II SA/Wa 2468/21

II SA/Wa 2468/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-04-20
orzeczenie nieprawomocne
Data wpływu
2021-07-06
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Iwona Maciejuk
Karolina Kisielewicz /przewodniczący/
Michał Sułkowski /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 1957/22 - Wyrok NSA z 2025-06-18
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1  art. 4 pkt 2, art. 6 ust. 1, art. 58 ust. 1 lit. b, art. 77 ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2022 poz 329
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi  - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz, Sędzia WSA Iwona Maciejuk, Asesor WSA Michał Sułkowski (spr.), , Protokolant starszy referent Magdalena Frąckiewicz, po rozpoznaniu na rozprawie w dniu 20 kwietnia 2022 r. sprawy ze skargi [...] sp. z o.o. w likwidacji z siedzibą w [...] na pkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
T.K., reprezentowany przez radcę prawnego, w piśmie z 20 kwietnia 2020 r. wniósł do Prezesa Ochrony Danych Osobowych (dalej "Prezes UODO") skargę na niezgodne z prawem przetwarzanie jego danych osobowych przez [...] sp. z o.o. z siedzibą w [...] (dalej również "Spółka" lub "[...]") - administratora serwisu internetowego [...]. Skarżący podniósł, że doszło do naruszenia art. 5 ust. 1 lit. f oraz art. 32 ust. 1 lit. b i art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej "RODO") poprzez niezapewnienie bezpieczeństwa i poufności przetwarzania danych osobowych, co skutkowało wyciekiem z zasobów administratora danych osobowych M.K., w szczególności takich jak: imię, nazwisko, PESEL, seria i numer dowodu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, numer telefonu pracodawcy, nazwa pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...].pl.
M.K. wywiódł w uzasadnieniu skargi, że 14 marca 2020 r. otrzymał od administratora portalu [...].pl informację o zainicjowaniu automatycznego resetowania hasła dostępu do konta użytkownika. Następnie, 16 marca 2020 r. administrator poinformował, że dane osobowe zapisane na koncie użytkownika założonym za pośrednictwem strony internetowej www.[...].pl zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu administrator powierzył przetwarzanie danych osobowych. Wedle informacji administratora, błąd miał polegać na braku zabezpieczenia danych w okresie od 3 do 14 marca 2020 r. przez podmiot współpracujący z [...].
Skarżący odwołał się także do informacji uzyskanych ze strony internetowej [...], zgodnie z którymi 3 marca 2020 r. ujawniono w sieci serwer z ogólnodostępną bazą danych [...], w której znajdowały się dane klientów [...], w tym imiona i nazwiska, adresy e-mail, numery PESEL, numery dowodów osobistych lub paszportów, hasła zapisane otwartym tekstem, a także numery rachunków bankowych. Zaistniałe zdarzenie miało zostać ujawnione i zgłoszone administratorowi 9 marca 2020 r., jednakże dopiero 14 marca wykonano reset hasła użytkownika. Informację o naruszeniu skarżący otrzymał natomiast dopiero 16 marca 2020 r., zatem 7 dni od momentu ujawnienia naruszenia.
M.K. wniósł o usunięcie uchybień w procesie przetwarzania danych osobowych, w szczególności domagając się usunięcia danych osobowych z zasobów administratora, ewentualnie o ograniczenie przetwarzania jego danych przez administratora.
W piśmie z 1 września 2020 r. (niepodjętym po dwukrotnym awizowaniu) i piśmie z 14 stycznia 2021 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a) i e) RODO, zwrócił się do [...] o złożenie wyjaśnień i dostarczenie informacji w sprawie skargi T.K. na nieprawidłowości w procesie przetwarzania jego danych osobowych.
W pismach z 22 stycznia 2021 r. i z 14 kwietnia 2021 r. Spółka, reprezentowana przez adwokata, wyjaśniła, że dane osobowe T.K. przetwarza na podstawie art. 6 ust. 1 lit c) RODO w zw. z art. 74 ust. 2 pkt 4 ustawy o rachunkowości, od 17 czerwca 2018 r. w zakresie wynikającym z zawartej tego dnia ramowej umowy pożyczki, w której zawarto imię, nazwisko, serię i nr dowodu osobistego, nr PESEL, adres zameldowania, adres zamieszkania i adres e-mail skarżącego. W pozostałym zakresie przetwarza dane w zakresie niezbędnym do realizacji obowiązków prawnych oraz obrony roszczeń w ramach postępowania przez Prezesem UODO, jak również postępowania sądowego. Spółka wskazała, że T.K. wniósł przeciw niej pozew.
[...] oświadczyła także, że dane skarżącego udostępniła, na podstawie umów powierzenia przetwarzania danych osobowych: 1) [...] sp. z o.o. z siedzibą w [...] na [...] (z którą w dniu [...] marca 2018 r. zawarła umowę powierzenia przetwarzania danych osobowych i której pracownik popełnił błąd skutkujący naruszeniem ochrony danych) oraz 2) [...] z siedzibą w [...] (od której dzierżawi serwery).
Spółka podniosła, że incydent naruszenia ochrony danych osobowych jest przedmiotem postępowania toczącego się przed Prezesem UODO wszczętego z urzędu (sygn. [...]) zakończonego decyzją z [...] grudnia 2020 r. W zakresie okoliczności dotyczących naruszenia objętego skargą T.K. odwołała się do ustaleń poczynionych w tym postępowaniu.
Spółka stwierdziła także, że osobom, których dane zostały objęte naruszeniem wysłano 16 marca 2020 r. wiadomość e-mail o następującej treści. Informujemy, że Pani/Pana dane osobowe zapisane na koncie użytkownika założonym za pośrednictwem strony internetowej [...] zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu [...] powierzył przetwarzanie Pani/Pana danych osobowych. Błąd polegał na braku zabezpieczenia danych w okresie od dnia 03 marca br. do dnia 14 marca br. przez podmiot współpracujący z [...].
W widomości podano też, że zakres danych osobowych objętych nieuprawnionym udostępnieniem obejmuje: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny wykształcenie, hasło do profilu klienta na [...]. Wskazano, że jeśli którekolwiek z wymienionych danych nie zostały podane w trakcie zakładania konta użytkownika lub w okresie późniejszym, dane te nie zostały objęte potencjalnym ujawnieniem.
W wiadomości zawarto również: (1) odpis przewidywanych konsekwencji i zagrożeń związanych z ujawnieniem danych osobowych oraz środków proponowanych w celu minimalizacji negatywnych skutków związanych z naruszeniem; (2) opis kroków podjętych w celu zaradzenia naruszeniu danych osobowych; (3) informację o możliwości uzyskania dalszych informacji oraz (4) informację o zgłoszeniu naruszenia danych osobowych Prezesowi UODO.
[...] podała ponadto, że 18 marca 2020 r., zamieściła na swojej stronie internetowej dwa oświadczenia na temat bezpieczeństwa danych osobowych. W pierwszym z nich zawarła informacje o przeprowadzonej 14 marca 2020 r., automatycznej zmianie haseł z uwagi na podejrzenie możliwości nieuprawnionego dostępu do części bazy danych. W drugim oświadczeniu poinformowała natomiast, że na skutek błędu podmiotu trzeciego współpracującego ze Spółką, osoba trzecia uzyskała nieuprawniony dostęp do danych osobowych części użytkowników portalu [...].pl, oraz że podjęła natychmiastowe działania celem zabezpieczenia danych, zidentyfikowała przyczynę incydentu oraz ją niezwłocznie usunęła.
Spółka stwierdziła także, że komunikację prowadzono na podstawie art. 6 ust. 1 lit. c RODO w związku z obowiązkami zarządzania naruszeniem ochrony danych wynikającymi z art. 32 ust. 1 oraz art. 34 RODO. Wskazała, że mimo, iż obecnie nie jest w stanie stwierdzić, czy dane skarżącego zostały objęte naruszeniem, to jeśli został poinformowany o naruszeniu ochrony danych, jego dane osobowe zostały najprawdopodobniej objęte naruszeniem.
W tych okolicznościach faktycznych i prawnych Prezes UODO decyzją z [...] maja 2021 r. nr [...], na podstawie art. 104 § 1 K.p.a. w zw. z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz na podstawie art. 6 ust. 1 lit. c oraz art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f i art. 58 ust. 2 lit. b RODO, udzielił [...] upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu danych osobowych T.K. podmiotom nieuprawnionym (pkt 1 decyzji). W pozostałym zakresie organ nadzorczy odmówił uwzględnienia wniosku (pkt 2 decyzji).
W uzasadnieniu decyzji Prezes UODO stwierdził, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Na administratorze danych osobowych, którym w rozumieniu art. 4 pkt 7 RODO jest Spółka, ciąży obowiązek prawny przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, a w szczególności obowiązek zapewnienia, by przetwarzanie odbywało się na podstawie co najmniej jednej z przesłanek enumeratywnie wymienionych w art. 6 ust. 1 RODO.
Prezes UODO wskazał również, że art. 5 ust. 1 lit f RODO nakłada na administratora danych osobowych obowiązek przetwarzania danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Organ nadzorczy podniósł także, że zgodnie z art. 28 ust. 1 RODO, to na administratorze spoczywa obowiązek wyboru takiego podmiotu przetwarzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi integralności i poufności oraz chroniło prawa osób, których dane dotyczą.
Prezes UODO stwierdził, że [...] w złożonych wyjaśnieniach nie zaprzeczyła, iż w wyniku błędu pracownika [...] mogło dojść do udostępnienia danych osobowych T.K. podmiotom do tego nieuprawnionym oraz wskazała, że to pracownik [...] dopuścił się przedmiotowego naruszenia. Skarżący zaś w toku postępowania przedłożył wydruk wiadomości e-mail, w którym Spółka przyznała, że w wyniku błędu pracownika podmiotu, z którym zawarła umowę powierzenia przetwarzania danych osobowych, polegającego na braku zabezpieczenia w dniach 3-14 marca 2020 r. danych osobowych skarżącego, doszło do udostępnienia jego danych osobowych w zakresie: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny wykształcenie, hasło do profilu klienta na [...].
Jak skonstatował organ nadzorczy, w zakresie powyższego udostępnienia nie została spełniona żadna z przesłanek legalizujących proces przetwarzania danych osobowych określonych w art. 6 ust. 1 RODO.
Prezes UODO podkreślił także, że w postępowaniu zainicjowanym indywidualną skargą, może dokonać wyłącznie oceny legalności przetwarzania danych i w przypadku stwierdzenia nieprawidłowości w procesie przetwarzania danych – w celu przywrócenia stanu zgodnego z prawem - zastosować uprawnienia naprawcze, o których mowa w art. 58 ust. 2 RODO, w tym udzielić upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania (lit. b).
Organ wskazał ponadto, że stosowane przez administratora danych w procesach ich przetwarzania praktyki, w tym sposoby zabezpieczeń, ich adekwatność oraz skuteczność mogą być natomiast przedmiotem postępowania wszczętego z urzędu.
W konkluzji Prezes UODO stwierdził, że przetwarzanie danych osobowych skarżącego, polegające na ich udostępnieniu w dniach 3 - 14 marca 2020 r. na rzecz nieznanej i nieuprawnionej osoby, stanowiło naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, co uzasadnia zastosowanie wobec [...] upomnienia, o którym mowa w art. 58 ust. 2 lit b) RODO.
Odnosząc się do żądania usunięcia danych osobowych Prezes UODO stwierdził natomiast, że obecnie Spółka przetwarza je na podstawie art. 6 ust. 1 lit. c i lit. f RODO.
[...], reprezentowana przez adwokata, złożyła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] marca 2021 r. w zakresie objętym pkt 1 tej decyzji.
Spółka zarzuciła naruszenie:
1. przepisów prawa materialnego, mające istotny wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnym przyjęciu, że art. 6 ust 1 RODO miał w sprawie zastosowanie w zakresie podstawy prawnej udostępnienia danych, podczas gdy incydent polegający na cyberataku na bazę danych oraz uzyskanie dostępu do niej przez nieznaną osobę trzecią nie oznacza, że skarżąca udostępniła dane osobowe na rzecz nieznanej osoby trzeciej;
2. przepisów prawa materialnego, mające wpływ na wynik sprawy, tj. art. 6 ust. 1 oraz art. 5 ust. 1 lit. f RODO, polegające na błędnym przyjęciu, że ważność podstawy prawnej przetwarzania danych zależy od odpowiedniego zabezpieczenia danych osobowych, podczas gdy zasada zgodności z prawem (art. 5 ust. 1 lit. a RODO) jest niezależna od zasady integralności i poufności (art. 5 ust. 1 lit. f RODO), zaś ewentualne naruszenie wymogów bezpieczeństwa, np. art. 32 RODO nie oznacza automatycznie, że dane były przetwarzane bez ważnej podstawy prawnej;
3. przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 6, 7, 8 § 1, art. 77 § 1 oraz art. 80 K.p.a., polegające na braku zgromadzenia materiału dowodowego pozwalającego uznać naruszenie zasady integralności i poufności oraz niezgodne z prawem przetwarzanie danych osobowych przez skarżącą za udowodnione;
4. przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 8 ust. 1 i 2, art. 77 § 1 i § 4 i art. 110 § 1 K.p.a. poprzez całkowity brak uwzględnienia znanego z urzędu faktu, że działanie Spółki będące w istocie przedmiotem skargi T.K. do Prezesa UODO, tzn. rzekome nieadekwatne zabezpieczenie przez skarżącą bazy danych osobowych użytkowników portalu [...], było już przedmiotem decyzji Prezesa UODO z [...] grudnia 2020 r. nr [...], do którego to postępowania skarżąca odwoływała się w swoich pismach procesowych, jak również jest przedmiotem szeregu podobnych postępowań w sprawach indywidualnych, co prowadzi do wielokrotnej oceny tego działania lub zaniechania, wielokrotnego nakładania sankcji w różnych postępowaniach, jak również wprowadzenie do obrotu prawnego sytuacji, w których jeden i ten sam incydent w części spraw jest uznany za naruszenie przez skarżącą przepisów prawa, a w innych nie.
Podnosząc powyższe zarzuty, [...] wniosła o:
1. uchylenie pkt 1 zaskarżonej decyzji,
2. zasądzenie od Prezesa UODO kosztów postępowania według norm przepisanych.
Prezes UODO wniósł o oddalenie skargi, podtrzymując w odpowiedzi na skargę stanowisko zawarte w uzasadnieniu zaskarżonej decyzji.
T.K. w piśmie z 23 sierpnia 2021 r. wniósł o oddalenie skargi, popierając stanowisko zawarte w odpowiedzi na skargę.
Skarżąca w piśmie z 25 sierpnia 2021 r. podtrzymała zarzuty i wnioski skargi. Wskazała m.in., że przedmiotem postępowania i złożonej przez nią skargi jest decyzja Prezesa UODO, w treści której, zostało wskazane, że w toku postępowania nie dokonano zbadania środków bezpieczeństwa stosowanych przez Spółkę. Jeżeli zatem nie dokonano oceny adekwatności zastosowanych przez skarżącą środków technicznych i organizacyjnych, mających na celu ochronę przetwarzanych przez nią danych osobowych, nie można uznać, że zgromadzony materiał dowodowy jest wystarczający do stwierdzenia naruszenia zasady integralności i poufności, wyrażonej w art. 5 ust. 1 lit. f RODO.
[...] podtrzymała także zarzut niewłaściwego zastosowania art. 6 ust. 1 RODO, jako niemającego zastosowania w sprawie. Wskazała również, że nieuprawniony dostęp do danych osobowych stanowi naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO, a nie przetwarzanie danych przez administratora w rozumieniu art. 4 pkt 2 RODO.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skarga nie podlegała uwzględnieniu.
Zaskarżoną decyzją Prezes Urzędu Ochrony Danych Osobowych (dalej "Prezes UODO") skorzystał z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 ze zm.; dalej powoływane jako "RODO"), który stanowi dla organu nadzorczego podstawę do udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania.
"Przetwarzanie", zgodnie z art. 4 pkt 2 RODO, oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Warunki uznania przetwarzania danych osobowych za legalne określono z kolei w art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Z akt sprawy wynika, że dane osobowe T.K., których administratorem jest skarżąca, zostały udostępnione nieznanej osobie trzeciej.
W uzasadnieniu zaskarżonej decyzji trafnie stwierdzono, że T.K. dołączył do skargi wydruk wiadomości e-mail wysłanej 16 marca 2020 r. z adresu elektronicznego [...], w której poinformowano, że jego dane osobowe zapisane na koncie użytkownika zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu [...] powierzył przetwarzanie danych osobowych. Błąd ten polegał, wedle udzielonej przez administratora informacji, na braku zabezpieczenia danych w okresie od 3 do 14 marca 2020 r. przez podmiot współpracujący z [...]. Zgodnie z informacją, zakres danych osobowych objętych nieuprawnionym dostępem objął (podane w trakcie zakładania konta użytkownika lub w okresie późniejszym): imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny wykształcenie, hasło do profilu klienta na [...].
W toku postępowania Prezes UODO zobowiązał Spółkę do złożenia wyjaśnień i odniesienia się do skargi T.K.. Strona potwierdziła fakt skierowania wiadomości otrzymanej przez T.K. do osób, których dane osobowe zostały objęte naruszeniem, a także odwołała się do ustaleń postępowania zakończonego decyzją Prezesa Urzędu Ochrony Danych Osobowych z [...] grudnia 2020 r. nr [...], w którym wywodziła, że na skutek błędu pracownika podmiotu przetwarzającego doszło do omyłkowego udostępnienia nieuprawnionym osobom danych klientów skarżącej. W skardze do Sądu Spółka potwierdziła, że zgłosiła naruszenie stosowanie do art. 33 i art. 34 rozporządzenia.
Uwzględniając powyższe, należy podkreślić, że ujawnienie danych osobowych, o którym mowa w powołanym wyżej art. art. 4 pkt 2 RODO, nie musi być wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi). Może ono polegać także na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych. Do takiej sytuacji niewątpliwie doszło w realiach rozpoznanej, skoro skarżąca przyznała, kierując do T.K. wiadomość e-mail, że dane osobowe zapisane na koncie użytkownika zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu powierzono przetwarzanie danych osobowych, polegającego na braku zabezpieczenia tych danych. Chybione jest zatem stanowisko Spółki, która zmierza do wykazania, że ujawnienie danych osobowych T.K., o którym mowa w zaskarżonej decyzji, nie stanowi ich udostępnienia, lecz naruszenie ochrony danych osobowych (art. 4 pkt 12 RODO) będące wynikiem "cyberataku".
Akta sprawy dawały także Prezesowi Urzędu Ochrony Danych Osobowych podstawę do stwierdzenia, że właściwie ustalone w toku postępowania innego rodzaju udostępnienie danych osobowych, polegające na ich ujawnieniu nieznanemu, nieuprawnionemu odbiorcy, nie znajdowało oparcia w żadnej z wymienionych w powołanym wyżej art. 6 ust. 1 RODO podstaw legalizujących proces przetwarzania danych osobowych.
W sprawie zaistniały zatem przesłanki do skorzystania przez Prezesa UODO z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b RODO.
Za chybione należy wprawdzie uznać odwołanie się w zaskarżonej decyzji do art. 5 ust. 1 lit. f RODO, zgodnie z którym dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Kwestie dotyczące zastosowania odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych nie były bowiem objęte zakresem postępowania zakończonego zaskarżoną decyzją. Stwierdzone uchybienie nie miało jednak wpływu na wynik sprawy, ponieważ w jej właściwie ustalonych okolicznościach faktycznych zaistniały przesłanki uprawniające organ nadzorczy do udzielenia upomnienia na podstawie art. 58 ust. 2 lit. b rozporządzenia. Jak już bowiem wywiedziono, doszło do naruszenia przepisów rozporządzenia przez operację przetwarzania (udostępnienia) bez podstawy prawnej. Ustalenie naruszenia art. 6 ust. 1 RODO pozostaje natomiast w związku z zasadą wyrażoną w art. 5 ust. 1 lit. a RODO, zgodnie z którym dane osobowe muszą być przetwarzane zgodnie z prawem, (...).
W tej sytuacji – wobec prawidłowego stwierdzenia braku co najmniej jednej przesłanki legalizującej przetwarzania wymienionej w art. 6 ust. 1 RODO - niepowołanie w zaskarżonej decyzji art. 5 ust. 1 lit. a RODO, a wadliwe powołanie art. 5 ust. 1 lit. f RODO, pozostało bez wpływu na prawidłowość rozstrzygnięcia.
W związku z powyższym chybione jest także stanowisko skarżącej, że przedmiot postępowania wszczętego skargą T.K. jest tożsamy z przedmiotem postępowania zakończonego decyzją Prezesa Urzędu Ochrony Danych Osobowych z [...] grudnia 2020 r. nr [...] (uchyloną wyrokiem Wojewódzkiego Sądu Administracyjnego z 5 października 2021 r. sygn. akt II SA/Wa 528/21 – od wyroku wniesiono skargę kasacyjną), a prowadzenie przedmiotowego i szeregu innych postępowań skutkuje wielokrotną oceną tego samego działania i wielokrotnym nakładaniem sankcji.
Należy zaznaczyć, że zgodnie z art. 77 ust. 1 RODO, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
T.K. miał zatem prawo wystąpić do Prezesa UODO z indywidualną skargą, zarzucając niezgodne z przepisami RODO przetwarzanie (ujawnienie podmiotom nieuprawnionym) jego danych osobowych, a Prezes UODO był zobowiązany do rozpatrzenia tej skargi. Właściwie ustaliwszy naruszenie przepisów RODO przez operację przetwarzania, organ prawidłowo stwierdził wyłącznie podstawę do skorzystania z uprawnienia przewidzianego w art. 58 ust. 2 lit. b rozporządzenia. Jest to uprawnienie naprawcze, a nie sankcja, które w świetle jednoznacznej treści wskazanego przepisu może być udzielone administratorowi lub podmiotowi przetwarzającemu.
Należy jeszcze raz zaznaczyć, że zaskarżona decyzja nie rozstrzygała kwestii dotyczących zastosowania odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków. Innym bowiem postępowaniem jest postępowanie w ramach którego dokonywana jest ocena prawidłowości stosowania przepisów sekcji 1 (Obowiązki ogólne), czy sekcji 2 (Bezpieczeństwo danych osobowych) rozdziału IV RODO, czego w tej sprawie organ nie dokonywał, a innym rozpatrywanie przez Prezesa UODO indywidualnej skargi wniesionej przez osobę, której dane dotyczą w zakresie zgodności przetwarzania jej danych osobowych z przepisami RODO.
Jak już natomiast wykazano, osoba fizyczna, której dane zostały ujawnione miała prawo domagać się od Prezesa UODO rozpatrzenia jej sprawy i stwierdzenia naruszenia przepisów RODO w zakresie przetwarzania jej danych osobowych, o czym właściwie rozstrzygnięto zaskarżoną decyzją.
Reasumując, kontrola zaskarżonej decyzji w granicach sprawy nie dała podstaw do stwierdzenia, że została ona wydana z naruszeniem przepisów postępowania, zaś stwierdzone naruszenie prawa materialnego, nie miało wpływu na wynik sprawy. Brak jest podstaw do uznania, że w postępowaniu zakończonym wydaniem zaskarżonej decyzji nie wyjaśniono wszystkich kwestii mających wpływ na rozstrzygnięcie sprawy wszczętej skargą osoby, której dane osobowe przetwarzano niezgodnie z prawem.
W tym stanie rzeczy, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329 ze zm.), Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę.