II SA/Wa 2413/23

II SA/Wa 2413/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-10-09
orzeczenie nieprawomocne
Data wpływu
2023-12-28
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /sprawozdawca/
Karolina Kisielewicz-Sierakowska /przewodniczący/
Mateusz Rogala
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2024 poz 935
art. 145  par. 1  pkt 1c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz-Sierakowska, Sędzia WSA Andrzej Góraj (spr.), Asesor WSA Mateusz Rogala, , Protokolant specjalista Maryla Wiśniewska po rozpoznaniu na rozprawie w dniu 9 października 2024 r. sprawy ze skargi [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz strony skarżącej [...] S.A. z siedzibą w [...] kwotę 7 417 (siedem tysięcy czterysta siedemnaście) złotych, tytułem zwrotu kosztów postępowania.
Uzasadnienie
Postępowanie toczące się w niniejszej sprawie z urzędu zainicjowała, pochodząca od osoby trzeciej informacja, wskazująca na udostępnienie jej - jako osobie nieuprawnionej – potwierdzenia przyznania odszkodowania z dnia [...] maja 2021 r., które ujawniało dane osobowe w postaci: imienia, nazwiska, adresu do korespondencji osoby wskazanej w tym zawiadomieniu, zwanej dalej: "Podmiotem Danych", przez [...] Towarzystwo Ubezpieczeń S.A. z siedzibą w [...], zwaną dalej "Administratorem" lub "Spółką". W dokumencie tym, przesłanym do nieuprawnionego odbiorcy w dniu 28 października 2021 r. jako załącznik do wiadomości e-mail, znajdowały się również dane dotyczące marki i modelu samochodu, którego dotyczyła zaistniała szkoda, jego numeru rejestracyjnego, a ponadto wskazano w nim: numer polisy, numer szkody oraz jej wartość, a także kwotę uznanego roszczenia. Osoba trzecia, która stała się odbiorcą ww. dokumentu, wyjaśniła, że przekazała Administratorowi informację o fakcie otrzymania przez nią dokumentu zawierającego cudze dane.
Z odpowiedzi, której Administrator udzielił organowi pismem z dnia 11 maja 2022 r., wynika, że wiedział on o zaistnieniu przedmiotowego zdarzenia i odnotował je w odpowiednim rejestrze. Nadto, Spółka wskazała, że przeprowadziła analizę ryzyka wiążącego się z zaistniałym zdarzeniem posługując się udostępnionym na stronie [...]pl darmowym narzędziem do oceny wagi naruszenia opartym o metodologię ENISA. Wobec wyniku przeprowadzonej i zweryfikowanej analizy, administrator zdecydował o odnotowaniu incydentu, a z uwagi na stwierdzone niskie ryzyko dla praw i wolności osoby, której dane dotyczą nie zakwalifikował zdarzenia jako naruszenia wymagającego powiadomienia Prezesa UODO oraz indywidualnego zawiadomienia osoby, której dane dotyczą.
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] października 2023r. - stwierdzając naruszenie przez [...] Towarzystwo Ubezpieczeń S.A. z siedzibą w [...] przepisu art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, nałożył na [...] Towarzystwo Ubezpieczeń S.A. z siedzibą w [...] administracyjną karę pieniężną w wysokości 103.752,- PLN.
W uzasadnieniu przywołał przepis art. 4 pkt 12 i art. 33 ust. 1 i 3 rozporządzenia 2016/679. Wyjaśnił, że w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności konieczne jest dokonanie analizy pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych bowiem Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli w wyniku przeprowadzonego badania okaże się, że istnieje co najwyżej małe ryzyko.
W dalszej części uzasadnienia organ przybliżył instytucję powiadamiania Prezesa Urzędu Ochrony Danych Osobowych o naruszeniach oraz przywołał argumentację administratora i wyniki przeprowadzonej przez niego analizy ryzyka związanego z ujawnieniem danych.
Organ wyjaśnił też, iż poddając ocenie stanowisko Spółki, należy najpierw zaznaczyć, że pomiędzy sytuacjami, w których istnieje małe prawdopodobieństwo by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (co zwykle uzasadnia brak obowiązku informacyjnego z art. 33 ust. 1 rozporządzenia 2016/679) a sytuacjami, gdy istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych (gdy - poza obowiązkiem z art. 33 ust. 1 rozporządzenia 2016/679 - najczęściej pojawia się dodatkowy obowiązek z art. 34 ust. 1 tego rozporządzenia), pozostają przypadki "pośrednie", których istnienia nie sposób pominąć, bowiem art. 33 ust. 1 rozporządzenia 2016/679 nie zawiera listy przypadków, w których dokonanie zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu jest obowiązkiem administratorów.
Kontynuując prezentację uwag natury ogólnej organ przywołał przykład nr.16 EROD 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych przyjętych w dniu 14 grudnia 2021 r., wersja 2.0,(ww. Wytyczne 01/2021, przypadek nr 16, s. 33), odnoszący się do sytuacji, w której grupa ubezpieczeniowa oferująca ubezpieczenia samochodowe wysłała pocztą do nieuprawnionego odbiorcy propozycję polisy składkowej zawierającą imię, nazwisko, datę urodzenia, adres posiadacza polisy, a także numer rejestracyjny pojazdu bez zamazanych cyfr, stawki ubezpieczeniowe na bieżący i następny rok ubezpieczeniowy, przybliżony roczny przebieg. Przesyłka ta nie zawiera natomiast danych dotyczących zdrowia (art. 9 rozporządzenia 2016/679), danych dotyczących płatności (danych bankowe) oraz danych ekonomicznych i finansowych. Wyjaśnił, że w omawianym przypadku EROD wskazała, że skutki dla osoby poszkodowanej należy uznać za średnie, ponieważ informacje niedostępne publicznie, takie jak data urodzenia lub niezamazane numery rejestracyjne pojazdów, a także szczegóły dotyczące wzrostu stawek ubezpieczeniowych zostały ujawnione nieuprawnionemu odbiorcy. Prawdopodobieństwo niewłaściwego wykorzystania tych danych ocenia się na poziomie od niskiego do średniego. EROD wskazała również, że w pojedynczych przypadkach nie można całkowicie wykluczyć, że list zostanie umieszczony w serwisach społecznościowych lub że skontaktuje się z nim właściciel polisy, a także że w takim przypadku należy zgłosić organowi nadzorczemu zaistniałe naruszenie.
W uzasadnieniu organ przywołał także wytyczne Grupy Roboczej Art. 29 - WP250 w myśl których ,,(...) podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia".
Organ podkreślił też, iż ujawnienie spornych danych nieuprawnionemu odbiorcy wiąże się w przypadku Spółki z naruszeniem dodatkowych obowiązków nakładanych na nią ww. ustawą, tj. z niedochowaniem tajemnicy dotyczącej umowy ubezpieczenia.
Przechodząc do prezentacji własnego stanowiska organ stwierdził, że "Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się negatywnych konsekwencji dla osoby, której dane dotyczą, to wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za większą niż niska. Jednocześnie prawdopodobieństwo wystąpienia ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia".
W dalszej części uzasadnienia organ odnosił się do problematyki kary administracyjnej.
Od powyższej decyzji skargę do tut. Sądu wywiodła firma [...] Towarzystwo Ubezpieczeń S. A. w [...] zarzucając organowi naruszenie :
1/ art. 7, art. 8 § 1, art. 77 § 1, art. 80 i art. 81a § 1 k.p.a. - poprzez ich nieprawidłowe zastosowanie i przekroczenie granic swobodnej oceny dowodów polegające na:
i) dokonaniu oceny naruszenia i stopnia ryzyka dla praw lub wolności podmiotu danych w oparciu o zdarzenia czysto teoretyczne i hipotetyczne, bez jakiejkolwiek weryfikacji, czy ryzyko takich zdarzeń mogło się w ogóle zmaterializować w okolicznościach niniejszej sprawy-w wyniku czego Organ ustalił skutki naruszenia w oderwaniu od istniejącego stanu faktycznego:
ii) naruszeniu zasady obiektywizmu i rozstrzygnięciu wątpliwości co do stanu faktycznego na niekorzyść Skarżącego, tj. w sposób prowadzący do przypisania Skarżącemu intencji naruszenia przepisów o ochronie danych osobowych oraz celowego (umyślnego) zaniżenia oceny ryzyka, pomimo sprzeczności takiej oceny ze zgromadzonym w sprawie materiałem dowodowym oraz zasadami logiki i doświadczenia życiowego,
2/ art. 107 § 1 pkt 6) k.p.a. oraz art. 107 § 3 k.p.a. - poprzez ich niezastosowanie i sporządzenie uzasadnienia w sposób niezrozumiały, niezgodny z obowiązkami nałożonymi na Organ w zakresie sporządzenia uzasadnienia, polegający na wewnętrznej sprzeczności uzasadnienia, braku wyczerpującego wskazania przez Organ faktów, które Organ uznał za udowodnione, uwzględnionych dowodów oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, i przyjmowaniu przez Organ założeń nie popartych ani dowodami, ani uzasadnieniem logicznym,
3/ art. 33 ust. 1 RODO - poprzez jego błędną wykładnię polegającą na przyjęciu, że:
i) oceny potencjalnych konsekwencji błędnego wysłania wiadomości i oceny ryzyka dla praw lub wolności osoby fizycznej należy dokonywać w sposób abstrakcyjny, bez względu na subiektywną i rzeczywistą możliwość ich zaistnienia w okolicznościach faktycznych konkretnego zdarzenia oraz przy założeniu intencji bezprawnego działania po stronie osób, które miałyby hipotetycznie uzyskać nieuprawniony dostęp do danych osobowych,
ii) dane zawarte w załączniku do wiadomości e-mail, obejmujące: imię, nazwisko, adres korespondencyjny oraz informacje dotyczące szkody, stanowią dane osobowe, których ujawnienie skutkuje wyższym poziomem ryzyka dla praw lub wolności osoby fizycznej - podczas gdy dane takie nie ujawniają jakichkolwiek informacji o sytuacji finansowej czy majątkowej konkretnej osoby ani innych informacji uzasadniających, że prawdopodobieństwo ryzyka jest wyższe niż małe
- na skutek czego Organ wadliwie przyjął, że prawdopodobieństwo, aby naruszenie skutkowało ryzykiem dla praw lub wolności osoby fizycznej, jest wyższe niż małe, i w konsekwencji wadliwie zastosował te przepisy w niniejszej sprawie.
4/ art. 83 ust. 1 i art. 83 ust. 2 lit. a, b, e, f, g oraz h RODO w zw. z art. 8 § 1 k.p.a. - poprzez ich nieprawidłowe zastosowanie, prowadzące do nieuprawnionego przypisywania przez Organ zawyżonego znaczenia okolicznościom uznanym przez Organ za obciążające oraz pomijania okoliczności łagodzących, co skutkowało nałożeniem kary administracyjnej nieadekwatnej do stwierdzonego naruszenia oraz naruszeniem zasady zaufania do władzy publicznej, a polegające na:
i) uznaniu, że nałożona kara pieniężna jest proporcjonalna do naruszenia, podczas gdy z okoliczności sprawy wynika, że korespondencja zawierająca dane osobowe została przesłana do jednego adresata, który był klientem Skarżącego, oraz do likwidatora szkody, poszkodowanym była tylko jedna osoba, która nie poniosła żadnej szkody materialnej ani niematerialnej w wyniku zdarzenia, zatem wysokość kary jest rażąco niewspółmierna do wagi naruszenia;
ii) wadliwym przyjęciu, że czas trwania postępowania administracyjnego w sprawie jest równoznaczny z pojęciem "czasu trwania naruszenia", podczas gdy okres ten jest niezależny od Skarżącego, a samo postępowanie miało dopiero doprowadzić do ustalenia, czy Skarżący w ogóle naruszył przepisy RODO wskazane w zawiadomieniu o wszczęciu postępowania;
iii) wadliwym przyjęciu, że sam fakt wszczęcia postępowania przez Organ obligował Skarżącego do zgłoszenia naruszenia -pomimo że z analizy ryzyka sporządzonej przez Skarżącego wynikało niskie ryzyko dla praw i wolności podmiotu danych - a w konsekwencji błędnym przypisaniu Skarżącemu umyślnego naruszenia art. 33 ust. 1 RODO;
iv) wadliwym przyjęciu, że decyzja administracyjna stwierdzająca naruszenie art. 6 ust. 1 RODO powinna być okolicznością obciążającą, podczas gdy ze względu na przedmiot decyzji nie może być ona uznana za "stosowne" naruszenie:
v) wadliwym przyjęciu, że prezentowanie przez Skarżącego w toku postępowania oceny naruszenia odmiennej od przyjętej przez Organ w Decyzji, a w konsekwencji niedokonanie przez Skarżącego zgłoszenia naruszenia niezwłocznie po otrzymaniu zawiadomienia o wszczęciu postępowania, stanowi okoliczność obciążającą - a w konsekwencji wadliwym przyjęciu przez Organ, że stopień współpracy Skarżącego z Organem był niezadawalający, pomimo że Skarżący w toku postępowania udzielał w określonych terminach pełnych i wyczerpujących wyjaśnień;
W oparciu o powyższe skarżący wniósł o uchylenie decyzji i umorzenie postępowania jak i o zasądzenie kosztów postępowania.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
zgodnie z treścią przepisu art.1 par. 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr.153, poz.1269 z późn. zm.) Sąd Administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym. Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż powinna zostać wyeliminowana z obrotu prawnego jako wadliwa.
Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy organ w sposób wyczerpujący uzasadnił swoje rozstrzygnięcie tj. czy wyjaśnił to, jakie okoliczności świadczą w jego mniemaniu o istnieniu po stronie administratora danych osobowych obowiązku powiadomienia organu nadzoru o naruszeniu danych osobowych.
W ocenie tut. Sądu na w/postawione pytanie należało udzielić negatywnej odpowiedzi.
Prezes UODO wydał skarżoną decyzję w oparci o przepis art.33 ust.1 i 3 RODO w myśl którego w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1 musi, co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Wyjaśniając podstawy prawne rozstrzygnięcia organ trafnie wskazał, że w celu odkodowania w/powołanej normy prawnej właściwym jest odwołanie się do wytycznych Europejskiej Rady Ochrony Danych (EROD). Poprawnie organ przywołał też najbardziej zbliżony przedmiotowo do stanu faktycznego sprawy przykład nr.16 z wytycznych EROD 01/2021. Co wielce istotne w powyższym przykładzie EROD co do zasady uznał skutki naruszenia ochrony danych osobowych osoby poszkodowanej jako tylko średnie. Konieczność powiadomienia organu nadzorczego o naruszeniu, tj. okoliczność istnienia dużego prawdopodobieństwa naruszenia praw i wolności osoby poszkodowanej EROD dopuścił wyłącznie w sytuacjach pojedynczych, w których nie da się całkowicie wykluczyć "że list zostanie umieszczony w serwisach społecznościowych lub że skontaktuje się z nim właściciel polisy...".
Oceniając prawną podstawę badanej decyzji za właściwe należało także uznać przywołanie przez organ Wytycznych WP 250 Grupy Roboczej art.29 w myśl których "(...) podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia".
Biorąc pod uwagę powyższe argumenty prawne jakimi posłużył się organ w uzasadnieniu skarżonej decyzji, winien on dokonać ich subsumpcji do stanu faktycznego sprawy. Powinien więc w sposób niezwykle szczegółowy wyjaśnić to, z jakich przyczyn omawiane naruszenie zakwalifikował do kategorii obciążonych większym niż małe prawdopodobieństwem naruszenia praw i wolności osób fizycznych.
Analiza uzasadnienia skarżonego aktu prowadzi do konkluzji, ze organ uchybił jednak w/w obowiązkowi. Na potwierdzenie poprawności wydanej decyzji przywołał bowiem jedynie wymóg zachowania przez skarżącą spółkę w tajemnicy szczegółów umowy ubezpieczeniowej i zakres ujawnionych danych. Nadto przywołał argumenty dotyczące ujawnienia nr. Pesel i to mimo tego, że w sprawie nie stwierdził takiego naruszenia. Nie wyjaśnił jednakże dlaczego w jego mniemaniu okoliczności sprawy sugerują istnienia wysokiego ryzyka naruszenia praw i wolności osoby poszkodowanej.
W szczególności zaniechał dokonania jakiejkolwiek analizy ryzyka naruszenia praw i wolności osoby pokrzywdzonej, przez pryzmat tego, kim był nieuprawniony odbiorca omawianych danych i jak się zachował po ich otrzymaniu.
Przy takim zawężeniu merytorycznej kontroli zachowania spółki, samo przywołanie okoliczności zawiadomienia po upływie 6 miesięcy organu przez nieuprawnionego odbiorcę danych o naruszeniu, nie świadczy per se o istnieniu większego niż średnie stopnia ryzyka.
W świetle powyższego uznać należało, że organ przedwcześnie dopatrzył się po stronie spółki naruszenia obowiązku opisanego w art.33 RODO. Tym bardziej więc za przedwczesne należało uznać dopatrzenie się przez organ istnienia przesłanek dla nałożenia na spółkę administracyjnej kary pieniężnej. Sąd administracyjny jak też strona skarżąca nie mogą domyślać się tego, co powodowało organem przy rozstrzyganiu sprawy i z jakich powodów przyjął określone założenia i wnioski. Sąd nie może także zastępować organu administracji w wyjaśnianiu powodów wydania przez tenże organ decyzji o określonej treści.
W związku z powyższym, uznając że skarżona decyzja narusza prawo, Wojewódzki Sad Administracyjny w Warszawie orzekł jak w pkt. 1 wyroku na podstawie art.145 par.1 pkt.1c P.p.s.a.
O kosztach orzeczono stosownie do dyspozycji art.200 P.p.s.a. nakładając na organ obowiązek zwrotu stronie skarżącej poniesionych przez nią kosztów stosunkowego wpisu od skargi, wynagrodzenia pełnomocnika procesowego ustalonego w odniesieniu do wartości zaskarżenia i uiszczonej przez niego opłaty skarbowej od pełnomocnictwa.
Ponownie rozpoznając sprawę organ będzie zobowiązany do uwzględnienia uwag poczynionych przez tut. Sąd w niniejszym uzasadnieniu i do szczegółowego wyjaśnienia motywów swego rozstrzygnięcia.