było przedmiotem postępowania prowadzonego przez Prezesa UODO. Kluczowe dla oceny takiego przetworzenia było zaś znalezienie dającej do tego podstawy prawnej, której - zgodnie z ustaleniami organu - nie było. Sąd taką ocenę podziela.
Jak już była o tym mowa, w świetle przepisów RODO przetwarzanie danych osobowych uważa się bowiem za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 RODO. Żadna z tych przesłanek nie została w niniejszej sprawie spełniona.
Prawidłowo zatem organ uznał, że Spółka dopuściła się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych uczestniczki podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W związku z powyższym. PUODO korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO udzielił Spółce upomnienia.
Zastosowane przez organ uprawnienie naprawcze w postaci upomnienia, w stosunku do ujawnionego naruszenia nie przekroczyło zasady proporcjonalności. Wskazać należy, że jest to jeden z najłagodniejszych środków stosowanych przez organ. W stanie faktycznym sprawy mamy do czynienia z rażącym brakiem zastosowania zabezpieczeń jakim jest niezabezpieczenie hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze. Nadto, spowodowało to nieuprawnione połączenie z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Doszło zatem do ujawnienie danych osobowych uczestniczki podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy. Powyższe incydenty doprowadziły do naruszenia poufności danych osobowych uczestnika postępowania w zakresie imienia i nazwiska oraz numeru PESEL. Ponadto, o doniosłości naruszenia świadczy także treść postanowienia Prokuratury Okręgowej w G. o umorzeniu dochodzenia z dnia 19 kwietnia 2021 r. w sprawie sygn. akt PO I [...]. W treści postanowienia wskazano, że "Dane personalne klientów Skarżącej poprzez błąd ludzki zostały pozostawione na niebezpiecznym serwerze danych, skąd dwukrotnie skutecznie pobrane przez określone w postanowieniu osoby."
Sąd uznał zatem, że skarga nie jest zasadna, gdyż zaskarżona decyzja nie narusza norm prawa materialnego czy procesowego. Organ prawidło ustalił stan faktyczny sprawy, w wystarczający sposób zebrał i ocenił materiał dowodowy, a następnie w przekonywujący sposób uzasadnił swoje rozstrzygnięcie. Postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi K.p.a., a w szczególności art. 7, art. 8, art. 11 K.p.a., a także innymi normami, zwłaszcza art. 77 i art. 80 K.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.
Z tych też względów, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 P.p.s.a. orzekł o oddaleniu skargi.